Причини зараження сайтів на joomla і wordpres вірусами
Причини зараження сайтів на Joomla і Wordpres вірусами. Приклади вірусів. порядок лікування
Не секрет, що всі публічні движки, наприклад, Joomla, Wordpres, часто схильні до зараження вірусами. Причини зараження стандартні:
- Прості односкладові паролі, які легко підбираються
- Неграмотна організація захисту серверів працівниками хостингу
- Використання комп'ютера, зараженого вірусами
- Цілеспрямована атака хакерів
Мой друг Юрий изъявил желание поделиться личным горьким опытом о том, как он ликвидировал на сайтах кучку вредоносного кода. Отже, Юра, прийом ...
В один прекрасний безтурботний день (світило сонечко, співали пташки) на Яндекс Вебмайстер прийшло повідомлення: «На сайті виявлений потенційно небезпечний код, який може бути небезпечний для відвідувачів».
Починаючи з цього моменту, в пошуковій системі Яндекс сайт буде показуватися відвідувачам, але з попередженням про віруси на сайті. Естественно, что при этом большая часть потенциальных посетителей будет потеряна. А, як відомо, відвідуваність прямо пропорційна доходу.
Движок сайту - Joomla, де дірка - не ясно. Що потрібно робити в цій поганою ситуації:
- Насамперед перевіряємо комп'ютер на віруси. Якщо чисто - відмінно, якщо найменші підозри - чистимо, а ще краще - перевстановлюємо систему
- Далі змінюємо всі паролі, починаючи від користувача windows і закінчуючи ftp доступом до сайтів, сюди включені і паролі користувачів баз даних
- Відключаємо можливість реєстрації нових користувачів на сайті
- Оновлюємо движок і всі встановлені сторонні розширення до останньої актуальної версії
- Перевіряємо права доступу на папки файли.
- Перевіряємо .htaccess на наявність сторонніх записів
- Перевіряємо логії сайту (папка Logs) на наявність підозрілої активності. Як правило, тут можна з'ясувати, коли і де саме вірус потрапив на сайт.
Якщо у вас немає резервної копії сайту або використання бекапу не допомогло, є кілька шляхів:
- зверніться в тех. підтримку хостингу з проханням почистити сайт від вірусів (деякі компанії підтримують таку можливість, інші ні);
- зверніться до спеціалізованих фахівцям, які за гроші очистять сайт від вірусів, а далі діяти самому. Спочатку я скористався останнім шляхом.
Що було зроблено
После обнаружения схожих вариантов был выделен общий кусок кода, например, kolamne817. За допомогою пошуку в total comander з використанням даного тексту були знайдені всі файли, які містять дані слова і почищені від шкідливого коду.
РАДА: якщо ви не впевнені, який код вірусний, а яка нормальна, скачайте на офіційному сайті інсталяційний движок і порівняйте заражений файл з номінальним, в викачаному движку.
Також обчислювати заражені сайти можна за датою зміни, знайшовши вихідну частину вірусу у файлі. Зверніть увагу на дату зміни файлу, а потім, використовуючи пошук, знайдіть всі файли, які були змінені в цей день. Велика ймовірність виявлення вірусів в цих файлах забезпечена.
Після очищення всіх заражених файлів, сайт був закачаний на хостинг, а в панелі Яндекс Вебмайстер був відправлений запит на перевірку сайту. Через деякий час прийшло повідомлення про те, що сайт чистий.
Дірки в движку, через які вірус потрапляє на сайт
Людині, що працює над видаленням вірусів, важливо видалити не всі ті віруси, приклади яких були приведені вище (вони як би виконують механізми), а потрібно знайти і видалити механізм, який «штампує заразу». Це вже згаданий файл shell або, наприклад, лівий index.php. post.php. який, як ви впевнені, не повинен бути присутнім в корені сайту. Також він може розмножитися і по інших папок (що в подальшому і сталося у мене).
Якщо вам потрібна допомога в знаходженні вірусів на сайті і їх лікуванні - звертайтеся.
Ось така ось погана ситуація склалася у Юри. Добре, що все закінчилося як в голлівудських фільмах.
злодій приходить тоді, коли його не чекають
⇒ Якщо хтось думає, що у нього ще є час встановити захист, знайте:
може, вже завтра вона тобі не знадобитися