Проверяйте свои блоги на вирусы

9
Просмотров: 2 448

Проверяйте свои блоги на вирусы

Вот именно так, проверяйте иногда свои блоги на вирусы. Ведение блога, написание статей и его продвижение, а так же заработок в сети это отлично, но как оказывается так же надо смотреть и за здоровьем вашего блога. Ведь если ваш блог заражен, то вы можете потерять из-за этого больше, чем приобрести.

Вот и у меня случилось такое. Блог оказался зараженным скриптом. И если бы не Сергей Шелвин, автор блог Shelvin.ru, я бы и не узнал обо этом. Именно Сергей, сообщил мне об этом.

Вчера целый вечер был потрачен на поиск вредоносного кода, который каким то образом был размещен на моем блог. В Твиттере, я получил сообщение от Сергея, что его антивирус Касперского ругается на мой блог, а именно на размещенный на нем скрип. Самое интересное, что у меня на компьютере мой антивирус молчал. Сергей скинул мне скрин сообщения от антивируса и указал где именно размещен скрип.

Я сделал проверку онлайн на вирусы своего блога, попробовал несколько сервисов, но увы не один из них не показал, что на блоге вирус. Самое интересное, что и поисковик, ничего толком не нашел по этому скрипту.

Скрипт бы размещен уже после тега. Выглядел вот так:

Скрипт вируса

Что именно делал скрипт, оказалось, что он собирал данные статистики, заходы, страны, ip и т.д. По большому счету, ничего криминального и скажем там плохого. Все эти данные, он отправлял на сайт moo.com. Больше всего меня волновало, как скрипт попал ко мне на блог. И если, я не могу найти этот скрип в теме блога, значит он был залит на мой хостинг,а это значит, что ломанули хостера, ну или мой пароль FTP.

Так, как пароль, кроме меня и верстальшика который верстал дизайн этого блога больше ни кто не знал, а этому человеку я доверяю, значит окончательно понял, что ломанули. Хотя оставался вариант с плагинами, но так как я ничего не устанавливал больше на блог уже очень давно, то и эта тема отпала.

И так, если вдруг на вашем блоге вы обнаружили вот такой скрип, ваши действия следующие, по крайней мере я так делал:

  • Сообщил хостеру о взломе. Причем сказал, что либо вас ломанули, либо меня
  • Приостановил работу блога. Почему приостановил, так как на тот момент не знал, что именно это за скрип и, что он может
  • Сообщил о проблеме верстальщику. На всякий случай, может он знает, что да как
  • Полностью скачал себе на компьютер папку с сайтом. Что бы в чей начать поиск вредоносного кода
  • Позвонил другу и попросил его посмотреть на данный скрипт. Он человек знающий, работает в сфере безопасности и со всем, что связанно вообще в безопасностью в сети. Именно оно пояснил, мне, что данный скрипт делает. Что делать, что говорить и требовать от хостера первым делом.

Я скачал, себе папку с блогом на десктоп, и начал искать вредоносный код. Параллельно со мной работал хостер, верстальщик и еще один человек из Twitter изъявивший желание помочь с этим делом. Большой моей ошибкой было искать код в файлах в папке с темой. Запомните, этого кода там нет. Вы только потратите время зря.
Сам скрипт расположен в файле index.php. Но еще раз это не файл темы!
Именно там сидит этот скрипт. Удаляете его или если у вас есть бекап просто заменяете этот файл на не зараженный. И на этом все!

Хостер меня опередил, делал это ровно на минуту раньше меня. Блог возобновил работу.
В твиттере попросил еще раз Сергея зайти на блог, проверить если его антивирус не ругается. Сергей сообщил, что все отлично.
Проблема решена.

Хостер, так же прислал отчет, что именно сделал, как исправлял, а так же настоятельно порекомендовал сменить все пароли и как можно скорее.

Проверяйте свои блоги хотя бы раз в месяц на вредоносные скрипты и коды. Проверяйте свой блог, а именно его код. Потратьте не много времени на это, что бы потом не было не приятностей у вашего блога.

 

9 КОММЕНТАРИИ

  1. Если обратить внимание на скрин, то можно предположить еще один вариант поиска подобного рода скриптов. Можно в программе Total Commander задать поиск слов в файлах, и в качестве строки поиск задать — <.
    В результатах, появятся файлы, в которых после закрывающего тега , что нибудь еще есть.

  2. Можно имя хостинга в личку. Сам на днях восстановил 25 сайтов с этим вирусом, он еще с собой притащил заражение всех файлов с .js Подозреваю что это один и тот же хостинг.

  3. У меня тоже недавно взломали сайт, первый день залили пару фейковых страниц в папку к сайту и гнали на него траф. Все пароли поменял FTP, хостинга, акка. И на следующий день саппорт мне сообщил, что с моего акка открываются бесчисленные сокеты и они его заблокировали. В итоге скачав и проверив всё антивирусом, оказалось что шаблон попался дырявый, пришлось сверстать на скорую руку свой.

    • Ну на шаблон я вообще не думал и не думаю, так как он мой, а не из паблика. Тем более тот кто верстал и помогал искать код.

      А вообще да, надо всегда проверять шаблоны из паблика на разный левый код

  4. Второй месяц ищу ответ на мою проблему. Был взломан хостинг, на сайт добавили в темы сайта директорию templates/mam/ , в которую положили htaccess и index.php, генерировавшие в выдачу огромное число страниц по запросам, которых и близко нет на сайте. Эти страницы попали в индекс, потому что я поздно заметила. Несмотря на то, что директорию удалила и robots.txt закрыла, в панели вебмастера и яндекса и гугла продолжаю наблюдать эти ссылки, и совершенно «левые» запросы. Как мне от этого избавиться? Или есть вероятность, что где-то еще что-то подсадили? Спасибо

ОСТАВЬТЕ ОТВЕТ