Новый вирус разрушающий сайты на CMS WordPress

Как найти и удалить вирус с сайта wordpress. Антивирус wordpress

А вы знали, что ваш сайт wordpress могут заразить вирусы? Вот и я знал, но как-то мало обращал на это внимание. Ну кому нужен мой скромный сайт с огромным потенциалом, зачем все эти махи… Стоп, точно, у моего сайта — огромный потенциал, совсем из головы вылетело… Как и большая часть страниц из поиска yandex.

Да, What The Fuck, что за biohazard рядом с названием моего сайта!? Оказывается, мой сайт на wordpress заражен вирусом и его надо срочно взбадривать. А то 9, 8, 7…

Уважаемый Платон Щукин помог мне письмом, в котором указал код начинающийся:

Скобки в тегах изменены во избежание случайного срабатывания кода.»

Также, Яндекс выдал мне страницы, где прячется JS/RefC-Gen. От него и пришлось лечить сайта. От этой гадины, на которую я потратил целый час своей замечательной жизни. Просмотрев исходный код нужных страниц, я действительно увидел похожий код. Остался вопрос: а как же его найти и удалить?

Для этого я скачал все папки и файлы с хостинга на ПК, предварительно проверив его на вирусы, и выбрал поиск по папкам, чтобы найти нужную строчку кода. Для этого подойдет Total Commander, например.

Вирус назывался scounter, но скорее всего, это один из «псевдонимов» JS/RefC-Gen. Почему назывался? Потому что он был найден и обезврежен. В файле functions.php моей темы.

Найти и вылечить, удалить вирус на сайте wordpress оказалось делом несложным, если знать, где именно вредный код искать.

Осталось чуть-чуть подождать результатов проверки роботом и снова мой сайт вернется на вершину или поближе к вершине, он-то у меня перспективный.

Успехов! Найти и удалить вам вирус на wordpress. А лучше не встречаться с этой заразой. Все будет хорошо!

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Новый вирус разрушающий сайты на CMS WordPress

Если ваш сайт взломали — не паникуйте.

В этой статье вы узнаете 2 способа вылечить сайт от вредоносного кода, бэкдоров и спама вручную, и 1 способ с помощью плагина.

В первом способе вы Экспортируете базу данных и несколько файлов. После этого вы переустановите Вордпресс, Импортируете базу данных обратно и импортируете несколько настроек из сохраненных файлов.

Во втором способе вы удалите часть файлов и попробуете найти внедренный код при помощи команд в SSH терминале.

В третьем способе вы установите плагин.

Убедитесь, что сайт взломан

Если вы думаете, что сайт взломан, убедитесь, что это действительно так. Иногда сайт может вести себя странно или вы можете думать, что сайт взломали.

Ваш сайт взломан, если:

  • Вы видите появляющийся спам на вашем сайте в хедере или футере, который рекламирует казино, кошельки, нелегальные сервисы и так далее. Такое объявление может быть незаметным для посетителей, но заметным для поисковых систем, например, темный текст на темном фоне.
  • Вы делаете запрос site:ваш-сайт.ru в Яндексе или Гугле, и видите на страницах сайта контент, который вы не добавляли.
  • Ваши посетители говорят вам, что их перенаправляет на другие сайты. Эти редиректы могут быть настроены так, что они не работают с администратором сайта, но работают для обычных пользователей и видны поисковым системам.
  • Вы получили сообщение от хостинг провайдера о том, что ваш сайт делает что-то вредоносное или спамит. Например, что ваш сайт рассылает спам, или в интернет-спаме присутствует ссылка на ваш сайт. Хакеры рассылают спам, в том числе с зараженных сайтов, и используют зараженные сайты для перенаправления пользователей на свои сайты. Они так делают, потому что хотят избежать спам-фильтров, чтобы их сайты не попали под санкции поисковых систем. Когда зараженный сайт попадает в спам-фильтры, хакеры оставляют его и пользуются другими.
  • Другие признаки в чек-листе по взлому сайта

Сделайте бэкап

После того, как вы убедились, что сайт взломан, сделайте бэкап всего сайта с помощью плагина, бэкап приложения на хостинге или по FTP.

Некоторые хостинг провайдеры могут удалить сайт, если вы скажете им, что сайт взломан, или если хостинг провайдер сам определит это. Владельцы хостинга могут удалить сайт, чтобы не заразились другие сайты.

Также сделайте бэкап базы данных. Если что-то пойдет не так, вы всегда можете вернуться ко взломанной версии сайта, и начать все сначала.

Если ваши логи событий хранятся не в папке сайта, то скопируйте логи, так как обычно они хранятся на хостинге несколько дней, после чего автоматически удаляются.

Что можно безопасно удалить с любого взломанного сайта

  • Обычно можно удалить все содержимое папки wp-content/plugins/ . Вы не потеряете никакие данные и это не разрушит сайт. Позже Вордпресс определит, что вы удалили плагины, и отключит их. Не удаляйте только отдельные файлы, удаляйте папки с плагинами целиком. Некоторые плагины создают свои папки и файлы не только в папке /plugins , но и в других. Например, W3TC удаляется так. Некоторые файлы кеша W3TC определяются некоторыми сканерами как подозрительный или вредоносный код. Удалите все папки и файлы плагинов, чтобы не было ложных срабатываний.
  • Оставьте только одну тему в папке wp-content/themes/ , все остальные папки с темами можно удалить. Если вы пользуетесь дочерней темой, то оставьте 2 папки, — с родительской и с дочерней темой.
  • В папки wp-admin и wp-includes очень редко добавляются новые файлы. Если вы видите в них что-то новое, скорее всего, это добавил хакер. Файлы Вордпресс.
  • Удалите старые копии или бэкапы сайта из подпапок сайта. Обычно что-нибудь вроде /old или /backup . Хакер мог попасть в старую версию сайта, и оттуда проникнуть в основную версию сайта. Если ваш сайт взломали, проверьте эти папки на наличие вредоносного ПО, часто старые версии сайта заражены вирусами.

Как очистить Вордпресс сайт от заражения. Способ 1

  1. Сделайте полный бэкап сайта и базы данных, и сохраните их на компьютер.
  2. Скачайте на компьютер файл wp-config.phpиз корневой папки сайта, папку /wp-content/uploads и папку с активной темой. Перед копированием темы обновите ее до последней версии. Если вы пользуетесь дочерней темой, то скопируйте обе папки.
  3. Полностью удалите сайт и базу данных с сервера.
  4. Установите свежую копию Вордпресс, используйте новые сложные логин и пароль.
  5. Перенесите настройки связи с базой данных из сохраненного файла wp-config.php в новый из этой части файла:

Как удалить вредоносный код и вылечить сайт. Способ 2

Если у вас есть SSH доступ к серверу, вы можете использовать эти команды, чтобы проверить, какие файлы изменялись за последние X дней. Этот запрос покажет все измененные файлы в запрошенном интервале времени во всех папках и подпапках сайта (чтобы узнать, какие это папки, наберите pwd в SSH терминале):

Если вы хотите найти измененные файлы в определенной папке, используйте этот запрос:

Замените /путь/к/вашему/сайту/папка/ на путь к вашей папке.

Если вы хотите изменить интервал до 10 дней, сделайте такой запрос:

Не забудьте заменить /путь/к/вашему/сайту/папка/ на путь к нужной папке.

Сделайте такой поиск, начните с 2-х дней и постепенно увеличивайте количество дней, пока не увидите изменения в файлах. Не забывайте, что обновления ПО — тоже изменения в файлах. После того, как вы нашли зараженный файл, его можно вылечить или заменить на оригинальный. Это очень простой и эффективный способ найти зараженные файлы, который используется всеми сервисами по лечению сайтов.

Еще одна полезная команда в SSH — «grep». Чтобы найти файл, который содержит какое-нибудь сочетание, например, «base64», которое часто используется хакерами, используйте эту команду:

Эта команда покажет список файлов, в которых встречается сочетание base64 .
Вы можете убрать «l» из запроса, чтобы увидеть содержание файлов, в которых встречается это сочетание.

Хакеры часто используют эти функции:

  • base64
  • str_rot13
  • gzuncompress
  • eval
  • exec
  • create_function
  • system
  • assert
  • stripslashes
  • preg_replace (/e/)
  • move_uploaded_file

Эти функции могут использоваться и в оригинальных файлах тем или плагинов, но в большинстве случаев это хак. Перед тем, как что-нибудь удалить, убедитесь, что вы не удаляете здоровый код или файл.

Более аккуратный запрос может быть таким:

Результат этого запроса показывает номера строк, в которых содержится сочетание «base64_decode», в тех файлах, которые заканчиваются на .php.

Попробуйте использовать команду grep в комбинации с командой find . Вам нужно найти файлы, которые были недавно изменены, выяснить, что было изменено, и если вы нашли какое-то повторяющееся сочетание, например, «base64_decode» или «hacker was here», с помощью команды grep попробуйте найти это сочетание в других файлах:

Эта команда покажет все файлы, в которых встречается фраза hacker was here .

Хакеры часто внедряют код в папку /uploads . Этот код поможет вам найти все файлы в папке uploads, которые не являются изображениями. Результат сохраняется в файле “uploads-not-pictures.log” в текущей папке.

Использование запросов find и grep поможет вам очистить сайт от заразы.

Как найти вредоносный код и вылечить сайт с помощью плагина. Способ 3

Зайдите в Scan Settings, Зарегистрируйтесь в правом окне Updates & Registrations и нажмите Run Complete Scan.

Сервисы, на которых вы можете проверить сайт на наличие вредоносного ПО

  • Unmask Parasites — довольно простой сервис для проверки сайта. Первый шаг, чтобы определить, был ли сайт взломан.
  • Sucuri Site Check — хороший сервис для поиска заражений на сайте. Кроме сканера показывает, внесен ли сайт в списки вредоносных сайтов. На данный момент 9 списков.
  • Norton Safe Web – сканер сайта от Norton.
  • Quttera – сканирует сайт на наличие вредоносного ПО.
  • 2ip — проверяет на вирусы и включение в черные списки Яндекса и Гугла.
  • VirusTotal – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
  • Web Inspector – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение пары минут генерирует довольно детальный отчет.
  • Malware Removal – сканирует сайт на наличие вредоносного ПО, вирусов, внедренных скриптов и так далее.
  • Scan My Server – сканирует сайт на вредоносный софт, SQL внедрения, XSS и так далее. Для использования требуется бесплатная регистрация. Довольно детальные отчеты приходят на е-мейл раз в неделю.

Что делать с зараженными файлами

В зависимости от того, что вы нашли, вы можете удалить файл целиком или только ту часть, которую добавил хакер.

  • Если вы нашли файл бэкдора, в котором находится только вредоносный скрипт — удалите весь файл.
  • Вы нашли вредоносный код в файле Вордпресс, темы или плагина — удалите весь файл, и замените на оригинальный с официальной страницы.
  • Вы нашли вредоносный код в файле, который вы или кто-то создал вручную — удалите вредоносный код и сохраните файл.
  • Возможно, у вас в бэкапе есть незараженная версия сайта, вы можете восстановить сайт из старой версии. После восстановления обновите Вордпресс, плагины и тему, смените пароль и установите плагин безопасности.
  • Если ничего не помогло — обратитесь к профессионалам в платный сервис.

После очистки сайта Гугл Хром продолжает показывать предупреждение о том, что сайт опасен и содержит вредоносное ПО. Что делать?

Вам нужно удалить свой сайт из списка зараженных сайтов Гугл.

  1. Зайдите в Инструменты вебмастера Гугл
  2. Добавьте свой сайт, если вы его еще не добавили
  3. Подтвердите владение сайтом
  4. На главной странице вашего аккаунта Инструментов вебмастера Гугл выберите ваш сайт
  5. Кликните Проблемы безопасности
  6. Нажмите Запросить проверку

Посетители сайта получают предупреждения от файрволов и антивирусов. Что делать?

Аналогично со списком зараженных сайтов Гугл, нужно удалить сайт из списков всех антивирусов: Касперского, ESET32, Avira и так далее. Зайдите на сайт каждого производителя и найдите инструкции по удалению своего сайта из списка опасных сайтов. Обычно это называется whitelisting. Наберите в поисковике eset whitelist website, avira site removal, mcafee false positive, это поможет вам найти нужную страницу на этих сайтах, чтобы исключить свой сайт из списка сайтов, содержащих вредоносное ПО.

Как узнать, что мой сайт находится в списке опасных сайтов, содержащих вредоносное ПО?

Пройдите по этой ссылке, замените ваш-сайт.ru на ваш адрес:

Там же вы можете проверить субдомены вашего сайта, если они есть. На этой странице вы найдете детальную информацию о вашем сайте, находится ли он в списках malware или phishing сайтов, и что делать, если содержится.

Что делать, чтобы сайт не заразился снова?

  • Регулярно обновляйте версию Вордпресс, тем и плагинов по мере выхода новых версий. Автообновление Вордпресс.
  • Используйте сложные логины и пароли. Рекомендация для пароля: пароль должен быть не менее 12 символов, содержать заглавные и строчные буквы, цифры и символы.
  • Выбирайте темы и плагины от проверенных авторов.
  • Используйте надежный хостинг. Обзор хостинга Бегет.
  • Установите плагин безопасности. 7 Лучших плагинов защиты Вордпресс.
  • Настройте автоматический бэкап всех файлов и базы данных. Бэкап Вордпресс.
  • Удалите все старые версии сайта с сервера.
  • Читайте Безопасность Вордпресс. Подробное описание.

Читайте также:

Надеюсь, статья была полезна. Оставляйте комментарии.

WordPress.org

Вирусы на сайте

Касперский все время ругается при заходе на сайт, пишет, что вредоносная веб-страница. В техподдержке хостера пишут.К сожалению, проблема не полностью решена.
Из каталога /var/www/otdyhaemvrossiiru/data/www/otdyhaemvrossii.ru из файла cnrig запускается вредоносный процесс:

lsof -p 23922
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
cnrig 23922 otdyhaemvrossiiru cwd DIR 182,690689 4096 1439070 /var/www/otdyhaemvrossiiru/data/www/otdyhaemvrossii.ru
cnrig 23922 otdyhaemvrossiiru rtd DIR 182,690689 4096 2 /
cnrig 23922 otdyhaemvrossiiru txt REG 182,690689 2731128 1328539 /var/www/otdyhaemvrossiiru/data/www/otdyhaemvrossii.ru/cnrig
cnrig 23922 otdyhaemvrossiiru mem REG 182,690689 1518 1178753 /etc/localtime
Каким плагином воспользоваться, что бы удалить вирусы?
Спасибо.

Страница, с которой нужна помощь: [войдите, чтобы увидеть ссылку]

Каким плагином воспользоваться, что бы удалить вирусы?

Волшебных таблеток не существует.
Если бы такие плагины были — вирусов бы не было в природе.

А Ваш сайт взломан. У Вас даже редирект с главной.

На следующий Вас вопрос отвечаю не дожидаясь, скопировав свой ответ с SO

1. Причины появления вирусов:

  1. Темы с помоек («помойки» — сайты с «бесплатными» темами. Которые они, кстати, называют «шаблоны» — первый признак помойки.)
  2. Плагины от туда же.
  3. Устаревшие темы и плагины с платных маркетов.
  4. Темы и плагины некогда из оф каталога, но древние и/или уже удалённые от туда (удаляются как правило как раз по причине найденных уязвимостей)
  5. Установка на сайт разных левых скриптов (как правило от малоизвестных рекламных сетей и тп)
  6. Вирусы на ПК
  7. Дырявый хостер.

2. Что делать чтобы обезопасить сайт:

  1. Использовать темы и плагины только из оф каталога: https://wordpress.org/themes/: https://wordpress.org/plugins/
  2. Если покупать, то только у надёжных продавцов: https://wordpress.org/themes/commercial/
  3. Следить за обновлениями ВП и компонентов.
  4. Следить за безопасностью ПК и для администрирования сайтов использовать отдельный браузер/профиль.
  5. Использовать нормальный хостинг (избегать услуг хостинга от регистраторов доменов)
  6. Не ставить никаких скриптов из непонятных источников (в тч и скопипащеных из интернета из мануалов аля «фича без плагинов»)


3. Что делать если уже начались проблемы:

  1. Закрыть доступ к сайту всем кроме себя.
  2. Заменить ядро ВП (каталоги wp-admin, wp-includes) и файлы в корне кроме wp-config.php, .htaccess и созданных вами (robots.txt, и тп) через их первоначальное удаление. Свою версию ВП можно скачать отсюда: https://ru.wordpress.org/releases/
  3. Проверить .htaccess.
  4. Сделать ревизию плагинов и тем. Удалить древние и неизвестного происхождения. Обновить что можно или заменить при необходимости.
  5. После чего просканировать с пом https://revisium.com/ai/ все файлы и дамп базы.
  6. Глазами и поиском («eval» и тп) по хостингу посмотреть на файлы/каталоги выше уровня www (public_html). Иногда и там встречались следы.


Примечание. Можно использовать из оф каталога и некоторые древние плагины, простые, такие как плагины траслитерации. Но принимая решение относительно других стоит проанализировать их код.

Спасибо за подробную инструкцию. Темы все удалил, плагины ставил только с официального каталога. Действительно был какой то IP-адрес с которого заходили параллельно со мной, я его заблокировал.Не совсем понятно какие еще фалы я создавал сам кроме wp-config.php, .htaccess robots.txt. wp-content там тексты, что может быть еще? Хотел проверить eval на вредоносный код в файлах. Никакие плагины антивирусники не работают, ничего не сканируется. Что значит проверить .htaccess? Чем это лучше сделать?

Тут не должно быть текстов. Тут картинки и др. вложения.

Что значит проверить .htaccess? Чем это лучше сделать?

Посмотреть содержимое этого файла. Он в корне сайта.
Вот тут показано его «базовое» содержимое, но оно может отличаться:

Можете показать его здесь, только оформив в код (кнопка в редакторе).

Вот код из Вашей ссылки, вроде все совпадает

Ну вот сейчас редиректа уже нет. Похоже у Вас всё получилось.
Однако внимательно прочтите п1 — про причины появления вирусов. Если они не устранены (см п2), то сайт может быть опять взломан в течении нескольких минут после Вашего восстановления (работают боты).

Новый вирус разрушающий сайты на CMS WordPress

Специалисты компании «Sucuri», которая занимается выявлением угроз связанных с веб-ресурсами, после проведения очередных исследований определили новый вид виртуальной бактерии, которая нацелена на сайты построенные на базе CMS WordPress (система управления контентом). Главной особенностью данного вируса, является глубокое проникновение в программный код сайта и добавление нагрузки на сервер, в результате чего происходит блокирование страниц, но сам сайт продолжает работать в постоянном режиме.

Данный вирус еще не был полностью исследован, но некоторые нюансы уже стали понятны. К примеру:
• Вредоносное программное обеспечение способно заражать сайты созданные только на CMS WordPress;
• Жертвами могут стать ресурсы, которые до сих пор находятся на старых версиях самой системы и главных плагинов или слабая аутентификация.
Кроме всего выше сказанного следует добавить, что вредоносный код способен разрушить лигитивные элементы самого сайта. Это говорит о том, что поражение может коснуться не только основного ядра сайта, но уязвимыми становятся плагины и шаблоны. В результате такого негативного влияния, посетители ресурса могут видеть не графическую часть сайта и контент, а разнообразные ошибки и сбоив коде PHP.

Следующий программный код:
«Parse error: syntax error, unexpected ‘)’ in /home/user/public_html/site/wp-config.php on line 91» свидетельствует о стопроцентном заражении ресурса данным типом вируса.

Специалисты многих компаний рассматривают только один способ избавления от этого вируса и способ этот связан с полноценным удалением вредоноса, после чего должно быть проведено восстановление всех ранее сохраненных резервных копий веб-ресурса.

Напомним, что на системе WordPress, которая в данный момент является наиболее распространенной по всему миру, находится множество известных и серьезных сайтов. Одними из самых известных ресурсов, построенных на данном конструкторе можно назвать сайты компаний «Apple» и «E-Bay:. Так же практически все современные блоги и корпоративные сайты-визитки имеют данную платформу. Для того, чтобы не допустить возможное заражение сайта вирусом, следует постоянно следить за обновлением самой базовой структуры движка и всеми плагинами. Так же не следует устанавливать плагины и шаблоны от не известных производителей. Специалисты рекомендуют производить обновление и установку всех перечисленных элементов только с официальных ресурсов, которые направлены на поддержку данной системы управления контентом.

Лечим сайт на WordPress

Забавно иногда выпадают события в жизни. Мне попался классный курс на Udemy по современным способам защиты и взломов сайтов. Повышая свой уровень квалификации, я проворонил заражение вирусами своего блога. Скорее всего, пользователи WordPress так или иначе сталкивались с симптомами, которые я дальше опишу. Если нет – то вы везунчики. Я сам очень долгое время ничего не цеплял на сайты, думая о том, как все же умудряются заражать свои веб-ресурсы. Еще в 2014 году меня удивляли сообщения на форумах о том, что их сайт с отличной посещалкой просто заразили и увели.

И вот, сегодня утром на почту от моего хостера прилетело письмо, которое меня и озадачило. Да, я был приятно удивлен, что ihc мониторит сайты на наличие малвари, но сообщение, которое гласило о том, что один файл был измен ночью без моего ведома и это подозрение на вирусную активность, вызвало сумбурные эмоции. Фактически, это было подтверждением моих подозрений.

Некоторое время назад я обнаружил, что в метрике есть переходы на сайты, которые у меня просто никак не могут быть прописаны в постах. Когда я попытался найти эти ссылки тупо через поисковик блога, меня редиректило на Apache с сообщением об ошибке. Уже тогда заподозрив неладное, я полез в файл search.php активной темы, в котором увидел обфусцированный код. Тогда это меня поставило в ступор, но в силу нехватки времени не стал копаться дальше. Как оказалось зря. Ведь это и был один из признаков заражения.

Я глупо понадеялся на средства обнаружения вредоносного кода от различных сервисов, которыми пещрит интернет. Все они «радостно» сообщали мне о том, что сайт чист как утренняя роса.

Представьте себе парадоксальную ситуацию – есть неработающая функция поиска, есть обфусцированный код на php, чтобы незадачливый веб-мастер не увидел «подарок», а антивирусные сервисы просто молчат.

Но вернемся к нашим баранам, точнее, к сайтам. На всех этих сайтах у меня авторизация двухуровневая. Может, это и спасло от увода сайта хакером. Через два дня после того, как была заражена search.php на мою почту прилетело извещение от ihc.ru о том, что некоторые файлы были изменены и если я ничего не делал, то рекомендуется проверить антивирусом, который предоставляет сам хостинг. Что же, вот и подвернулась возможность потестить этот антивирус, жаль только что в качестве испытуемого попал мой любимый сайт

Результат проверки, мягко говоря, весьма озадачил меня. Антивирус лопатил сайт минут сорок и потом прислал свой «вердикт». 42 файла были заражены…

Вот тут было в пору хвататься за голову, думая о том, как вообще подобное могло произойти. Само собой, что имел место эксплойт. Но об этом потом.

Нужно было лечить сайт, но для этого его нужно было основательно исследовать. Да, можно было сделать гораздо проще – слить дамп базы, перенести картинки из wp-content и все это перезалить на свежеустановленный движок Вордпресса. Но «легче» – не значит «лучше». Фактически, не зная, что было изменено, можно было ожидать, что дыра появится и на перезалитом сайте. И тут впору было стать новоиспеченным Шерлоком Холмсом, дабы провести полный аудит сайта.

Честно скажу, что подобного азарта и интереса я давно не испытывал. Да, мне во многом помог антивирус с хостинга, указав, в каких файлах он нашел изменения. Но и даже он не все смог обнаружить полностью, так как код чередовался обфускацией и банальным hex-кодированием посредством вредоносного js. Нужно было много ручками делать, используя все сторонние инструменты всего лишь в качестве помощников.

Итак, запускаем редактор кода и смотрим на зараженные файлы. На самом деле, в коде они «палятся» достаточно быстро в силу своей зашифрованности. Тем не менее, это далеко не везде. Бывало, что нужно было строчка за строчкой разбирать код php файла и разбираться, что с ним не так. Сразу скажу, что это было с файлами темы. В этом случае очень пригодятся оригинальные файлы темы для сравнения, если точно не уверен, для чего нужна та или иная функция (а ведь правильно написанный вирус должен наследить как можно меньше).

Но давайте все рассмотрим по порядку. Скриншот обфусцированного вирусом кода я уже выложил в начале статьи. При помощи ресурса https://malwaredecoder.com/ можно декодировать его в удобоваримый вид и изучить. В моем случае, некоторые файлы содержали инъекцию. Все это стираем к чертовой матери.

Тем не менее, иногда может попадаться короткий код с инклудом. Как правило, так заражаются index.php и wp-config.php. К сожалению, скриншот такого кода я не стал делать, так как на тот момент не планировал писать статью. По этому коду видно было, что это закодированный через js код вызова определенного файла. Для декодирования 16ричного кода воспользуемся сервисом http://ddecode.com/hexdecoder/, с помощью которого и определим, что вызывается файл по адресу wp-includes/Text/Diff/.703f1cf4.ico (я опустил полный путь, важна сама суть). Как думаете, стоит ли вызов простого файла иконки кодировать, хоть и относительно простым кодированием? Думаю, ответ очевиден и открываем через блокнот эту «иконку». Естественно, что снова это оказался полностью закодированный файл php. Удаляем его.

Расчистив очевидные файлы, можно переходить на уже не такие очевидные – к файлам тем WordPress. Вот тут обфускация не используется, нужно рыть код. На самом деле, если не знать, что изначально задумывал разработчик, то эта задача весьма творческая, хотя и достаточно быстро решаема. Если не меняли код темы, проще заменить зараженные файлы (антивирус их точно опознал) и идем дальше. Либо можете покопаться как я и найти, что очень часто такого рода вирусы приписывают в файл function.php абсолютно левую функцию, в которой наверняка будет код обращения к sql. В моем случае он выглядит так (форматирование оставил без изменения):

Куда эта выборка идет мы уже вычистили. Поэтому спокойно смотрим, в какой функции находится этот код и удаляем всю эту функцию – ее приписала малварь. Но, повторюсь, гораздо проще и лучше перезаписать весь файл из готовой темы, если боитесь что-либо сломать.

Ну и финальный штрих – проверяем число пользователей сайта. Все свои сайты я всегда вел сам. Соответственно, никаких иных пользователей быть не может и не должно. Однако учитывая заражение, легко догадаться, что сайт попытаются умыкнуть и создать своего пользователя с админскими правами. В моем случае это оказался wp.service.controller.2wXoZ. Удаляем его.

Работы проведено много, но есть ли выхлоп? Проверим снова антивирусом, который сообщает о том, что вирусов больше не обнаружено. Все, сайт вылечен.

Итоги

Как видите, вылечить сайт достаточно просто, хотя и время затратно. После лечения нужно предупредить подобные ситуации в дальнейшем. Тут нужно сделать всего несколько шагов:

Что делать, если на сайте с WordPress найден вирус «WP-VCD Malware»?

Я работаю с десятками разных сайтов каждый месяц и периодически сталкиваюсь с различными проблемами на них. Очень не частая из них, но весьма интересная – это вирусы. Не так давно мне попался один сайт на CMS WordPress, в котором я сразу обратил свое внимание на следующий кусок кода в файле functions.php, который находится в папке рабочей темы:

Как оказалось позднее, это вирус, который имеет название «WP-VCD Malware», и инфицируется им не только рабочая тема, но и все темы которые есть на сайте.

Какой вред может нанести вирус «WP-VCD Malware» в WordPress?

Во-первых, как правило, с одним сайтом инфицируются и все, которые находятся на хостинге на конкретном аккаунте.

Во-вторых, у злоумышленников появляется возможность внедрить любой код в вашу тему и на ваш хостинг (сервер) в целом.

Как определить, что ваш сайт инфицирован?

Во-первых, в файле functions.php вашей темы (чаще всего в самом верху), вы можете обнаружить код, похожий на ранее приведенный мною, различия могут быть лишь в адресах, указанных в нем, или в других незначительных участках.

Во-вторых, на сайте в папке wp-includes появятся два файла это wp-tmp.php и wp-vcd.php. Это вирусные файлы и к системе они не имеют никакого отношения.

В третьих, будет изменен файл post.php все в той же папке wp-includes. В его верхней части первая строка будет выглядеть примерно так:

Это, так сказать, явные причины наличия вируса «WP-VCD Malware» на вашем сайте, который находится под управлением WordPress.

Какая причина появления вируса «WP-VCD Malware» на сайте с WordPress?

Причина банальна – это установка пиратских (нулленых) тем или плагинов для WordPress, и здесь есть два варианта того, как избежать появления этого вируса на своем проекте.

Первый – это отказаться от использования «пиратских» дополнений на вашем сайте.

И второй – это если вы все-таки прибегаете к помощи таких дополнений, то нужно досконально проверять код, пытаясь найти все сомнительные его участки.

Как удалить вирус «WP-VCD Malware» с сайта на WordPress?

Собственно, это главный вопрос, по которому мы с вами сегодня собрались. Чтобы удалить этот вирус с одного конкретного сайта, я рекомендую вам сделать следующее. Перед началом работ я рекомендую вам сделать полный бэкап сайта, даже если на нем присутствуют вирусы.

1. Удалить возможную причину появления вируса (тема, плагин).

2. Скачать архив (желательно с официального сайта, либо с нашего) с той версией CMS, которая используется на вашем сайте. Точную версию CMS можно узнать в файле version.php, который находится в папке wp-includes на вашем сайте. Строка в нем будет выглядеть примерно следующим образом:

3. Из ранее скачанного архива с CMS, по FTP или удобным для вас способом загрузите папки wp-admin, wp-includes, а также все файлы из корня (за исключением файла wp-config.php, если таковой будет иметься в архиве) в корень вашего сайта с полной заменой.

4. Удалите файлы wp-tmp.php и wp-vcd.php из папки wp-includes.

5. Удалите вредоносный код из файла functions.php, находящегося в каждой папке темы вашего сайта.

Все шаги я рекомендую делать именно в той последовательности, в которой они описаны. Надеюсь, данная инструкция поможет вам раз и навсегда избавиться от этой проблемы на вашем сайте.

Найти и удалить вирус на WordPress плагином Antivirus

Вступление

Где есть сайт, там могут быть и вирусы. Эта нехитрая истина не позволяет расслабляться и требует постоянного контроля за «здоровьем» сайта. Сайты WordPress не исключение, а если принять во внимание популярность CMS WordPress, то понятно почему заражения этих сайтов происходят чаще сайтов других систем. Для антивирусной проверки сайтов есть масса инструментов. В этой статье я расскажу об отличном борце с вирусами для сайтов WordPress – плагине AntiVirus, как найти и удалить вирус на WordPress плагином Antivirus.

Что мы понимаем под вирусом на сайте

Под вирусом на сайте подразумевается любая сторонняя программа, которая принуждает работать сайт, не так как заложено в программах системы. Под определение вирус попадают:

  • Вредоносные коды, занесенные на сайт;
  • Зашифрованные исполнительные функции, попадающее, на сайт с плагинами и темами;
  • Любые php скрипты и Java коды, совершающие действия, которые не известны владельцу сайта.

Результаты действия вирусов на сайте могут быть самые разнообразные:

  • Ссылки на сторонние ресурсы;
  • Автоматический редирект на чужие ресурсы;
  • Считывание новых публикаций и дублирующая публикация их на сторонних ресурсах;
  • Несанкционированная реклама на сайте;
  • Разрушение кода сайта и как результат падение сайта.

Установка и настройка плагина Antivirus

Отличный инструмент для проверки сайта на наличии вирусов является плагин Antivirus. У плагина более 90000+ скачиваний, последнее тестирование на версии WordPress 4.6.11.

Установить плагин можно из консоли сайта, на вкладке Плагины→Добавить новый, воспользовавшись формой поиска плагинов по названию.

Установка плагина Antivirus из административной панели

Если есть проблема с автоматической установкой, скачиваете плагин с официальной странице ( https://wordpress.org/plugins/antivirus/ ) и заливаете каталог плагина по FTP в каталог wp-content/plugins . Забыли как это делать, читайте статью: Установка плагина на WordPress тремя способами).

Как удалить вирус на WordPress плагином Antivirus

Работает плагин без премудростей. Через Настройка→AntiVirus или Плагины→AntiVirus →Настройка входим на страницу активированного плагина.

Жмем «Scan the theme templates » и видим результат проверки. Все каталоги рабочей темы отразятся на странице. Зеленый цвет означает отсутствие вирусов, красный цвет скажет о заражении.

Запуск сканирования плагином AntiVirus

Обнаружение Antivirus потенциально опасного кода

Далее, смотрим на найденный вирус. Если уверены, что это не вирус жмете на кнопку «The is no Virus». Если думаете, что это вирус, а это будет понятно по виду функции (читайте что такое вредоносный код) удаляете вирус и повторяет проверку. Если сомневаетесь в найденном коде или найденной функции, копируете их из красной таблицы и ищете информацию о нем в Интернет.

Если после удаления кода сайт упал, откатываетесь на резервную копию и повторяете все заново.

Как видите, удалить вирус на WordPress плагином Antivirus не сложно. Проверка на вирусы считается законченной, если все файлы после проверки отражается в зеленом цвете и при этом сайт остается в рабочем состоянии.

Вирусов не обнаружено или опасность устранена.

Недостатки плагина Antivirus

В любом плагине всегда можно найти недостатки. Не исключение и AntiVirus.

  • Возможны ложные определения вирусов, из числа «подозрительный код»;
  • Нет 100 % гарантии поиска всех вирусов (это характерно для всех антивирусных плагинов и онлайн серверов);
  • Плагин ищет вирусы только в рабочем шаблоне и не сканирует системные файлы сайта.

Для полного сканирования сайта используем:

Вместо выводов

Защита сайта, как и приемы хакеров не стоят на месте и постоянно развиваются. Для удачной борьбы с вирусными заражениями сайта стоит применять комплексные меры борьбы. Наряду с антивирусными плагинами, проверять сайт на онлайн серверах антивирусной проверки, а также не забывать про безопасность сайта и защиту своего компьютера антивирусными программами.

Как удалить вирус с сайта WordPress?

Вирусом называется вредоносный код, призванный нарушить работу сайта или втайне передать внешнему источнику какие-либо конфиденциальные данные.

Почему появляются вирусы в WordPress?

Благодаря удобному и быстрому процессу создания рабочего сайта, бесплатная платформа WordPress уже завоевала большую популярность не только среди блогеров, но также и веб-разработчиков. Огромное количество бесплатных плагинов и тем позволяют построить не только простой новостной сайт, но также интернет-магазин или онлайн-кинотеатр. Но огромное количество сайтов на основе этой CMS имеют определенные уязвимости в системе безопасности. Наиболее подвержены как раз таки плагины и темы.

Как обнаружить вирус на сайте?

Наличие вредоносного кода рано или поздно даст о себе знать: некорректная статистика посещаемости, переадресация на сторонние ресурсы, наличие сторонних рекламных ссылок или иного контента, сообщения поисковых систем о наличии вредоносного кода, “тормоза” в работе сайта и др.

Как удалить вирус?

Во-первых, нужно определить, где скрывается вирус. Наиболее частые места для внедрения вредоносного кода – это плагины, темы. Также могут быть изменены файлы самого WordPress.

Ниже приведены несколько рекомендаций, которые помогут обнаружить и удалить вредоносный код, а также обезопасят от заражения в будущем.

1. Обновите WordPress, темы и плагины до последних версий.

2. Удалите неиспользуемые темы и плагины.

3. Проверьте наличие сторонних файлов каталоге сайта (сравнения можно скачать с официального сайта WordPress копию движка).

4. Отследите даты измененных файлов. Например, основные каталоги WordPress – это wp-includes, wp-admin. Они должны иметь одну и ту же дату создания. Если в них обнаружился один или несколько файлов с более поздней датой создания, следует сравнить их содержимое со скачаной копией движка и выяснить, что из себя представляют лишние фрагменты кода.

5. Проверьте на присутствие стороннего кода с помощью плагина Exploit Scanner . После установки и активации в админ-панели следует перейти Инструменты -> Exploit Scanner, нажать кнопку Run the Scan.

После окончания сканирования плагин выдаст результаты. Следует внимательно изучить информацию. Отметим, что плагин ничего сам не исправляет и не удаляет. Этот процесс необходимо будет провести вручную.

6. Просмотрите страницы и посты. Если где-то Вы увидели какую-то подозрительную информацию, то можно просто ее удалить, открыв на редактирование.

7. Проверьте тему с помощью плагина Theme Authenticity Checker (TAC) . После установки и активации плагина в админ-панели следует перейти Внешний вид -> TAC. В окне Вы увидите список присутствующих на сайте тем с наличием/отсутствием в них проблем.

8. Проверка файла .htaccess в корневом каталоге сайта. Исследуя этот файл, необходимо обращать внимание на сторонние ссылки. Примером ссылки на неизвестный сайт может послужить следующий код:

Как обезопасить свой сайт от вирусов?

Следуя этим рекомендациям, Ваш сайт всегда будет защищен от сторонних вмешательств.

Wp-Vcd — Новая угроза для владельцев сайтов на WordPress

Пожалуй сейчас все прекрасно знают о том, что WordPress является очень слабой со стороны безопасности CMS. Ну на самом деле «дырки» есть у любого ПО и сайтов. Вся суть в том, что WP более распространён и, как по мне, так именно по этой причине очень много злоумышленников ищут в нём заветные щели. На сегодняшний день, как бы печально это не звучало, но специалисты из компании Sucuri ещё в ноябре 2017 нашли новый опасный малварь работающий в данной CMS.

Wp-Vcd принцип работы данного вируса заключается в том, что используя пиратские или малоизвестные плагины, или же вообще дыры в самом ядре, он проникает в систему и маскируется под именами системных файлов. В большинстве случаев таких как functions.php и class.theme-modules.php. Стоит вопрос для чего? Ну и разумеется ответ не заставил себя ждать. Малварь создаёт нового пользователя с правами администратора и логином 100010010 . При помощи данной учётной записи, хакеры способны проникнуть непосредственно в систему вашего сайта и полностью хозяйничать там. Например слить БД. Как рассказывают Sucuri, злоумышленники просто напросто используют заражённые сайты для спама. Т.е. посетителей таких сайтов просто напросто автоматически будет перенаправлять на сайты с пиратскими темами и плагинами, опять же для вордпресс. И, скорее всего, как сообщают специалисты, так же заражённые.

Опять же, опасность данного вируса заключается в том, что взломщики получают полный доступ к вашей системе, а так же ваши посетители будут автоматически перенаправляться неизвестно куда.

Мой личный совет для вас. Это достать бекап, который был сделан до заражения и сравнить такие файлы как functions.php и class.theme-modules.php

Ну и разумеется в самом конце хочу сказать то, что вы наверняка слышали миллионы раз, а так же то, что говорят специалисты из Sucuri.

Не используйте пиратские плагины и темы. А так же мало известные. Не качайте плагины и темы с неизвестных вам сайтов. Используйте только родной плагин менеджер, который находится в самом WP. Обращайте внимание на рейтинги и оценки. Так же используйте CMS полученную ТОЛЬКО с официального сайта. А не скаченную неизвестно откуда!

WordPress и вирусы. Как избавиться от вируса на сайте?

Предлагаем небольшой лайфхак по безопасности сайтов на WordPress. Как одна из самых популярных CMS в мире, она подвержена большому количеству хакерских атак, взломов и троянов. Надеемся, предложенное решение проблемы с вирусами на WordPress Вам поможет. Более того, решение можно использовать и для других систем. Единственное исключение — предложенные модули и плагины по безопасности WP сайта. Мы не будем говорить о смене паролей и других элементарных вещах. Основной акцент на поиске зараженных файлов и предотвращении заражения сайта в будущем.

Если Ваш сайт внешне не изменился, сраницы открываются все так же быстро — это не значит, что сайт не взломан.

С момента взлома сайта до очевидных свидетельств взлома может пройти от нескольких недель до пары месяцев.

Как понять, что сайт взломан?

Есть очень много сервисов и программ, которые проверяют сайты и отдельные файлы на вирусы. Идем с наименее сложных до более точных способов:

    1. Проверяем вебмастер. Идем в Search Console и смотрим в разделе Состояние — Вредоносные программы. Если Google увидит на сайте вредоносные программы, он обязательно об этом уведомит вебмастера. Аналогично проверить сайт можно и в разделе Безопасность (если вы используете Яндекс.Вебмастер). Скорее всего эти сервисы ничего не покажут, так как находят «очевидные вирусы».
    2. Используем сканеры вирусов. Проверка пройдет довольно быстро и ничего, кроме как URL-адреса страницы или загрузки файла не требуется. Можем порекомендовать:
      1. www.virustotal.com может проверить как сайт, так и отдельный файл. Для этого просто указываем URL-адрес.
      2. 2ip.ru/site-virus-scaner позволяет проверить сайт по URL страницы.
      3. vms.drweb.ru/online/
      4. xseo.in/viruscan
      5. antivirus-alarm.ru/proverka/
    3. Ручная проверка настольным антивирусом. Выкачать бэкап файлов сайта по FTP и проверить стандартным антивирусом, который установлен на компьютере. Иногда, это может помочь в обнаружении вирусов.
    4. Антивирусы на хостинге и серверах. Компании, предоставляющая услуги хостинга заинтересована в том, чтобы на ее «железе» лежали только безопасные сайты и файлы. Потому, они сами могут сканировать файлы на наличие вредоносных программ и уязвимостей. К сожалению, не каждая компания делает это. Это еще раз заставляет уделить особое внимание выбору хостинга. Работает все довольно просто: антивирус на хостинге находит вирус или зараженные файлы, сообщает об этом вебмастеру и ограничивает количество писем, которые может разсылать сайт. Это делается для того, чтобы нельзя было отправить вирус вашим пользователям.

      Еще один момент. Компании, которые предоставляют хостинг могут только указать на зараженные файлыы или наличие вирусов. Они не будут сами лечить Ваш сайт и востанавливать удаленные/поврежденные файлы.

      5. Просмотреть файлы сайта вручную. Если вы видите странные файлы, это первый признак того, что сайт взломан. Примеры таких файлов в WordPress:

      Способ непростой, и требует понимания файловой структуры WordPress. При этом, это довольно действенно и позволяет устранить вирус или его последствия. Например, довольно часто наблюдаются лишние папки в корне сайта:

      Еще одна особенность зараженного сайта — в обычных файлах можно найти конструкции следующего характера:

      Подобные фрагменты кода легко обнаружить в index.php, wp-config.php, header.php и так далее. Три безобидные строчки подключают на ваш сайт, а точнее — все страницы сайта вредоносный файл в виде скрипта или иконки сайта! Да, именно .ico файл может быть зараженным. Эта уязвимость называется WordPress SoakSoak Favicon Backdoor. И многие сайты были взломанны именно из-за нее. Она распространяется в установочных архивах плагинов и создает в самых разных папках сайта файлы иконок favicon_****.ico. Вместо **** могут быть любые символы и цифры.

      Использование терминала (SSH) для поиска уязвимостей

      Самым действенным является проверка кода сайта на содержание условно опасных конструкций. Именно в этом нам помогает SSH доступ к сайту и знание консольных команд Linux. Даный способ сработает, если вы знаете зараженные файлы и можете посмотреть их код. Это нужно для того, чтобы обозначить уникальные фрагменты или идинтификаторы переменных. Так как CMS WordPress написана на PHP, нужно хотя бы базовое знание языка и понимание синтаксиса.

      В преведенном выше примере рекомендую искать код используя следующую команду:

      Это команда выведет список всех файлов, которые содержат фрагмент кода @include «. Таким же образом можно искать и другие фрагменты кода, например:

      Плагины безопасности сайта для WordPress

      Мы протестировали свыше десяти различных плагинов для безопасности сайта на WordPress. Несколько наблюдений:

      • Бесплатная версия Wordfence Security не решает проблему с вредоносными .ico файлами.
      • Мало пользы принес WordPress File Monitor, так как его функционал легко заменяется комплексными плагинами по безопасности.
      • Наиболее функциональным, на наш взгляд, оказался All In One WP Security.

      Настройки All In One WP Security

      У плагина есть метрика безопасности. Изначально, она ровна 0 и в процессе настройки плагина ее нужно увеличить. Вот так выглядит дашборд плагина:

      Алгоритм действий по повышению безопасности сайта:

      • заменяем имя пользователя admin на другое, менее распространенное и более уникальное;
      • защищаем авторизацию (несуществующий пользователь, ограничение попыток, блокировка по IP). В целях безопасности залогиненого пользователя без активных действий, через час после авторизации будет выбрасывать с системы;
      • имзеняем префикс таблиц базы данных. Вместо wp_ устанавливаем что-то более безопасное;
      • включаем файрволл, ограничиваем доступ к XML-RPC и всем .log файлам. Защищаемся от просмотра директорий, XSS-атак и HTTP-трассировки;
      • меняем адрес для входа в админ-панель. Вместо /wp-admin ставим что-то запоминающееся, но не очевидное (admin, administrator, backoffice и .т.д не используем). Капчу не включаем, но если понадобиться — плагин позволяет это сделать;
      • есть утилита для отслеживания изменений в файлах с автооповещением и настраиваемой частотой сканирования. Сканирование вредоносных программ (malware) отсутствует, потому не ожидайте, что плагин сам укажет все файлы, которые содержат вирус;
      • плагин рекомендует настроить права на файлы и папки, что поможет еще больше обезопасить сайт.

      Сразу после изменений имеем картину:


      При этом, использованы около половины самых очевидных и простых функций плагина.

      Настойки плагина Sucuri Security

      Еще один довольно популярный плагин для обеспечения безопасности. Среди явных преимуществ следует выделить следующее:

      1. детальные логи пользователей и статистика вызовов Iframe и Javascript;
      2. мониторинг сайта в списках вирусных баз Google, Yandex, SpamHaus и так далее;
      3. выдает рекомендации по настройке Apache;
      4. сканер показывает Scheduled Tasks, которые выполняются системой автоматически. Иногда, можно найти много интересного;
      5. функциональная и очень настраиваемая система уведомлений;
      6. из минусов — Website Firewall Protection это платна услуга.

      Это далеко не все плагины, которые были нами протестированы и опробваны. Возможно, эта статья будет дополнена и улучшена со временем. Старайтесть не подвергать свои сайты опасности.

Ссылка на основную публикацию