Вы читаете статью "Как я вирус на блоге ловил."

Купить здесь баннер

Как я вирус на блоге ловил.


06 Дек 201244 комментария

Последние три дня я почти не отвечал на письма и не писал ничего нового на блог. Так получилось, что я совершенно случайно нашёл на своём блоге вирус.

Скажу сразу, подписчикам волноваться не нужно.

Я и сам нашёл этот вирус случайно, когда начал заниматься темой работы сайтов на WordPress в браузерах смартфонов, для второй версии курса «WordPress Функционал».

Открыл свой блог в своём iPhone и увидел, что главная страница блога перенаправляет на совершенно незнакомый сайт br-update.com , где настоятельно просят загрузить обновления безопасности для браузера.

Опасность была, но минимальная.

В первых вирус был рассчитан на узкую категорию пользователей смартфонов, простом браузере он никак не проявлялся. А пользователи моего блога в основном заходят с обыкновенных компьютеров. Смотрел в статистике. Те, кто захаживает со смартфонов, продвинутые пользователи и вряд ли поведутся на такой развод

Во вторых чтоб вирус сработал, нужно было загрузить и установить, типа обновление браузера, которое при установке предупреждало, что Вы должны доверить отправку смс и звонков этому приложению. Тут уж совсем сомнительно найти человека который разрешил отправку смс со своего телефона кому либо, тем более программе.

Хотя бывает всякое.

Я начал рыть блог.

Сначала я проверил его через всевозможные службы типа этой http://www.google.com/safebrowsing/diagnostic?site=infomaster.su&hl=ru

Спрашивал и Каспера и у Яши.

Но все говорили, что мой ресурс кристально чист и беспокоится нечего. Но я-то видел, что индексная страница ведёт не туда, куда нужно.

Да и потом когда сами Гугл и Яндекс найдут вирус и исключат из поиска тогда хуже будет.

Короче я начал действовать по чёткой схеме.

Как я ловил вирус на сайте.

Сначала я спросил у Яндекса, была ли такая проблема у кого либо. Проблем с вирусами у всех было валом, но такой я не нашёл.

Только Каспер при переходе на сам сайт вредитель выдал мне своё предупреждение.

вирус на сайте

Короче я понял, что придётся бороться самому. Напишу, как действовал, возможно, кому поможет.

Второй шаг в ловле вируса.

Я открыл файл .htaccess и поискал там код перенаправления, но там был только стандартный код, что прописывается для ссылок ЧПУ.

Третий шаг в ловле вируса.

Далее я исключил шаблон.

Да, я знаю, что я сам его писал, но если какая либо падла влезла она могла изменить код везде где угодно.

Чтоб не копать код шаблона, я просто переключил на стандартный и посмотрел результат.

Редирект на сайт вредитель не ушёл.

Четвертый шаг в ловле вируса.

Я отключил и удалил те расширения и плагины которые больше не использовал на блоге.

Гад — редирект по-прежнему присутствовал.

Поиск затруднялся тем, что я работал на компьютере, который стоит на втором этаже, моего дома. А сеть WiFi, через которую я заходил в Интернет со смартфона туда добивает слабо и мой iPhone брал ее через раз.

Мне приходилось каждый раз бегать вниз и проверять, как загрузился сайт.

Короче борьба шла, а редирект злосчастный br-update.com не пропадал.

Пятый шаг в ловле вируса.

Далее я стал по очереди отключать все плагины, даже те которым доверял на 100%.

Перенаправление упорно работало.

Тогда я проверил на всякий случай остальные свои сайты. Вирус нашёл ещё на двух.

Это тестовый test.infomaster.su, на котором тестирую все, что хочу поставить на блог и сайт моей фирмы www.vtor.com.ua.

Все эти три сайта находились в аккаунте одного пользователя. Значит был взломан, пользователь и негодяй проник к сайтам по FTP.

Пятый шаг и первая победа над вирусом.

Сайт свои фирмы давно хотел переделать потому, просто снёс все файлы, залил новую версию WordPress и подключил старую базу.

Сайт заработал и никаких вирусов на нем уже небыли. Первая победа над редирект ом была одержана.

Получалось что вирус в самой сборке WordPress. Вернее туда вписан.

Я посмотрел на дистрибутивы движка и заметил, что с развитием в нем стало меньше файлов.

Посмотрите на скриншот внизу это дистрибутивы второй (слева) третей (справа) сборок WordPress.

WordPress

Когда мы обновляем движок, мы заменяем все файлы кроме файла конфигураций, .htaccess и robots.txt

В них я ничего не нашёл.

И выясняется, что есть ещё куча файлов, которые WordPress при обновлении не трогает.

Может я, и ошибаюсь, но ворошить эти файлы я не стал.

Я просто снёс их все обновил остальные и сайт заработал даже быстрее.

Редирект ушёл я, наконец, вздохнул спокойно.

Может я в чем то ошибаюсь, с вирусом на сайте боролся впервые, но вот так я его одолел.

А вообще желаю вам избежать подобных болячек, с этим геморроем я провозился почти три дня.

Мог бы что то полезное сделать, так нет же!

Буду рад читать ваше мнение в комментариях.


Вы прочитали мою статью " Как я вирус на блоге ловил. "  Хотел бы прочитать Ваше мнение в комментариях.



Купить здесь баннер
WordPress Еще записи по этой теме:
необходимые руководства по основным базовым знаниям, бесплатные видео-курсы, способы заработка на сайте
Комментарии для сайта Cackle
44 комментария to “Как я вирус на блоге ловил.”
  1. Андрей:

    Доброго времени суток Фёдор.Попробуйте воспользоваться сервисом: http://www.siteguard.ru
    Это система защиты сайтов.

  2. Андрей:

    AI-Bolit — это уникальный бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей.
    http://revisium.com/ai

  3. На одном из пробных сайтов однажды столкнулся почти с такой же проблемой. Только яша и гугл ругались на сам мой сайт говоря что на нем расположена фишинговая ссылка. Как в последствии оказалось, после всевозможных проверок через различные сервисы, была проблема на сервере. После того как сервер привели в порядок — ругань яши и гугла на мой сайт прекратились. Поэтому в следующий раз предлагаю сперва обратиться в службу поддержки хостинга, а потом уже самому химичить.)))

  4. Kali:

    Увлекательная статья! Это даже не статья — на рассказ тянет. Детективный!
    По самому рассказу много что сказать можно. А если бы вирус был не в WordPress, а в Б/Д, вот тут-то тяжко бы пришлось. Неужели сносить всю Б/Д?

  5. Kali:

    А можно ли поиском найти строку, в которой было бы «br-update.com» во всех файлах WordPress-а? Notepad++ умеет искать в каталогах с кучей файлов. Или как вариант:
    >nslookup br-update.co

    Non-authoritative answer:
    Name: br-update.com
    Address: 62.116.143.21
    И искать по IP.

  6. Kali:

    Как злоумышленник на FTP проник и своё что-то забросил так, что программа сработала. Он файл должен был оставить. Вы смотрели этот файл? В чём была суть лазейки, можно узнать? С FTP всё началось. Какой программой пользуетесь для соединения по FTP? Думается, у Вас Видоуз стоит.

    • Такие утечки могут быть на стороне хостера. Я сам держал хостинг и знаю как залазят на сервера. Мой сисадмин, В день по десятку шпионов находил и то потому что я его тормошил.
      Иногда дают доступ фрилансерам недобросовестным, так было с моим одним клиентом.
      Вообще взлoмать сайт не так уж и трудно, а если в конфиге есть данные FTP? как напрbмер в Joomla/ Эти данные даже в WordPress в базе можно накопать если сервер работает на ISP-менеджере.

  7. Kali:

    Строка «br-update.com» наверняка находилась в файле с JavaScript. И наверняка она была не в UTF-8, а в hex, т.е. в 16-ричном виде. Т.е. зашифрована была.
    Ваша строка «br-update.com» в 16-ричном виде в JavaScript должна была тогда выглядеть вот так:
    «%62%72%2d%75%70%64%61%74%65%2e%63%6f%6d».

  8. Kali:

    Вот смотрите, я могу залить хостеру свою SMS или нет? Она может ведь быть и хакерской. Или тот же ВордПресс переделать с целью проникновения на сам сервер. Как думаете, возможно ли такое?

    • Смотря как настроен сервер. но практически этот вирус может навредить только самому зараженному аккаунту.
      Для взлома сервера вирус грузится в другую дерикторию и грузится через ssh протокол. одно время хостеры начали открывать клиентам этот протокол, а это самая страшная дыра в любом сервере. я когда у себя закрыл то сразу ушли все шпионские атаки, но пошли ДОС атаки.
      Тогда был целый детектив и в итоге я вынужден был закрыть хостинг.

      • Kali:

        Познавательно. Но мне ещё чуток рано понять про ssh. Пока слушаю курсы о защите. Там фильм на 26 часов. Пока его просмотрю…

  9. Kali:

    ДОС атаки -это DDOS? Может, происки конкурентов? Или их не было?
    Есть Отдел К или это бесполезно?

    • Отдел К таким не занимается — они любят больше «хакеров» ловить всяких. А в таких вопросах лишь самооборона на пару с хостером!

  10. Какой кошмар!
    Статья про ловлю вируса читается как ужастик. А комментарии — того страшнее.
    Вот так, кажется, поймаешь вирус, и уже ничего делать не захочется. Легче пристрелиться.

  11. Страшная штука этот вирус, а еще страшней когда он у тебя на блоге это же вообще ужас!

  12. Настоящая детективная история. Как говорится, «береженого Бог бережет», поэтому данный алгоритм надо запомнить. Ко всему будь готов!

  13. Ant:

    Первый раз слышу, что для обновление браузера нужно отправить смс или позвонить. Неужели есть те, кто на такое ведутся?!

  14. Эх я и с вирусами на компьютере не умею толком бороться…а за сайт вообще страшно

  15. Ant:

    Можно было проверить по последнему изменению файла попробовать определить нахождение вредного кода. Долго перебирать их правда. Это как вариант.

Оставить комментарий

(required)

(required)


Купить здесь баннер