Каждый вебмастер обнаружив вредоносный код на своем сайте, получает массу не очень приятных впечатлений. Владелец сайта сразу же, в панике пытается найти и уничтожить вирус, и понять каким же образом эта гадость могла попасть на его сайт. Но как показывает практика, найти вредоносный код на сайте не так уж и просто. Ведь вирус может прописаться в один или в несколько файлов, из огромного количества которых состоит сайт, будь то движок работающий на вордпрессе или обычный сайт на html.
Вчера, проверяя свою почту, я обнаружил письмо от Google, о том что посещение определенных страниц моего сайта может привести к заражению компьютеров пользователей вредоносными программами. Теперь пользователям, переходящим на эти страницы по ссылкам в результатах поиска Google.ru, отображается страница с предупреждением. Этот сайт не был добавлен мной в панель вебмастера Google, поэтому я был оповещен по почте. В панели вебмастера у меня находилось еще несколько сайтов, зайдя туда я в ужасе увидел предупреждение о вредоносном коде еще на двух своих сайтах.
В итоге, на трех моих сайтах поселился вредоносный код, который мне предстояло найти и уничтожить. Один из сайтов работал на вордпрессе, другие два состояли из обычных php страниц.
Стоит заметить, что Google среагировал гораздо быстрее Яндекса на наличие вредоносного кода. В панели вебмастера Яндекса, предупреждение о наличии вируса на сайте так и не появилось. Благо, в течении нескольких часов я успел найти этот злосчастный вирус.
Как правило, чаще всего сайты заражает так называемый iframe-вирус. По сути, этот вирус состоит из кода <iframe>….</iframe>. Вирус ворует все пароли с Total Commander или другого ftp-клиента. В моем случае, произошло тоже самое, код iframe прописался в нескольких десятках файлов на моем сайте. На сайте, который работал на вордпрессе, вредоносный код успел обосноваться лишь в footer.php.
И так, как найти вредоносный код, если Вы обнаружили что Ваш сайт заражен:
1. Заходим в панель управления хостингом и меняем пароль. Елси у Вас несколько сайтов, то проделываем это со всеми своими сайтами.
2. Меняем и удаляем пароли в ftp-клиенте. Больше никогда не храним пароли в ftp-клиентах, всегда вводим их вручную.
3. Можно зайти на хостинг по ftp, и посмотреть что изменилось в Ваших файлах. Отсортируйте файлы по дате последнего изменения. У тех файлов, которые заражены, дата должна быть свежая и одинаковая. Откройте эти файлы и ищите код iframe, как правило этот код располагается в самом конце. В основном, вредоносный код прописывается в файлах: index.php, index.html, в файлах с расширением .js. Нередко, эта зараза проживает между тегами <script>…</script>.
Для самописных сайтов, очень внимательно просмотрите все файлы и папки скриптов, вирус частенько прописывается именно там. Так же, излюбленное место обитания этого вируса, в кодах счетчиков для сайта, и в рекламных кодах.
4. Проверьте файл .htaccess на наличие подозрительного кода. Иногда вредоносный код проникает и в этот файл. Обычно в файлах движка существует несколько директорий, в которых может находиться файл .htaccess. Проверьте все эти файлы и убедитесь в «чистоте» кода.
Что касается файлов вордпресса или другой CMS, как правило любая CMS состоит из множество файлов и папок, и найти в них вредоносный код очень сложно. Например, для вордпресса могу порекомендовать плагин TAC. Этот плагин проверяет файлы во всех темах в папке themes на наличие стороннего кода. Если TAC найдет не желательный код, то покажет путь к этому файлу. Таким образом, можно вычислить и маскирующийся вирус.
Скачать плагин TAC: wordpress.org
Вообще, стоит постоянно держать в памяти все действия, которые Вы производили со своими файлами сайта. Помнить, что меняли или добавляли в тот или иной код.
Когда найдете и удалите вредоносный код, то не помешает проверить свой компьютер на наличие вирусов.
И если Ваш сайт был помечен Гуглом или Яндксом как зараженный, то через панель вебмастера надо отправить запрос на повторную проверку. Как правило, в течении суток все ограничения с Вашего сайта поисковики должны убрать. Мой запрос на повторную проверку Гугл обрабатывал не долго, и через несколько часов с моих сайтов были сняты все ограничения.
Спасибо, всё очень доступно написано! А также благодарю за полезный плагин к вордпрессу!
Спасибо большое,нашла вредоносную ссылку в счётчике посещений.
Большое спасибо! При помощи ваших рекомендаций тоже смогла найти вредоносный код, обнаруженный Яндексом на моем сайте. Поиск начала с тегом iframe. Именно между ними в одном из виджетов в сайдбаре был обнаружен вредоносный код. Еще раз спасибо!
По поводу плагина ТАС. Его нужно как то настраивать или он уже при установке и активации начинает работать и покажет вредоносный код?
Ольга, Плагин TAC сразу же после активации начинает работать, его настраивать не нужно. Он появится в Меню -> Внешний вид -> TAC.
Спасибо. Плагин указал одну статическую ссылку в сайдбаре.В форме подписки была какая то абракадабра.Я полностью удалила форму подписки.Но плагин ссылку показывает. Буду искать дальше.
Ольга, у Вас работает с ошибкой плагин: wp-google-plus-one. Именно он выдает ошибку на страницах.
Спасибо ОГРОМНОЕ!!! Я неделю искала корень зла — и вот за минуту при помощи плагина ТАС нашла вредоносный скрипт на проблемном сайте! Прямо в хедере зараза засел:( проверила все остальные сайты — все ок:)
Здравствуйте.
А у меня все наоборот. Яндекс блокирует а Гугл пропускает. Этот код я нашел в таблице стилей CSS.
Спасибо за информацию.
день добрый.
Почистила темы c плагином tac. В результате пропала одна колонка сайд-бара.
Подскажите, как восстановить его в той же теме от WordPress?
Или заменить тему?
Cпасибо.
Галина, Темы меняются из админки. Восстановить возможно из резервных копий файлов Вашего сайта если таковые имеются. Сам вирус нужно искать в файлах, особенно в индексных файлах и js, обычно в самом низу находится вредоносный код.
спасибо, очень хорошая статья. Помогла Iframe сидел прямо в счетчике!
Классный Сайт!!! ❗
Спасибо за полезную информацию.Вредоносный код был в одной из загруженных тем.
Спасибо БОЛЬШОЕ!!! 😛
А для джумлы такого расширения нет?
@ Александр:
Может быть и есть что то подобное. Но я не слышал о таком.
Я сама не могу найти вредоносный код. Более двух недель мне не могут помочь в этом. Т.е. обращалась по инету к специалистам, платила деньги и на сегодняшний день вредоносный код присутствует.
Где искать помощь?
@ Дарья:
Значит специалисты, к которым вы обращались… На самом деле не являются специалистами.
Чтобы найти вирус в файлах вашего ресурса, нужно хорошо знать движок на котором работает ваш сайт, его структуру, файлы и т.д.
Буквально вчера, мне пришлось бороться с вирусом на одном из своих сайтов. Вроде бы справился :).
Вы могли бы мне помочь побороть эту гадость?
@ Дарья:
На каком движке работает ваш сайт?
Самописный
@ Дарья:
С самописным движком сложнее. Напишите мне через раздел блога Контакты. Возможно, я смогу что то сделать.
скайп — sormadi
delos.dog@ail.ru
Подскажите как удалить вредоносное ПО на Джумле? На главной странице сайта есть код и на странице с админкой.
@ Виктория:
Заходите через ftp, и ищите вредоносный код в индексных файлах вашей темы. Также смотрите индексные файлы админки.
Всегда нужно иметь резервные копии файлов вашего сайта у себя на компьютере. Так вы всегда сможете сравнить два файла, и удалить лишний код, либо просто заменить.
Посмотрите через ftp дату изменения тех или иных файлов, так можно быстрее вычислить зараженные файлы.
Я свой сайт проверяла разными он-лайн антивирусниками, все говорят,что сайт чистый, и тем не менее при работе на своем сайте,касперский на компе постоянно твердит,что запрещен переход по фишинговой ссылке( причем эта ссылка на страницы моего сайта). Где искать вредоносный код?
@ Татьяна:
Если поисковые системы не относят ваш сайт к разряду зараженных, то ни какого вредоносного кода на сайте нет.
Проверяла сайт на вирусы — все чисто. Нет вредоносного кода, а хостинг раз в две недели шлет мне письма о том, что у меня превышена нагрузка на сервер, грозится закрыть сайт и аккаунт. Что делать — не знаю. Причем превышение нагрузки бывает раз в две недели и всего на 3 дня, а потом все хорошо.
@ Надежда:
Ну вирус тут точно не причем)