Вирус на блоге — найти и обезвредить

обезвредить вирус на WordPress

А как Вы будете избавляться от вируса?

Вирус в блоге на WordPress подобен злокачественной опухоли в организме. Лечится такое кибер-заболевание также хирургическим вмешательством в файловую систему блога.

В подавляющем большинстве случаев вирус «поражает» (внедряется) в файлы шаблона темы блога. Так как шаблон – обновляется реже остальных файлов на блоге и вирус может обосноваться на блоге на очень длительное время.

В этой статье мы поговорим о том, как найти и обезвредить вирус, внедрившийся в тему блога. А также о том, как минимизировать риски летального исхода вашего блога после такой «операции».

С чего все начинается

Зайдя очередной раз на свой блог, вы вместо него видите неприятное красное предупреждения браузера, поисковой системы или локального антивируса на компьютере.

предупреждение  о вирусе

Предупреждение о вирусе в браузере

С этого момента время начинает играть против вас – чем дольше вирус будет оставаться на блоге, тем больше ваших читателей узнают о потенциальной опасности нахождения на вашем блоге и тем больше интернет-сервисов (ПС, контекст, сервисы монетизации) отключат или заблокируют вас за распространение вирусов.

Подтверждаем диагноз

Прежде чем приступать к срочной операции, стоит подтвердить «диагноз». Для этого подойдут встроенные проверки на вирусы в инструментах для вебмастеров Яндекса, Google или сервисы типа онлайн-сканера Dr.Web.

Проверить наличие вредоносного кода

Инструмент проверки сайтов на вирусы в Яндекс.Вебмастере

Если вы убедились, что на блоге вирус (а не подозрительный JavaScript код, внедренный новым плагином), то начинаем принимать меры.

Только будучи на 100% уверенным в необходимости вмешательства, стоит начинать «операцию».

Ищем «очаг заражения»

Итак, начинаем подготовку к операции. Для начала, нужно определить: где расположен «орган», который мы будем лечить.

Вначале определим, где находится папка с файлами активного шаблона блога. Простой способ определить это – посмотреть путь скриншота активной темы блога.

расположение темы на блоге

Узнаем расположение темы на хостинге

(Заходим в «Внешний вид» – «Темы» – «Текущая тема» и смотрим информацию о скриншоте, путь после домена — и есть путь в папке на хостинге к активной теме.)

Далее нужно определить, какие файлы инфицированы. Простой способ сделать это – посмотреть дату изменения файлов в папке с активной темой блога.

ищем зараженный файл

Файл имеет дату обновления отличную от других

Файлы с самой свежей датой изменения, сопоставимой с предполагаемым временем заражения блога вирусом, – скорее всего, заражены вирусом. (Например, если вы устанавливали или меняли тему год назад, у большинства файлов дата будет в районе 2011 года, а  если один или несколько файлов имеют дату изменения пару дней назад, то эти файлы и были заражены вирусом.)

Готовим «операционный стол»

Когда вы определили зараженный файлы, вам стоит скачать их на свой компьютер, сделать их резервную копию (чтобы, в случае неудачи, можно было повторить попытку или обратиться за помощью) и начать готовить к «операции». Внимание! Локальный антивирус может тут же их удалить после скачивания, что помешает их лечению. Если это произойдет, антивирус можно отключить на время проведения манипуляций.

Дальше вам понадобиться текстовый редактор с поддержкой UTF-8 для редактирования кода зараженных файлов, я рекомендую популярную бесплатную программу Notepad++.

Обезвреживаем вирус

Теперь настал самый ответственный момент – удаление вредоносного кода. Открываем в текстовом редакторе с поддержкой UTF-8  файлы, в которых вы подозреваете наличие вируса, и начинаем их изучение. Наша цель — найти часть кода, которую вписал вирус.

 

поиск вредоностного кода 1

Подозрительный код в последней версии

Будет очень хорошо, если у вас есть (или вы можете найти в Интернете) архив с вашей темой для сравнения файлов. Дело в том, что вирус обычно дописывает вредоносный код в конец файла, а имея его «чистую» версию, вы легко сможете увидеть лишний код в конце файла.

поиск вредоностного кода 2

Обнаруживаем подозительный код

Еще один способ найти скрытый дописанный код – поставить перенос строк в редакторе (вид — перенос строк), если появился код. Вирус часто перед кодом ставит несколько сотен пробелов, и визуально код не виден даже на широкоформатных мониторах.

Если простые методы не дают результатов, вы можете поискать в коде функции:

eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13

Как правило, их используют для кодирования или скрытия вредоносного кода, часто вирусы вписывают нечитаемые конструкции типа таких:

eval(base64_decode("ZXJyb3JfcmVwb3J0aW5nKDApOw0KICRxYXpwbG09aGVhZGVyc19zZW50KC
k7DQogaWYgKCEkcWF6cGxtKXsNCiAkcmVXJlcj0kX1NFUlZFUlsnSFRUUF9SRUZFUkVSJ107DQogJHVhZz0
kX1NFUlZFUlsnSFRUUF9VU0VSX0FHRU5UJ107DQogaWYgKCR1YWcpIHsNZXhpdCgpOw0KoJCX0="));

После того, как вы удалили подозрительный кусок кода, сохраните файл и закачайте его обратно на хостинг. После — поверьте блог антивирусом и способами, описанными в разделе «Подтверждаем диагноз». Стоит принять во внимание, что заглушка поисковых систем снимается не моментально, поэтому проверяйте степень успешности «лечения» профессиональными средствами вебмастерских панелей.

Если сервисы не видит больше вируса и блог работает без сбоев – можно вас поздравить, в иных случаях «операцию» можно повторить или обратиться к более квалифицированных «хирургам».

Внимание! Самолечение может быть опасным для здоровья вашего блога и душевного самочувствия его автора!


Понравилась статья? Подпишитесь на рассылку блога или
Get Adobe Flash player
Комментарии к записи "Вирус на блоге — найти и обезвредить"
А что Вы думаете по этому поводу?

Хотите чтобы ваше фото было видно в комментариях? Зарегистрируйте аватар.

  1. Можно вместо поиска вредоносного кода просто заменить файл со свежей датой внесения изменений на первоначальный.

    Если же вы в шаблон темы вносили изменения, то обязательно надо сохранять такие файлы на своем компьютере для подобных непредвиденных случаев. Если изменений не было, то просто сохранять первоначальную версию шаблона.

  2. Защищать свой блог, в том числе и от вирусов, без сомнения нужно.
    Но вряд ли стоит дожидаться когда об этом узнают поисковики.
    Например для WordPress есть плагины, один из них Belavir, которые моментально сообщают администратору об изменениях в ключевых файлах, и не только темы Вашего блога.

  3. Полностью согласен насчет бэкапов. «Есть две категории людей: те, которые делают бэкапы и те, которые их пока еще не делают», как говорится. А вообще, это как же надо открыться, чтобы запустить вирус на блог? Я еще понимаю на крупный портал, в социальную сеть… но на блог-то как? Тут функционала-то раз — и обчелся.

    • Обычно, вирусные атаки касаются всего хостинга, если хостинг не защищён, то ничего не поможет. Тем, кто встраивает вирусы, всё равно портал это или маленький сайт с нулевым посещением, для них главное «отметиться», и, желательно, везде.

      У меня было так: купил хостинг, сделал сайт, наполнил его и… начались сбои: коды подписываться, файлы подлаживаться, удаляться мои. Ощущение было такое, будто я меняю пароли от хостинга и его знают сразу все спамеры. В итоге, сменил хостинг, закончились проблемы, за 3,5 года ни разу ничего не появлялось.

    • Кстати, я не про тот сайт, на который ведёт имя (он совсем новый).

  4. Надо лучше иметь про запас, как сохранённую базу данных, так и копию шаблона.

  5. Мама дорогая! Как страшно жить! А можно как-то защитить блог от внедрения вирусов, чтобы потом их не искать?

  6. У меня два раза я нашол вирус на блоге

  7. Хоть и прочитала статью, но я сама все эти операции все равно не смогу проделать. Но на всякий случай (тьфу-тьфу-тьфу) статью в закладки положила.

  8. Лучше сразу проверить дизайн на вредный код, сразу после установки, чтобы потом вот таких ситуаций не было.

    • Учитывая, что бесплатности раздают на каждом шагу, то стоит ожидать, что там может быть и вредоносный код. Лучше купить (тогда есть к кому претензии предъявлять), тем более, если сайтом занимаются в серъёз.

  9. Да. надо быть бдительнее и иметь бэкапы.

  10. Зачастую вирусы появляются из-за левых плагинов скаченных из непроверенных сайтов, у меня так раз было, на порносайт выскочила ссылка, правда не дошло до поисковика, вовремя заметил и удалил и ссылку и плагин.