Вы читаете статью "Как я вирус на блоге ловил."

Заказать готовый блог под ключ

Как я вирус на блоге ловил.


06 Дек 201244 комментария

Последние три дня я почти не отвечал на письма и не писал ничего нового на блог. Так получилось, что я совершенно случайно нашёл на своём блоге вирус.

Скажу сразу, подписчикам волноваться не нужно.

Я и сам нашёл этот вирус случайно, когда начал заниматься темой работы сайтов на WordPress в браузерах смартфонов, для второй версии курса «WordPress Функционал».

Открыл свой блог в своём iPhone и увидел, что главная страница блога перенаправляет на совершенно незнакомый сайт br-update.com , где настоятельно просят загрузить обновления безопасности для браузера.

Опасность была, но минимальная.

В первых вирус был рассчитан на узкую категорию пользователей смартфонов, простом браузере он никак не проявлялся. А пользователи моего блога в основном заходят с обыкновенных компьютеров. Смотрел в статистике. Те, кто захаживает со смартфонов, продвинутые пользователи и вряд ли поведутся на такой развод

Во вторых чтоб вирус сработал, нужно было загрузить и установить, типа обновление браузера, которое при установке предупреждало, что Вы должны доверить отправку смс и звонков этому приложению. Тут уж совсем сомнительно найти человека который разрешил отправку смс со своего телефона кому либо, тем более программе.

Хотя бывает всякое.

Я начал рыть блог.

Сначала я проверил его через всевозможные службы типа этой //www.google.com/safebrowsing/diagnostic?site=infomaster.su&hl=ru

Спрашивал и Каспера и у Яши.

Но все говорили, что мой ресурс кристально чист и беспокоится нечего. Но я-то видел, что индексная страница ведёт не туда, куда нужно.

Да и потом когда сами Гугл и Яндекс найдут вирус и исключат из поиска тогда хуже будет.

Короче я начал действовать по чёткой схеме.

Как я ловил вирус на сайте.

Сначала я спросил у Яндекса, была ли такая проблема у кого либо. Проблем с вирусами у всех было валом, но такой я не нашёл.

Только Каспер при переходе на сам сайт вредитель выдал мне своё предупреждение.

вирус на сайте

Короче я понял, что придётся бороться самому. Напишу, как действовал, возможно, кому поможет.

Второй шаг в ловле вируса.

Я открыл файл .htaccess и поискал там код перенаправления, но там был только стандартный код, что прописывается для ссылок ЧПУ.

Третий шаг в ловле вируса.

Далее я исключил шаблон.

Да, я знаю, что я сам его писал, но если какая либо падла влезла она могла изменить код везде где угодно.

Чтоб не копать код шаблона, я просто переключил на стандартный и посмотрел результат.

Редирект на сайт вредитель не ушёл.

Четвертый шаг в ловле вируса.

Я отключил и удалил те расширения и плагины которые больше не использовал на блоге.

Гад — редирект по-прежнему присутствовал.

Поиск затруднялся тем, что я работал на компьютере, который стоит на втором этаже, моего дома. А сеть WiFi, через которую я заходил в Интернет со смартфона туда добивает слабо и мой iPhone брал ее через раз.

Мне приходилось каждый раз бегать вниз и проверять, как загрузился сайт.

Короче борьба шла, а редирект злосчастный br-update.com не пропадал.

Пятый шаг в ловле вируса.

Далее я стал по очереди отключать все плагины, даже те которым доверял на 100%.

Перенаправление упорно работало.

Тогда я проверил на всякий случай остальные свои сайты. Вирус нашёл ещё на двух.

Это тестовый info-m.pro, на котором тестирую все, что хочу поставить на блог и сайт моей фирмы www.vtor.com.ua.

Все эти три сайта находились в аккаунте одного пользователя. Значит был взломан, пользователь и негодяй проник к сайтам по FTP.

Пятый шаг и первая победа над вирусом.

Сайт свои фирмы давно хотел переделать потому, просто снёс все файлы, залил новую версию WordPress и подключил старую базу.

Сайт заработал и никаких вирусов на нем уже небыли. Первая победа над редирект ом была одержана.

Получалось что вирус в самой сборке WordPress. Вернее туда вписан.

Я посмотрел на дистрибутивы движка и заметил, что с развитием в нем стало меньше файлов.

Посмотрите на скриншот внизу это дистрибутивы второй (слева) третей (справа) сборок WordPress.

WordPress

Когда мы обновляем движок, мы заменяем все файлы кроме файла конфигураций, .htaccess и robots.txt

В них я ничего не нашёл.

И выясняется, что есть ещё куча файлов, которые WordPress при обновлении не трогает.

Может я, и ошибаюсь, но ворошить эти файлы я не стал.

Я просто снёс их все обновил остальные и сайт заработал даже быстрее.

Редирект ушёл я, наконец, вздохнул спокойно.

Может я в чем то ошибаюсь, с вирусом на сайте боролся впервые, но вот так я его одолел.

А вообще желаю вам избежать подобных болячек, с этим геморроем я провозился почти три дня.

Мог бы что то полезное сделать, так нет же!

Буду рад читать ваше мнение в комментариях.


Вы прочитали мою статью "Как я вирус на блоге ловил. "  Хотел бы прочитать Ваше мнение в комментариях.



Да, Я Хочу Быть В Курсе Новых Событий На Сайте!

Подпишитесь прямо сейчас, и получайте обновления на свой E-Mail:

Ваш E-Mail в безопасности


Купить здесь баннер
WordPress Еще записи по этой теме:
необходимые руководства по основным базовым знаниям, бесплатные видео-курсы, способы заработка на сайте
Вам нужна удобная форма комментирования на сайт Cackle
44 комментария to “Как я вирус на блоге ловил.”
  1. Андрей:

    Доброго времени суток Фёдор.Попробуйте воспользоваться сервисом: http://www.siteguard.ru
    Это система защиты сайтов.

  2. Андрей:

    AI-Bolit — это уникальный бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей.
    http://revisium.com/ai

    • Эрик:

      Я так понял первые два сообщения уже не актуальны? или до сих пор полезные сервисы, кто знает?

  3. Николай:

    На одном из пробных сайтов однажды столкнулся почти с такой же проблемой. Только яша и гугл ругались на сам мой сайт говоря что на нем расположена фишинговая ссылка. Как в последствии оказалось, после всевозможных проверок через различные сервисы, была проблема на сервере. После того как сервер привели в порядок — ругань яши и гугла на мой сайт прекратились. Поэтому в следующий раз предлагаю сперва обратиться в службу поддержки хостинга, а потом уже самому химичить.)))

  4. Kali:

    Увлекательная статья! Это даже не статья — на рассказ тянет. Детективный!
    По самому рассказу много что сказать можно. А если бы вирус был не в WordPress, а в Б/Д, вот тут-то тяжко бы пришлось. Неужели сносить всю Б/Д?

  5. Kali:

    А можно ли поиском найти строку, в которой было бы «br-update.com» во всех файлах WordPress-а? Notepad++ умеет искать в каталогах с кучей файлов. Или как вариант:
    >nslookup br-update.co

    Non-authoritative answer:
    Name: br-update.com
    Address: 62.116.143.21
    И искать по IP.

  6. Kali:

    Как злоумышленник на FTP проник и своё что-то забросил так, что программа сработала. Он файл должен был оставить. Вы смотрели этот файл? В чём была суть лазейки, можно узнать? С FTP всё началось. Какой программой пользуетесь для соединения по FTP? Думается, у Вас Видоуз стоит.

    • ashifin:

      Такие утечки могут быть на стороне хостера. Я сам держал хостинг и знаю как залазят на сервера. Мой сисадмин, В день по десятку шпионов находил и то потому что я его тормошил.
      Иногда дают доступ фрилансерам недобросовестным, так было с моим одним клиентом.
      Вообще взлoмать сайт не так уж и трудно, а если в конфиге есть данные FTP? как напрbмер в Joomla/ Эти данные даже в WordPress в базе можно накопать если сервер работает на ISP-менеджере.

  7. Kali:

    Строка «br-update.com» наверняка находилась в файле с JavaScript. И наверняка она была не в UTF-8, а в hex, т.е. в 16-ричном виде. Т.е. зашифрована была.
    Ваша строка «br-update.com» в 16-ричном виде в JavaScript должна была тогда выглядеть вот так:
    «%62%72%2d%75%70%64%61%74%65%2e%63%6f%6d».

  8. Kali:

    Вот смотрите, я могу залить хостеру свою SMS или нет? Она может ведь быть и хакерской. Или тот же ВордПресс переделать с целью проникновения на сам сервер. Как думаете, возможно ли такое?

    • ashifin:

      Смотря как настроен сервер. но практически этот вирус может навредить только самому зараженному аккаунту.
      Для взлома сервера вирус грузится в другую дерикторию и грузится через ssh протокол. одно время хостеры начали открывать клиентам этот протокол, а это самая страшная дыра в любом сервере. я когда у себя закрыл то сразу ушли все шпионские атаки, но пошли ДОС атаки.
      Тогда был целый детектив и в итоге я вынужден был закрыть хостинг.

      • Kali:

        Познавательно. Но мне ещё чуток рано понять про ssh. Пока слушаю курсы о защите. Там фильм на 26 часов. Пока его просмотрю…

  9. Kali:

    ДОС атаки -это DDOS? Может, происки конкурентов? Или их не было?
    Есть Отдел К или это бесполезно?

    • Денис:

      Отдел К таким не занимается — они любят больше «хакеров» ловить всяких. А в таких вопросах лишь самооборона на пару с хостером!

  10. Мозгунова Ирина:

    Какой кошмар!
    Статья про ловлю вируса читается как ужастик. А комментарии — того страшнее.
    Вот так, кажется, поймаешь вирус, и уже ничего делать не захочется. Легче пристрелиться.

  11. Сергей:

    Страшная штука этот вирус, а еще страшней когда он у тебя на блоге это же вообще ужас!

    • саша:

      Страшней всего Яндекс. А вирус переустановкой убьётся.

      • Сергей:

        наверно вы хотели сказать если Яндекс узнает что на блоге вирус вот это вот страшно! Ведь в выдачи будет надпись что сайт может приставлять угрозу для компьютера…

  12. Надежда Введенская:

    Настоящая детективная история. Как говорится, «береженого Бог бережет», поэтому данный алгоритм надо запомнить. Ко всему будь готов!

  13. Ant:

    Первый раз слышу, что для обновление браузера нужно отправить смс или позвонить. Неужели есть те, кто на такое ведутся?!

  14. Эрик:

    Эх я и с вирусами на компьютере не умею толком бороться…а за сайт вообще страшно

  15. Ant:

    Можно было проверить по последнему изменению файла попробовать определить нахождение вредного кода. Долго перебирать их правда. Это как вариант.

Оставить комментарий

(required)

(required)


Купить здесь баннер
Для настоящих Ютуберов!
Как заработать на YouTube
Как раскрутить видео на YouTube
Информационная база для продвижения любого проекта в Интернете!
Добавить свою рекламу
10 шагов настройки канала на YouTube
Заставка для видео за 15 минут
Поиск по сайту
Для WordPress блоггеров
Как ускорить индексацию статей
Как оптимизировать тексты статей
Как сделать так чтоб блог ожил и стал приносить прибыль и удовольствие.
Разместить здесь свой тизер
Как ускорить WordPress
Настройка All in One SEO для WordPress
Для тех кто хочет заработать в Интернете!
Обрати внимание!
Camtasia Studio от А до Я курс предназначен для тех, кто хочет создавать свои собственные обучающие курсы и зарабатывать на этом деньги