![Cайт взломан, что делать или Вирус троян JS:Redirector-MC [Trj] (мобильный редирект) на блоге WordPress](http://facilite.ru/wp-content/uploads/2012/02/virus-300x1491.jpg)
По всей видимости, Ваш сайт был взломан. Такой диагноз я получила сегодня… Пришлось отложить все дела и целенаправленно заняться решением данной задачи!
Так что же было и что делать?
А было следующее. При открытии в браузере сайта любимый аваст выдал информацию о том, что троян блокирован, а точнее заблокирован вредоносный сайт.
Я в шоке, посыпались звонки от друзей, кто часто бывает на сайте…
ИТАК хостинг оператор констатировал, что размещение вредоносного содержимого могло произойти несколькими способами:
— через уязвимости в скриптах размещенных на аккаунте сайтов;
— из-за утери данных для FTP-доступа (в последнее время широкое распространение
получили вирусные программы, производящие хищение данных для работы по FTP с
компьютера администратора сайта).
Какие действия я предпринимала и могу рекомендовать для решения проблемы:
1. Сразу нужно проверить антивирусом все компьютеры, с которых ведется работа с аккаунтом.
На этих компьютерах вероятно имеется вирус, с помощью которого злоумышленники смогли получить данные для FTP-доступа к хостинг аккаунту. У меня на одном из компьютеров так и оказалось, я очень редко его задействую, но вот случилось… Оказывается срок лицензии антивируса истек…
2. Далее следует сменить пароль доступа к основному аккаунту а также пароли к дополнительным FTP-аккаунтам (если они есть).
3. Сразу включайте «Фильтрацию доступа»: для этого задайте в панели управления хостинг аккаунта: IP-адреса, с которых можно будет получать доступ в ПУ, предварительно нужно получить актуальные сведения по используемым Вами IP у Вашего интернет провайдера.
4. Проверяйте всю домашнюю директорию Вашего аккаунта на предмет присутствия в ней посторонних папок и файлов, явно не имеющих отношения к размещаемым Вами данным. Удалите подобные папки или файлы в случае обнаружения. При проверке следует ориентироваться на файлы с подозрительными именами а также недавней датой изменения.
5. Так же проверяйте содержимое Ваших файлов на предмет наличия вставок постороннего кода, удалить эти вставки в случае обнаружения. Посторонний код часто обнаруживается в индексных страницах сайтов либо же в файлах с расширениями .php .html .htm, размещенных в папке public_html/ сайта.
Комментарии к пунктам 4 и 5: Я поступила проще, для начала восстановила недельную копию сайта — вирус ушел. Хорошо что я установила ранее плагин wordpress database backup, он нужен для восстановления базы данных. Можно так же воспользоваться услугой backup, если она предоставляется вашим хостинг оператором.
6. В корневой папке аккаунта я так же создала файл с именем ftp.allow и указала в нём IP-адреса, с которых в дальнейшем будут производиться работы с аккаунтом по FTP.
С помощью лога посещений сайта есть возможность определить запросы, которые могли использовать уязвимости. По этим запросам можно будет узнать проблемные скрипты. Я запросила у хостинг оператора логи с информацией по работе с моим аккаунтом по FTP, а также информацию о
посещениях сайтов за предыдущие дни — сижу изучаю…
…………………..Продолжение следовало……………………..
Да, восстановить информацию удалось, но вирус посещал меня снова и снова, причем я поймала его на 5 сайтах, один из которых был на друпале. Этот снежный ком нужно было остановить. Описанное ниже решение не умаляет всей вышеперечисленной информации, потому саму статью сохраняю, считая ее полезной…
(с друпала вирус ушел после обновления версии, если кому интересно).
РЕШЕНИЕ КАК ОБЕЗВРЕДИТЬ Вирус троян JS:Redirector-MC [Trj] (мобильный редирект) на блоге WordPress, БЫЛО НАЙДЕНО ПОЗЖЕ И ВОТ ОНО ПРОСТОЕ СОВЕРШЕННО!
Необходимо восстановить файл functions.php на хостинге (я просто беру оригинал темы, в нем нахожу functions.php и перезаливаю его на хостинг в соответствующую тему). Только проверьте не делали ли вы еще каких-то дополнительных изменений в этом файле. Тогда придется выверять вручную эти изменения. Я например использовала удаление записей рубрики с главной страницы WordPress и потому пришлось еще восстанавливать эти настройки, поскольку в панике о них совсем забыла, но все лучше чем перепахать все php-файлы.
Обязательно поставьте на файл functions.php, после всех изменений защиту на хостинге, у меня было 775, стало 444. Только имейте в виду, что теперь и Вы из редактора на wordpress не сможете вносить изменения в этот файл, только предварительно сняв защиту.
Все это необходимо делать после того, как вы проверите компьютер, с которого будете выходить на хостинг антивирусом и удалите все вредоносные файлы с него.
Так же советую проверить наличие вирусов в других местах блога используя данные сайты:
http://2ip.ru/site-virus-scaner/
http://antivirus-alarm.ru/proverka/
http://sitecheck.sucuri.net/scanner/# проверка новых плагинов и шаблонов на вредоносный код
http://webmaster.yandex.ru какие страницы заражены покажет Яндекс.вебмастер, но лучше бы найти вирус до того, как его обнаружат поисковые системы
https://www.google.com/webmasters/tools/ — раздел Диагностика/Вредоносные программы от вебмастера Google
http://stopbadware.org/home/reportsearch — этот сервис информирует google и mozilla о вирусах
http://vms.drweb.com/online/ — онлайн проверка Доктор Веб (не все вирусы показывает, этот вирус он не обнаружил!)
http://sitecheck.sucuri.net/scanner/# — онлайн проверка
http://virusscan.jotti.org/ru — проверят только файлы (можно сохранить страницу сайта как html и загрузить ее) по различным антивирусам
http://www.bertal.ru/ — можно посмотреть код страницы вашего сайта, как он видится поисковиками, полезная вещь
У меня не нашлось вирусов, Ура, а так пришлось бы перезаливать и их.
Видела на просторах интернета совет просто почистить код… я несколько раз пробовала, получается криво, потому если вы новичек, лучше восстанавливать, чем править.
Если у Вас есть еще какие-нибудь идеи, буду рада увидеть их в комментариях.
