Вирус на блоге — найти и обезвредить

обезвредить вирус на WordPress

А как Вы будете избавляться от вируса?

Вирус в блоге на WordPress подобен злокачественной опухоли в организме. Лечится такое кибер-заболевание также хирургическим вмешательством в файловую систему блога.

В подавляющем большинстве случаев вирус «поражает» (внедряется) в файлы шаблона темы блога. Так как шаблон – обновляется реже остальных файлов на блоге и вирус может обосноваться на блоге на очень длительное время.

В этой статье мы поговорим о том, как найти и обезвредить вирус, внедрившийся в тему блога. А также о том, как минимизировать риски летального исхода вашего блога после такой «операции».

С чего все начинается

Зайдя очередной раз на свой блог, вы вместо него видите неприятное красное предупреждения браузера, поисковой системы или локального антивируса на компьютере.

предупреждение  о вирусе

Предупреждение о вирусе в браузере

С этого момента время начинает играть против вас – чем дольше вирус будет оставаться на блоге, тем больше ваших читателей узнают о потенциальной опасности нахождения на вашем блоге и тем больше интернет-сервисов (ПС, контекст, сервисы монетизации) отключат или заблокируют вас за распространение вирусов.

Подтверждаем диагноз

Прежде чем приступать к срочной операции, стоит подтвердить «диагноз». Для этого подойдут встроенные проверки на вирусы в инструментах для вебмастеров Яндекса, Google или сервисы типа онлайн-сканера Dr.Web.

Проверить наличие вредоносного кода

Инструмент проверки сайтов на вирусы в Яндекс.Вебмастере

Если вы убедились, что на блоге вирус (а не подозрительный JavaScript код, внедренный новым плагином), то начинаем принимать меры.

Только будучи на 100% уверенным в необходимости вмешательства, стоит начинать «операцию».

Ищем «очаг заражения»

Итак, начинаем подготовку к операции. Для начала, нужно определить: где расположен «орган», который мы будем лечить.

Вначале определим, где находится папка с файлами активного шаблона блога. Простой способ определить это – посмотреть путь скриншота активной темы блога.

расположение темы на блоге

Узнаем расположение темы на хостинге

(Заходим в «Внешний вид» – «Темы» – «Текущая тема» и смотрим информацию о скриншоте, путь после домена — и есть путь в папке на хостинге к активной теме.)

Далее нужно определить, какие файлы инфицированы. Простой способ сделать это – посмотреть дату изменения файлов в папке с активной темой блога.

ищем зараженный файл

Файл имеет дату обновления отличную от других

Файлы с самой свежей датой изменения, сопоставимой с предполагаемым временем заражения блога вирусом, – скорее всего, заражены вирусом. (Например, если вы устанавливали или меняли тему год назад, у большинства файлов дата будет в районе 2011 года, а  если один или несколько файлов имеют дату изменения пару дней назад, то эти файлы и были заражены вирусом.)

Готовим «операционный стол»

Когда вы определили зараженный файлы, вам стоит скачать их на свой компьютер, сделать их резервную копию (чтобы, в случае неудачи, можно было повторить попытку или обратиться за помощью) и начать готовить к «операции». Внимание! Локальный антивирус может тут же их удалить после скачивания, что помешает их лечению. Если это произойдет, антивирус можно отключить на время проведения манипуляций.

Дальше вам понадобиться текстовый редактор с поддержкой UTF-8 для редактирования кода зараженных файлов, я рекомендую популярную бесплатную программу Notepad++.

Обезвреживаем вирус

Теперь настал самый ответственный момент – удаление вредоносного кода. Открываем в текстовом редакторе с поддержкой UTF-8  файлы, в которых вы подозреваете наличие вируса, и начинаем их изучение. Наша цель — найти часть кода, которую вписал вирус.

 

поиск вредоностного кода 1

Подозрительный код в последней версии

Будет очень хорошо, если у вас есть (или вы можете найти в Интернете) архив с вашей темой для сравнения файлов. Дело в том, что вирус обычно дописывает вредоносный код в конец файла, а имея его «чистую» версию, вы легко сможете увидеть лишний код в конце файла.

поиск вредоностного кода 2

Обнаруживаем подозительный код

Еще один способ найти скрытый дописанный код – поставить перенос строк в редакторе (вид — перенос строк), если появился код. Вирус часто перед кодом ставит несколько сотен пробелов, и визуально код не виден даже на широкоформатных мониторах.

Если простые методы не дают результатов, вы можете поискать в коде функции:

eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13

Как правило, их используют для кодирования или скрытия вредоносного кода, часто вирусы вписывают нечитаемые конструкции типа таких:

eval(base64_decode("ZXJyb3JfcmVwb3J0aW5nKDApOw0KICRxYXpwbG09aGVhZGVyc19zZW50KC
k7DQogaWYgKCEkcWF6cGxtKXsNCiAkcmVXJlcj0kX1NFUlZFUlsnSFRUUF9SRUZFUkVSJ107DQogJHVhZz0
kX1NFUlZFUlsnSFRUUF9VU0VSX0FHRU5UJ107DQogaWYgKCR1YWcpIHsNZXhpdCgpOw0KoJCX0="));

После того, как вы удалили подозрительный кусок кода, сохраните файл и закачайте его обратно на хостинг. После — поверьте блог антивирусом и способами, описанными в разделе «Подтверждаем диагноз». Стоит принять во внимание, что заглушка поисковых систем снимается не моментально, поэтому проверяйте степень успешности «лечения» профессиональными средствами вебмастерских панелей.

Если сервисы не видит больше вируса и блог работает без сбоев – можно вас поздравить, в иных случаях «операцию» можно повторить или обратиться к более квалифицированных «хирургам».

Внимание! Самолечение может быть опасным для здоровья вашего блога и душевного самочувствия его автора!


Понравилась статья? Подпишитесь на рассылку блога или
Get Adobe Flash player
Комментарии к записи "Вирус на блоге — найти и обезвредить"
А что Вы думаете по этому поводу?

Хотите чтобы ваше фото было видно в комментариях? Зарегистрируйте аватар.

  1. Можно вместо поиска вредоносного кода просто заменить файл со свежей датой внесения изменений на первоначальный.

    Если же вы в шаблон темы вносили изменения, то обязательно надо сохранять такие файлы на своем компьютере для подобных непредвиденных случаев. Если изменений не было, то просто сохранять первоначальную версию шаблона.

    • А еще лучше постоянно, хотя бы раз в неделю, или после серьезных изменений, делать, и сохранять, желательно на внешнем носителе, например флешке, backup Вашего блога.

  2. Защищать свой блог, в том числе и от вирусов, без сомнения нужно.
    Но вряд ли стоит дожидаться когда об этом узнают поисковики.
    Например для WordPress есть плагины, один из них Belavir, которые моментально сообщают администратору об изменениях в ключевых файлах, и не только темы Вашего блога.

  3. Полностью согласен насчет бэкапов. «Есть две категории людей: те, которые делают бэкапы и те, которые их пока еще не делают», как говорится. А вообще, это как же надо открыться, чтобы запустить вирус на блог? Я еще понимаю на крупный портал, в социальную сеть… но на блог-то как? Тут функционала-то раз — и обчелся.

    • Обычно, вирусные атаки касаются всего хостинга, если хостинг не защищён, то ничего не поможет. Тем, кто встраивает вирусы, всё равно портал это или маленький сайт с нулевым посещением, для них главное «отметиться», и, желательно, везде.

      У меня было так: купил хостинг, сделал сайт, наполнил его и… начались сбои: коды подписываться, файлы подлаживаться, удаляться мои. Ощущение было такое, будто я меняю пароли от хостинга и его знают сразу все спамеры. В итоге, сменил хостинг, закончились проблемы, за 3,5 года ни разу ничего не появлялось.

    • Кстати, я не про тот сайт, на который ведёт имя (он совсем новый).

  4. Надо лучше иметь про запас, как сохранённую базу данных, так и копию шаблона.

  5. Мама дорогая! Как страшно жить! А можно как-то защитить блог от внедрения вирусов, чтобы потом их не искать?

  6. У меня два раза я нашол вирус на блоге

  7. Хоть и прочитала статью, но я сама все эти операции все равно не смогу проделать. Но на всякий случай (тьфу-тьфу-тьфу) статью в закладки положила.

  8. Лучше сразу проверить дизайн на вредный код, сразу после установки, чтобы потом вот таких ситуаций не было.

    • Учитывая, что бесплатности раздают на каждом шагу, то стоит ожидать, что там может быть и вредоносный код. Лучше купить (тогда есть к кому претензии предъявлять), тем более, если сайтом занимаются в серъёз.

  9. Да. надо быть бдительнее и иметь бэкапы.

  10. Зачастую вирусы появляются из-за левых плагинов скаченных из непроверенных сайтов, у меня так раз было, на порносайт выскочила ссылка, правда не дошло до поисковика, вовремя заметил и удалил и ссылку и плагин.