Закодировали
Дата: 10.09.2011
ечь в данной статье пойдёт не о борьбе с пагубным пристрастием к алкоголю. Недавно обнаружил, что посещаемость с Яндекса моего блога «Со всеми прочими…» упала в ноль. Причина оказалась довольно банальной – какая-то сволочь какой-то добрый человек разместил в файлах темы WordPress моего ресурса вредоносный код. Google в этой ситуации оказался более лояльным и на эту какашку внимания не обратил.
По поводу жёлтой карточки от Яндекса я особо не переживал, поскольку этот поисковик посетителями меня не балует. Но хуже всего то, что браузер Opera тоже встал на сторону добра и начал предупреждать пользователей Интернета о смертельной опасности, подстерегающей их на моём блоге. На вопли о помощи хостер «Агава» вежливо послал меня в дальнее путешествие, грубо выражаясь, на хрен…
Посылая дружеские проклятия «специалисту», который знает, как сделать каку ближнему своему, пришлось долго рыться в сети и искать нужную информацию. Некоторые крупицы знаний извлечь всё же удалось. Помогло ещё и то, что я не злоупотребляю различного рода сценариями на JavaScript, иначе процесс поимки вредоносного кода был бы более длительным.
После тщательной ручной проверки шаблона моей темы WordPress в файле functions.php (функции темы) удалось найти вредоносный код, который там незаконно прописался. Выглядит троянский педальный конь так:

Итак, полезная информация и мои действия по борьбе с эпизоотией (вот какое умное слово я знаю!) на блоге с CMS WordPress:
1. Прежде всего, проверил свой компьютер на вирусы и трояны. Нашлось немало неприятных сюрпризов.
2. Злоумышленники попадают на сайты, воруя логины и пароли. Разбираться, как они это делают, желания не было и я просто сменил свои личные данные для входа на блог. Совет: не храните свои пароли в браузерах и ftp-клиентах, безопаснее каждый раз вводить их вручную.
3. Часто вредоносный код или ссылку типа http://govnosayt.ru/ размещают в сценариях, написанных на JavaScript. Для облегчения поиска желательно иметь первоначальные образцы ваших скриптов (для сравнения). Свои скрипты (счётчики, кнопки и др.) я не проверял, так как они закрыты от индексации тегами <noindex> </noindex> и значением «nofollow» атрибута rel.
4. Местом прописки вредоносного кода часто выбирают файлы темы Интернет-ресурса: index.php, index.html, footer.php и др. В моём случае им оказался functions.php. Размещают вредоносный код обычно в начале или конце файла. Для поиска я открыл в блокноте Notepad++ свой изначально созданный «родной» файл functions.php, затем его версию, которая была в моём блоге на момент проверки, и сравнил их. В результате был найден паразит, изображённый на фотографии выше. Смерть его не была лёгкой – после того как я побрызгал на беса святой водой, он отправился в ад.
На этом обряд экзорцизма можно было бы считать законченным, но зная, что Яндекс часто не торопится отменять свои штрафные санкции, я через панель Яндекс.Вебмастер отправил просьбу о перепроверке моего блога на наличие вредоносного кода. И, о чудо! Прошло всего чуть больше суток, как с меня сняли бан, с чем я себя и поздравляю. Однако моя статья «Чистка бойлера» до сих пор отображается в браузере с пометкой «в чёрном списке».
P.S.
11.09.2011 На данный момент вроде всё «устаканилось» и позорное клеймо с моего ресурса было снято.
21.11.2011 Однако на этом мои приключения не закончились. Продолжение читайте в статье «Закодировали. Перезагрузка»
Понравилась статья? Подпишитесь на обновления блога!
Татьяна 11.09.2011 в 09:25
Самая полезная статья, я имею ввиду «Чистка бойлера»
А по этой ссылке посмотри насчет плагина от этого гада, я имею в виду вредителя. Сама еще не читала, только что нашла: Как найти вредоносный код
peshehod 11.09.2011 в 10:21
Стоит у меня плагин ТАС и показывает, что всё на моём блоге ОК, никакого вредоносного кода или скрытых ссылок на ГС нет. По поводу ссылок может он и прав — тему для своего ресурса я делал самостоятельно, а вот вредоносный код хвалёный ТАС обнаружить не смог. Не хочу сказать, что плагин совсем бесполезный, судя по отзывам пользователей толк от него есть. Жаль, что только не в моём случае — много времени потратил пока нашёл этого троянского коня.
Татьяна 11.09.2011 в 09:26
Интересно, почему такая длинная ссылка?
peshehod 11.09.2011 в 10:37
Это не ссылка, а вредоносный код, который запускает исполняемое приложение на языке программирования JavaScript. Если я правильно понял, приложение помогает воровать конфиденциальную информацию типа паролей, ключей и т.п.
Татьяна 11.09.2011 в 13:29
Да ты что? И что, убрать этот сайт из употребления? А там столько полезного. Я имею ввиду ту синенькую ссыллку, в моем первом комментарии.
peshehod 12.09.2011 в 00:25
Я понял. Зачем убирать? Просто в моём случае плагин ТАС не помог мне обнаружить вредоносный код. А вообще любая информация несёт определённую пользу. Взять хотя бы статью, на которую ты ссылаешься: там есть совет использовать плагин ТАС только периодически, а в остальное время держать его выключенным, чтобы снизить нагрузку на сервер.
Nik 11.09.2011 в 13:35
Ещё советы: обязательно обновляйте CMS WordPress до последней версии. Периодически нужно проверять исходный код блога на появление чего-нибудь подозрительного и выявлять новые незнакомые файлы в папках. Предохраняться нужно не только в сексе!
Татьяна 12.09.2011 в 06:32
…золотые слова! Главное вовремя сказаны!
seo-самурай 15.09.2011 в 22:16
Хостера поменяй, я думаю вся зараза от них.
Я с одного ушёл Megabiet или com. или net. не помню.
Я бесплатными пользуюсь. Думаю, если сайт из себя ничего не представляет, то зачем платить деньги.
peshehod 15.09.2011 в 23:38
Надеюсь, что мой блог когда-нибудь будет что-то собой представлять, а о смене хостера я уже думал. Главный плюс «Агавы» — это безотказность серверов, сайты доступны практически 99,9 % времени. Но на нормальные тарифные планы у них расценки очень высокие. У недорогих планов функционал сильно ограничен и служба поддержки к таким клиентам относится равнодушно.
Как найти хорошего хостера? Это лотерея.
Татьяна 16.09.2011 в 20:39
Разве Радиусхост бесплатный, я посмотрела, там за все денюшка нужна…
seo-самурай 17.09.2011 в 09:57
Бесплатный также есть. Ограничения в Мб, только я ещё в этом не разбираюсь.
В услугах вроде нет ограничений. Обновления, закачки плагинов всё одним кликом.
Пароль на FTP правда сами дают. Чем грозит не знаю.
Bing исход у меня 18900, когда появилось не знаю, на старом или на этом хостинге. Как определить откуда не знаю.
Татьяна 17.09.2011 в 12:06
А я думала Вы в этом разбираетесь, у Вас такой блог!
С детства интересовалась Японией, а теперь с таким удовольствием прочитала и посмотрела всего Акунина!
Я собираюсь скоро большой блог делать на Вордпрессе, и нашла отличный хост, дороговат, но надо же с чего-нибудь начинать… А эти аудио-уроки на бесплатном блогспоте — объем — неограниченный!
Татьяна 17.09.2011 в 12:08
И хочу хозяину «Со всеми прочими…» посоветовать Макхост, а то он с этой Агавой намучился…
peshehod 17.09.2011 в 20:48
И про Макхост мнения не однозначные. «Белые придут — грабють, красные придут — тоже грабють! И куды селянину податься?»
seo-самурай 20.09.2011 в 12:24
Почитал про Макхост на лукоморье… однако:).
Я taghosting планировал если путёвый бесплатный не найду, там в год 900р. Отзывы разные.
В любом случае доменное имя нужно получать не там, где планируется хоститься, а то потом фик свалишь.
Рамиль 20.09.2011 в 13:56
Я храню в архиве весь исходник сайта (WP со всеми дополнительными файлами). Если возникает подобное заражение, то просто для начала меняю пароль входа ФТП, затем, через ФТП заливаю исходник. В кодах редко копаюсь.
peshehod 21.09.2011 в 00:32
Отличная мысль. Я в файлы шаблона иногда вношу изменения. Надо будет скопировать свои исходные файлы из последних бэкапов, а то есть только первоначальный вариант.
Татьяна 21.09.2011 в 06:46
…а я хотела домен брать у хостера…
Malone 25.09.2011 в 13:24
Жуткая история. Так вот трудишься, пишешь, а тут какой-то троянец-поганец подкрался и насвинячил втихую. Статья полезная, буду впредь осторожней с паролями.
ivgan 28.09.2011 в 00:04
Бывают же люди!!! Мне самому иногда хочется найти человека, который создаёт вирусы и провести разъяснительную работу «как нехорошо создавать вредоносные программы/коды».
peshehod 28.09.2011 в 16:09
И тапком его по попе, тапком…
trex 09.10.2011 в 14:00
А вредоносный код на JavaScript написан. На блоги WordPress часто подселяют различных зловредов. Яндекс реагирует оперативно на такие вещи.
Дима 17.12.2011 в 04:46
Такое неприятное злодейство часто встречается, особенно в последнее время. Но самое ужасное, что далеко не все способны самостоятельно справиться с этой проблемой.
Alex 17.03.2012 в 20:09
Хорошо, что хорошо заканчивается. Вот я не уверен, смог бы и я так же справиться с вредоносным кодом. А ведь от таких подарков в сети никто не застрахован.
ivan 28.03.2012 в 08:12
Плагин TAC при смене шаблона блога обнаруживает зловредов, скрытых в новом шаблоне. По идее он должен указать местонахождение ссылок и вредоносных кодов в виде небольшого фрагмента. Вам останется только удалить их из новой темы.
Влад 05.04.2012 в 11:37
Да, «везет» Вам! Все что можно сказать. Найти бы этого нехорошего человека и внедрить ему вредоносный код в одно место. Но главное, что Вы справились и получили опыт борьбы с зловредами.
roberto 04.10.2012 в 14:27
Достаточно придумать длинный пароль (знаков на 40-50) с буквами верхнего и нижнего регистра, цифрами и специальными символами. Никакой робот не сможет подобрать такую комбинацию. По крайней мере, понадобится не один месяц, а за это время пароль можно менять неоднократно.
Wanda 12.10.2012 в 22:21
Ага, задача ясна: кроме обязательного бэкапа (что уже азбучная истина), хранить копию исходников и по минимуму пользоваться Java Script. Окей, на будущее учту.
peshehod 13.10.2012 в 00:03
Судя по личному сайту, Вас действительно интересуют подобные нюансы. Редко можно встретить женщин, которые самостоятельно пытаются разобраться в технических вопросах. Вот только обязательная регистрация, на мой взгляд, отпугивает потенциальных комментаторов. А это всё-таки дополнительный контент и позитивный поведенческий фактор, что немаловажно с точки зрения поисковиков. Для молодого блога достаточно модерации (ИМХО).
Сергей 06.11.2012 в 07:51
Еще надо ограничивать возможность создание статей пользователями. Убрать возможность создавать php и FullHTML для пользователей.
alekcandr 09.11.2012 в 00:14
С файлом functions.php вообще опасно играться. Достаточно пропустить один слеш или скобку в коде и всё — сайт падает. Поэтому бэкапы темы необходимы, чтобы была возможность восстановить утраченное. Я пользуюсь плагином BackWPup, который каждый день скидывает мне архивы с бэкапами на аккаунт в Dropbox. А можно настроить пересылку на почтовый ящик. Очень удобно.
Фёдор 06.12.2012 в 12:30
Насколько выгодно ломать молодые сайты с низкой посещаемостью? Мне непонятно. Переходов по ссылкам не будет, индексации не будет, воровать информацию с практически пустого сайта не имеет смысла, поисковики всё равно быстро вычислят вредоносный код. Зачем тратить время, я не понимаю. Раскрученные сайты совсем другое дело. Но там шансов нет. Если у админов хватило ума продвинуть проект, то предупредить взлом или ликвидировать его последствия им не составит труда.
Ум-разум 28.12.2012 в 12:55
Часто неопытные блогеры, сами того не подозревая, устанавливают вредоносный код. Происходит это приблизительно так:
Под Новый год владелец блога натыкается в Сети на сайт, где размещено тематическое украшение: гифка, картинка, анимация и т.п. Желание установить себе подобную «красоту» приводит его (её) на сайт, где эти картинки бесплатно раздают. Нужно лишь прописать в соответствующем файле темы Вордпресс небольшой код, отвечающий за вывод изображения.
Всё, дитё само потянуло в рот заразу грязными ручонками. Готовьте попу под уколы!