Закодировали

Дата: 10.09.2011

фото буквы р

ечь в данной статье пойдёт не о борьбе с пагубным пристрастием к алкоголю. Недавно обнаружил, что посещаемость с Яндекса моего блога «Со всеми прочими…» упала в ноль. Причина оказалась довольно банальной – какая-то сволочь какой-то добрый человек разместил в файлах темы WordPress моего ресурса вредоносный код. Google в этой ситуации оказался более лояльным и на эту какашку внимания не обратил.

По поводу жёлтой карточки от Яндекса я особо не переживал, поскольку этот поисковик посетителями меня не балует. Но хуже всего то, что браузер Opera тоже встал на сторону добра и начал предупреждать пользователей Интернета о смертельной опасности, подстерегающей их на моём блоге. На вопли о помощи хостер «Агава» вежливо послал меня в дальнее путешествие, грубо выражаясь, на хрен…

Посылая дружеские проклятия «специалисту», который знает, как сделать каку ближнему своему, пришлось долго рыться в сети и искать нужную информацию. Некоторые крупицы знаний извлечь всё же удалось. Помогло ещё и то, что я не злоупотребляю различного рода сценариями на JavaScript, иначе процесс поимки вредоносного кода был бы более длительным.

После тщательной ручной проверки шаблона моей темы WordPress в файле functions.php (функции темы) удалось найти вредоносный код, который там незаконно прописался. Выглядит троянский педальный конь так:

фото вирус-троян

Итак, полезная информация и мои действия по борьбе с эпизоотией (вот какое умное слово я знаю!) на блоге с CMS WordPress:

1. Прежде всего, проверил свой компьютер на вирусы и трояны. Нашлось немало неприятных сюрпризов.

2. Злоумышленники попадают на сайты, воруя логины и пароли. Разбираться, как они это делают, желания не было и я просто сменил свои личные данные для входа на блог. Совет: не храните свои пароли в браузерах и ftp-клиентах, безопаснее каждый раз вводить их вручную.

3. Часто вредоносный код или ссылку типа http://govnosayt.ru/ размещают в сценариях, написанных на JavaScript. Для облегчения поиска желательно иметь первоначальные образцы ваших скриптов (для сравнения). Свои скрипты (счётчики, кнопки и др.) я не проверял, так как они закрыты от индексации тегами <noindex> </noindex> и значением «nofollow» атрибута rel.

4. Местом прописки вредоносного кода часто выбирают файлы темы Интернет-ресурса: index.php, index.html, footer.php и др. В моём случае им оказался functions.php. Размещают вредоносный код обычно в начале или конце файла. Для поиска я открыл в блокноте Notepad++ свой изначально созданный «родной» файл functions.php, затем его версию, которая была в моём блоге на момент проверки, и сравнил их. В результате был найден паразит, изображённый на фотографии выше. Смерть его не была лёгкой – после того как я побрызгал на беса святой водой, он отправился в ад.

На этом обряд экзорцизма можно было бы считать законченным, но зная, что Яндекс часто не торопится отменять свои штрафные санкции, я через панель Яндекс.Вебмастер отправил просьбу о перепроверке моего блога на наличие вредоносного кода. И, о чудо! Прошло всего чуть больше суток, как с меня сняли бан, с чем я себя и поздравляю. Однако моя статья «Чистка бойлера» до сих пор отображается в браузере с пометкой «в чёрном списке».

P.S.
11.09.2011 На данный момент вроде всё «устаканилось» и позорное клеймо с моего ресурса было снято.
21.11.2011 Однако на этом мои приключения не закончились. Продолжение читайте в статье «Закодировали. Перезагрузка»

Понравилась статья? Подпишитесь на обновления блога!


комментария 34 к статье “Закодировали”

  1.  Татьяна 11.09.2011 в 09:25

    Самая полезная статья, я имею ввиду «Чистка бойлера»

    А по этой ссылке посмотри насчет плагина от этого гада, я имею в виду вредителя. Сама еще не читала, только что нашла: Как найти вредоносный код

  2.  peshehod 11.09.2011 в 10:21

    Стоит у меня плагин ТАС и показывает, что всё на моём блоге ОК, никакого вредоносного кода или скрытых ссылок на ГС нет. По поводу ссылок может он и прав — тему для своего ресурса я делал самостоятельно, а вот вредоносный код хвалёный ТАС обнаружить не смог. Не хочу сказать, что плагин совсем бесполезный, судя по отзывам пользователей толк от него есть. Жаль, что только не в моём случае — много времени потратил пока нашёл этого троянского коня.

  3.  Татьяна 11.09.2011 в 09:26

    Интересно, почему такая длинная ссылка?

  4.  peshehod 11.09.2011 в 10:37

    Это не ссылка, а вредоносный код, который запускает исполняемое приложение на языке программирования JavaScript. Если я правильно понял, приложение помогает воровать конфиденциальную информацию типа паролей, ключей и т.п.

  5.  Татьяна 11.09.2011 в 13:29

    Да ты что? И что, убрать этот сайт из употребления? А там столько полезного. Я имею ввиду ту синенькую ссыллку, в моем первом комментарии.

  6.  peshehod 12.09.2011 в 00:25

    Я понял. Зачем убирать? Просто в моём случае плагин ТАС не помог мне обнаружить вредоносный код. А вообще любая информация несёт определённую пользу. Взять хотя бы статью, на которую ты ссылаешься: там есть совет использовать плагин ТАС только периодически, а в остальное время держать его выключенным, чтобы снизить нагрузку на сервер.

  7.  Nik 11.09.2011 в 13:35

    Ещё советы: обязательно обновляйте CMS WordPress до последней версии. Периодически нужно проверять исходный код блога на появление чего-нибудь подозрительного и выявлять новые незнакомые файлы в папках. Предохраняться нужно не только в сексе!

  8.  Татьяна 12.09.2011 в 06:32

    …золотые слова! Главное вовремя сказаны!

  9.  seo-самурай 15.09.2011 в 22:16

    Хостера поменяй, я думаю вся зараза от них.
    Я с одного ушёл Megabiet или com. или net. не помню.
    Я бесплатными пользуюсь. Думаю, если сайт из себя ничего не представляет, то зачем платить деньги.

  10.  peshehod 15.09.2011 в 23:38

    Надеюсь, что мой блог когда-нибудь будет что-то собой представлять, а о смене хостера я уже думал. Главный плюс «Агавы» — это безотказность серверов, сайты доступны практически 99,9 % времени. Но на нормальные тарифные планы у них расценки очень высокие. У недорогих планов функционал сильно ограничен и служба поддержки к таким клиентам относится равнодушно.
    Как найти хорошего хостера? Это лотерея.

  11.  Татьяна 16.09.2011 в 20:39

    Разве Радиусхост бесплатный, я посмотрела, там за все денюшка нужна…

  12.  seo-самурай 17.09.2011 в 09:57

    Бесплатный также есть. Ограничения в Мб, только я ещё в этом не разбираюсь.
    В услугах вроде нет ограничений. Обновления, закачки плагинов всё одним кликом.
    Пароль на FTP правда сами дают. Чем грозит не знаю.
    Bing исход у меня 18900, когда появилось не знаю, на старом или на этом хостинге. Как определить откуда не знаю.

  13.  Татьяна 17.09.2011 в 12:06

    А я думала Вы в этом разбираетесь, у Вас такой блог!
    С детства интересовалась Японией, а теперь с таким удовольствием прочитала и посмотрела всего Акунина!
    Я собираюсь скоро большой блог делать на Вордпрессе, и нашла отличный хост, дороговат, но надо же с чего-нибудь начинать… А эти аудио-уроки на бесплатном блогспоте — объем — неограниченный!

  14.  Татьяна 17.09.2011 в 12:08

    И хочу хозяину «Со всеми прочими…» посоветовать Макхост, а то он с этой Агавой намучился…

  15.  peshehod 17.09.2011 в 20:48

    И про Макхост мнения не однозначные. «Белые придут — грабють, красные придут — тоже грабють! И куды селянину податься?»

  16.  seo-самурай 20.09.2011 в 12:24

    Почитал про Макхост на лукоморье… однако:).
    Я taghosting планировал если путёвый бесплатный не найду, там в год 900р. Отзывы разные.
    В любом случае доменное имя нужно получать не там, где планируется хоститься, а то потом фик свалишь.

  17.  Рамиль 20.09.2011 в 13:56

    Я храню в архиве весь исходник сайта (WP со всеми дополнительными файлами). Если возникает подобное заражение, то просто для начала меняю пароль входа ФТП, затем, через ФТП заливаю исходник. В кодах редко копаюсь.

  18.  peshehod 21.09.2011 в 00:32

    Отличная мысль. Я в файлы шаблона иногда вношу изменения. Надо будет скопировать свои исходные файлы из последних бэкапов, а то есть только первоначальный вариант.

  19.  Татьяна 21.09.2011 в 06:46

    …а я хотела домен брать у хостера…

  20.  Malone 25.09.2011 в 13:24

    Жуткая история. Так вот трудишься, пишешь, а тут какой-то троянец-поганец подкрался и насвинячил втихую. Статья полезная, буду впредь осторожней с паролями.

  21.  ivgan 28.09.2011 в 00:04

    Бывают же люди!!! Мне самому иногда хочется найти человека, который создаёт вирусы и провести разъяснительную работу «как нехорошо создавать вредоносные программы/коды».

  22.  peshehod 28.09.2011 в 16:09

    И тапком его по попе, тапком…

  23.  trex 09.10.2011 в 14:00

    А вредоносный код на JavaScript написан. На блоги WordPress часто подселяют различных зловредов. Яндекс реагирует оперативно на такие вещи.

  24.  Дима 17.12.2011 в 04:46

    Такое неприятное злодейство часто встречается, особенно в последнее время. Но самое ужасное, что далеко не все способны самостоятельно справиться с этой проблемой.

  25.  Alex 17.03.2012 в 20:09

    Хорошо, что хорошо заканчивается. Вот я не уверен, смог бы и я так же справиться с вредоносным кодом. А ведь от таких подарков в сети никто не застрахован.

  26.  ivan 28.03.2012 в 08:12

    Плагин TAC при смене шаблона блога обнаруживает зловредов, скрытых в новом шаблоне. По идее он должен указать местонахождение ссылок и вредоносных кодов в виде небольшого фрагмента. Вам останется только удалить их из новой темы.

  27.  Влад 05.04.2012 в 11:37

    Да, «везет» Вам! Все что можно сказать. Найти бы этого нехорошего человека и внедрить ему вредоносный код в одно место. Но главное, что Вы справились и получили опыт борьбы с зловредами.

  28.  roberto 04.10.2012 в 14:27

    Достаточно придумать длинный пароль (знаков на 40-50) с буквами верхнего и нижнего регистра, цифрами и специальными символами. Никакой робот не сможет подобрать такую комбинацию. По крайней мере, понадобится не один месяц, а за это время пароль можно менять неоднократно.

  29.  Wanda 12.10.2012 в 22:21

    Ага, задача ясна: кроме обязательного бэкапа (что уже азбучная истина), хранить копию исходников и по минимуму пользоваться Java Script. Окей, на будущее учту.

  30.  peshehod 13.10.2012 в 00:03

    Судя по личному сайту, Вас действительно интересуют подобные нюансы. Редко можно встретить женщин, которые самостоятельно пытаются разобраться в технических вопросах. Вот только обязательная регистрация, на мой взгляд, отпугивает потенциальных комментаторов. А это всё-таки дополнительный контент и позитивный поведенческий фактор, что немаловажно с точки зрения поисковиков. Для молодого блога достаточно модерации (ИМХО).

  31.  Сергей 06.11.2012 в 07:51

    Еще надо ограничивать возможность создание статей пользователями. Убрать возможность создавать php и FullHTML для пользователей.

  32.  alekcandr 09.11.2012 в 00:14

    С файлом functions.php вообще опасно играться. Достаточно пропустить один слеш или скобку в коде и всё — сайт падает. Поэтому бэкапы темы необходимы, чтобы была возможность восстановить утраченное. Я пользуюсь плагином BackWPup, который каждый день скидывает мне архивы с бэкапами на аккаунт в Dropbox. А можно настроить пересылку на почтовый ящик. Очень удобно.

  33.  Фёдор 06.12.2012 в 12:30

    Насколько выгодно ломать молодые сайты с низкой посещаемостью? Мне непонятно. Переходов по ссылкам не будет, индексации не будет, воровать информацию с практически пустого сайта не имеет смысла, поисковики всё равно быстро вычислят вредоносный код. Зачем тратить время, я не понимаю. Раскрученные сайты совсем другое дело. Но там шансов нет. Если у админов хватило ума продвинуть проект, то предупредить взлом или ликвидировать его последствия им не составит труда.

  34.  Ум-разум 28.12.2012 в 12:55

    Часто неопытные блогеры, сами того не подозревая, устанавливают вредоносный код. Происходит это приблизительно так:

    Под Новый год владелец блога натыкается в Сети на сайт, где размещено тематическое украшение: гифка, картинка, анимация и т.п. Желание установить себе подобную «красоту» приводит его (её) на сайт, где эти картинки бесплатно раздают. Нужно лишь прописать в соответствующем файле темы Вордпресс небольшой код, отвечающий за вывод изображения.

    Всё, дитё само потянуло в рот заразу грязными ручонками. Готовьте попу под уколы!

Ваше мнение, пожелания, критика, угрозы:

* Обязательно (для живых организмов)
* Обязательно (шалаши, колодцы теплотрасс, скворечники и т.п. не катят)
Необязательно (но если есть желание – хвалитесь)

 * Обязательно (защита от спам-ботов)

* Обязательно (посты с ненормативной лексикой попадут в населённый пункт Кукуево)