Подписка на обновления
Популярно
Ленина 154847 Россия, Москва +7 (495) 752-58-92
 

Последствия взлома блога и защита wordpress


Вредоносный код на блоге и защита wordpress

Не ждали? А мы приперлись

Как часто вы редактируете свои старые статьи? Думаю, что очень редко. Я тоже редко это делал. А зря. Как то понадобилось мне отредактировать ссылку в старой статье.  Открываю в редакторе и вижу лишний скрипт, который к ссылке не имеет никакого отношения.Так же код был в некоторых местах перед закрывающим тегом </p>.

 

Здрасьте, приехали. А как же защита wordpress, которую я применял до этого момента и считал её надежной? Выражаясь словами героя известного мультфильма оказалось, что "Маловато будет!"

 

Последствия взлома

 

В коде ссылки присутствовал следующий код

Причем этот код виден только в редакторе в режиме кода. В визуальном режиме, так же как и при просмотре сайта, код  не виден. Открыв рандомно несколько старых статей, в каждой в коде ссылок обнаружил этот странный скрипт.

 

Для поиска других вариантов использовал плагин Search Regex. В итоге нашел еще

Был еще четвертый вариант, но я его удалил без сохранения. Причем левая часть "<script src=" была ссылкой

В некоторых файлах движка были строки

Код вируса в php файлах

Вирус в php файле

Антивирус хостинга Virusdie определил как зараженные файлы

 

  • header.php
  • custom-header.php
  • admin-footer.php
  • admin-header.php
  • menu-header.php
  • index.html

 

Так же был заражен файл плагина UpdraftPlus. В итоге данный плагин был удален. Либо дыра в плагине, либо не его вина. Проще снести и не рисковать.

Антивирус хостинга обозначил вирус как PHP.BlacoleRef.  Все файлы были вылечены антивирусом хостера.

Лучший хостинг

 

Поиск мусора в статьях плагином Search Regex

 

Как уже написано выше, в коде статей был обнаружен посторонний скрипт. В сети пишут, что скриптов появляется несколько вариантов

Просматривать код всех статей блога - дело не благодарное и долгое. С учетом того, что скрипты попадаются не только в ссылках, но и просто в тексте, есть риск пропустить заразу. У себя на блоге удалял этот мусор плагином Search Regex, который позволяет искать нужный текст и заменять его на другой.

Плагин wordpress Search Regex

Плагин Search Regex

Достаточно в первое поле ввести код скрипта, а следующее поле оставить пустым.Нажать поиск-замена. Таким образом плагин найдет все вхождения этой гадости и заменит на пустое место. Для поиска разных вариантов этой гадости можно в поле поиска ввести часть скрипта "src="//" и плагин найдет все варианты этих скриптов в ваших статьях.

В общем весь мусор из статей блога был удален. Однако через дней пять он снова появился. Повторное сканирование блога антивирусом хостера результатов не дал. В ручную просматривать все папки сайта на предмет лишних файлов дело муторное. Сайт был дополнительно проверен антивирусами Aibolit и Manul (от Яндекса). Оба антивируса обматерили файл index.2.php в папке "webstat.none" с шеллом внутри. Написал хостеру, что их антивирус не нашел файл с шелом. Файл удален - пока тихо.

 

Отслеживание попыток взлома

 

Попытки взлома идут постоянно. Если вы думаете, что ваш блог мало посещаем и хакерам не нужен, вы глубоко ошибаетесь.

Лог плагина SEO Redirection Free

Лог плагина SEO Redirection Free

Это лог плагина SEO Redirection Free. На скрине только первая страничка лога. Запросы на наличие определенных плагинов, тем и файлов на сайте. Так что хватает козлов, желающих воспользоваться плодами вашего труда в своих целях. Этот лог очень облегчает поиск "левых" файлов на вашем сайте, особенно сразу после заражения.

 

Защита wordpress

 

Если у вас еще не установлены плагины для защиты wordpress, обязательно сделайте это. Иначе будете чистить сайт от вирусни до бесконечности. Вот некоторые из популярных плагинов

 

  • Acunetix Secure WordPress
  • Lockdown WP Admin
  • Wordfence Security

 

И не забывайте обновляться. Защита и своевременное закрытие уязвимостей - залог здоровья ваших блогов.


С уважением Денис Иванов, автор блога dendrblog.ru



Нашли ошибку? Покажите автору блога. Выделите мышкой и нажмите shift+enter на клавиатуре.

Комментариев:8
  1. Денис:

    Просто удалить вредоносный код не достаточно, если он проник, значит где-то есть дыра. Когда у меня появлялась такая бяка, то в первую очередь менял пароль от админки, от БД и панели хостера. Затем заменял все файлы движка на чистые из дистрибутива. Еще хороший вариант — поставить двухфакторную аутентификацию при доступе к wp-admin.

    Айболитом пользовался, хороший скрипт, хотя иногда ругается даже на оригинальные файлы WP, а Манул почему-то не пошел на моем хостинге — крутится проверка и бес толку, пол часа ждал и удалил не получив результата.

    0
    Голосов нет
    Ждите .....
    Ответить
    1. Денис Иванов:

      У меня Manul без проблем отработал.
      Заражение сайта как то само собой подразумевает смену паролей доступа. Файлы движка можно менять не все. Плагин Wordfence Security например сканирует файлы движка и плагинов и сравнивает их с оригинальными. Если не совпадает, можно заменить автоматически.
      Яндекс по ходу из-за из-за этой заразы меня под АГС закинул. Сейчас АГС снят. Тиц вернулся. Даже с двойным приростом.

      0
      Голосов нет
      Ждите .....
      Ответить
  2. Елена:

    А у меня тоже недавно была в чем-то похожая ситуация. Причем, не сама бяку нашла, а девушка одна написала — мол, у меня на сайте от вас проблемы, а понять, в чем дело, мы не можем. Стала искать и… А я-то все понять не могу, чем Яндекс недоволен!
    В общем, присоединяюсь к Вам, контролировать процесс надо регулярно.

    0
    Голосов нет
    Ждите .....
    Ответить
    1. Денис Иванов:

      Без контроля никуда. Постоянно какая-нибудь гадость пролезть пытается. Периодически запускается антивирус на поиск.

      0
      Голосов нет
      Ждите .....
      Ответить
  3. Максим Бойко:

    Совсем не хочется проблем… Тоже пользуюсь различными защитными «штучками». Очень жаль, если какой-нибудь козёл гадостей наделает.

    0
    Голосов нет
    Ждите .....
    Ответить
    1. Денис Иванов:

      Очень обидно, когда вкладываешь в свое детище душу, время, финансы. И какая то сволочуга будет гадить.

      0
      Голосов нет
      Ждите .....
      Ответить
  4. Олег:

    Здравствуйте! Прочитал вашу статью – очень интересно и грамотно написано. Давно хотел что-то подобное узнать. У меня у самого есть свой блог (ему полгода), и у меня до сих пор нет плагина для защиты WordPress. Я особо так и не думал, что мой молодой блог будет кому-то интересен. Ведь даже посещаемость у него смешная. А тут такое делается. Нужно будет срочно менять ситуацию, ставить какой-нибудь толковый плагин. Ведь действительно, разных плагинов слишком много и все они обещают «золотые горы», но в действительности не все так просто. А вручную чистить все старые статьи неохота. А какой из трех перечисленных вами плагинов самый лучший?

    0
    Голосов нет
    Ждите .....
    Ответить
  5. Галина:

    Да уж, приятного мало в таких ситуациях. Вылечить сайт от заражения — жутко нудная задача. Бывало такие задачи пачками сыпались (мол, давайте, скорее-быстрее-немедленно чините, клиент плачет). Тут и Айболитом пробежишься, и Манулом, и антивирусом от хостинга (если таковой есть). И то, бывали случаи, что с первого раза проблема не решалась: вычистишь сайт, а он через пару месяцев снова весь черти на что похож. 

    И ведь чаше всего страдает как раз не Вордпресс, а Джумла (хотя, соотношение и тех и других сайтов на поддержке у нас одинаковым было).

    0
    Голосов нет
    Ждите .....
    Ответить

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

© 2017 Wordpress доступно о сложном

Воровство контента карается табуреткой по голове.

Авторизация
*
*
Регистрация
*
*
*
Пароль не введен
Генерация пароля