27 октября 2018 55 0

Быстрый способ удалить вирус с сайта — реальный кейс

Когда наш ресурс был заражен… мы перерыли весь интернет, в попытке найти инструкцию, как удалить вирус с сайта… сложилось стойкое ощущение, что в рунете очень мало специалистов, кто рассказывает про это.

Как удалить вирус сайта - реальный кейс

Причем, один автор говорит одно… второй — второе, а третий просто какая то абракадабра… не доступная простым смертным. Это и послужило толчком к созданию подробного обзора.

Поэтому, если ваш сайт в данный момент заражен, а вы хотите удалить вирус, то можно выдохнуть… к концу статьи у вас будет понимание, что делать дальше.

1. Первый признак заражения вирусом

Первый странный звоночек, прозвенел вечером… при попытке загрузить главную страницу, вылетало сообщение:

Отсутствие файла wp-config.php на WordPress

Отсутствие файла wp-config.php… ни чего не работало … Особо не переживали, файл был восстановлен из Бекапа хостинга и все заработало…

Но радость, была не долгой. Утором в яндекс-метрике было 58% отказов… которые идут 15 часов подряд.

Отказы в яндекс вебмастере из за вируса редиректа

Большинство посетителей, резко закрывали странички… в следствии чего Яндекс начал понижать позиции… трафик плавно пошел вниз, а следом упало количество заявок.

2. Вирус перенаправляет на другой сайт

Первое с чего стоит начать, если вы заметили что на вашем веб ресурсе вирус, это понять что происходит когда вы заходите на него, корректно ли показывается.

Внимание! Это лучше проверить через «режим инкогнито» в браузере… потому что вирус видел что мы на сайте уже были и нас не перенаправлял. Действовал только на новых посетителей.

Целью вируса была перенаправить посетителей на mp3menu.org,  далее получить личные данные пользователей.

Для анализа наличия вредоносного кода, мы использовали сервис: https://rescan.pro Бесплатно и видно, где проблема.

Вот такие данные мы получили:

Отчет проверки на Рескан.про

Вирус был внутри сайта, а именно прописан в jquery.js и переправлял посетителей на examhome.net… а он в свою очередь открывал mp3menu.org

Как мы писали выше, восстановление через хостинг не помогало, через некоторое время вирус появлялся вновь.

3. Как мы смогли удалить вирус с сайта?

После нескольких попыток удалить вирус самостоятельно, потратив на это дело в общей сложности 3 дня, решено было найти специалиста который решить проблему.

И такой специалист нашелся: Павел Рахов
Работает в сфере защиты сайтов, серверов от взломов и решения проблем с вирусным заражением более 5 лет.

Собственно далее… вопрос к специалисту:

Специалист по удалению вирусов

Вопрос: Что было и как получилось удалить?

Ответ: На самом деле было заражено достаточно много файлов, общий вид вирусного кода начинался со строки: eval(String.fromCharCode

Это закодированный код, после раскодирования, можно увидеть куда идёт редирект.

Все файлы были выявлены, очищены, как с помощью своего собственного софта, так и обычными средствами – Notepad++, sed

Общая уязвимость была в плагине duplicator. Из-за специфики работы плагина, оставались некоторые файлы в системе, через которые атакующий с легкостью может получить доступ к БД и получить временный контроль над сайтом.

Вопрос: А вот здесь по подробнее, что за Duplicator? ))

Плагин WordPress Duplicator создает пакет, который связывает все плагины сайта, темы, контент, базы данных и все WordPress файлы в простой zip-файл. Это удобно для переноса сайта WordPress в любое место. Очень популярный плагин у разработчиков.

Подробно про уязвимость дубликатора писали на Synacktiv, можно посмотреть здесь (клик). 

С начала сентября используя эту уязвимость были взломаны тысячи вебресурсов на WordPress по всему миру.
К тому времени как вы обратились, мы уже спасли десяток сайтов, от подобного заражения. Поэтому Звоните Майку, был так быстро восстановлен.

Вопрос: Расскажи о интересных случаях из своей практики?

В основном обращаются с проблемами:
1) Наличие спам скриптов, которые рассылают спам с сервера
2) Редиректы на вредоносные сайты.

Был недавно интересный нестандартный случай:

Клиент обратился с проблемой, на его сервере был обнаружен руткит – heur: trojan-ddos.linux.xarcen.d
Удаление файлов руткита не помогают, он восстанавливался. Скрин прикрепил.

код трояна

Были проведены следующие работы:
1) Выявлена модификация руткита – Trojan.Linux.Xorddos.K
2) Изучен алгоритм работы руткита
3) Был удален руткит и все его дочерние процессы.
4) Устранена уязвимость.

Вопрос: Что ты можешь посоветовать читателям, чтобы они не попали в подобную ситуацию ?

25 золотых правил, которые полностью не исключат взлом, но значительно затруднят его:

  1. Держите ваши темы и плагины в актуальном состоянии.
  2. Держите основные файлы WordPress в актуальном состоянии.
  3. Используйте надежные пароли.
  4. Менять пароли каждый месяц.
  5. Реализовать двухфакторную аутентификацию.
  6. Ограничить доступ в админку.
  7. Используйте безопасный ftp.
  8. Отключить комментарии, если не требуется.
  9. Отключить регистрацию, если она не требуется.
  10. Используйте https на своем сайте.
  11. Проверьте права доступа к файлам. По умолчанию должно быть 640
  12. Проверьте разрешения папки. Значение по умолчанию должно быть 750.
  13. Отключить отчеты об ошибках php.
  14. Предотвращение атак грубой силы путем ограничения попыток входа в систему.
  15. Изменить префикс базы данных.
  16. Резервное копирование вашего сайта часто.
  17. Удалить учетную запись администратора по умолчанию.
  18. Нет никаких пользователей с администратором, веб-мастером, администратором в качестве их имени.
  19. Измените идентификатор учетной записи администратора по умолчанию.
  20. Удалить файл readme.html и установка.РНР.
  21. Создание секретных ключей.
  22. Используйте плагин безопасности. Я использую ithemes.
  23. Удалить все плагины, которые вы не используете. Чем меньше плагинов вы используете, тем лучше.
  24. Узнайте, как использовать .файлы конфигурации htaccess для улучшения параметров безопасности на сайте.
  25. Отключить XML-RPC в WordPress

Вопрос: Что делать тем, кто обнаружил вирус?

1. Не паниковать и действовать быстро.
2. Ограничить все возможности доступа к сайту и файлам, для их изменения.
Отключить FTP аккаунты, сменить пароль на панель управления хостингом, и оставить для входа только 1 аккаунт.
3. Закрыть сайт для пользователей, поместив на главную страницу “заглушку”
4. Сделать полную резервную копию (самих файлов, и базы данных)
5. Включить ведение логов веб-сервера (если ранее были отключены)
6. Обратиться к специалисту для очистки и устранения уязвимостей.

такие дела :)

Ну мы собственно так и сделали, как написано в пункте №6… обратились к специалисту, но сделали это не сразу… 3 дня мы пытались самостоятельно удалить вирус сайта.

На четвертый день, обратились к Павлу. Он за день решил проблему и закрыл уязвимость.

4. Нарушения и угрозы безопасности на сайте — продолжение истории

После того как Павел удалил вирус, мы возрадовались)) …но тут на сцену выходит Яша…

нарушение и угрозы безопасности (яндекс-вебмастер)

…и громогласно заявляет: Сайт может быть опасен и понижает его в поисковой выдаче. Скрин ниже:

Просадка позиций сайта из за вируса

Почти по всем запросам, с первых позиций по всем запросам мы слетели на 20… заявки пропали…

Рескан не находил вирус и мы решили проверить сна других сервисах проверки:

  1. Вирус тотал
  2. Доктор Веб

Доктор Веб проверка сайта на вирусы

Вирусов нет… но тем не менее мы в базе вредоносных. Скорее всего в один из трех дней робот Яндекса зашел на наш блог, увидел вирус и на следующий день поставил метку: Сайт может быть опасен.

Мы пишем в поддержку Яндекса:

Служба поддержки Яндекса о вирусах

Ответ пришел, только на следующий день, и то с пометкой… мы передали вашу заявку ответственным людям.

Следующие два дня мы находились в ожидании ответа… но на почту сообщения от Яндекса не поступали…

5. Совет который сэкономит время

Не нужно писать в службу поддержки Яндекса… если с вашего сайта удален вирус, то просто:

  1. Зайдите в Яндекс Вебмастер
  2. Нажмите кнопку Перепроверить

И примерно через час позиции вернутся на те же места где и были.

Совет как удалить вирус с сайта

Если у вас же такая ситуация, не тяните кота за хвост… как это делали мы. Свяжитесь со специалистом и решите проблему.

Написать Павлу можно прямо с нашего сайта. И уже через пару часов или ранее, у вас будет собственный специалист, который поможет вам удалить вирус с сайта.

 

Написать специалисту

Оцените материал:
Загрузка...

нет комментариев

Нет комментариев

Ваш e-mail не будет опубликован.