Нет так давно, пара десятков моих сателлитов подхватили вирусню. Сайты я благополучно вылечил, но одно я уяснил, что под wordpress существует много вирусов.
Это объясняется достаточно просто, так как сайтов на движке wordpress великое множество, то если придумать размножающийся вирус под них, это сулит серьезные дивиденды.
Сначала про вирусы, а потом про лечение.
Есть такой злой Троян netuza32.exe, который рассылает вредоносный скрипт, по wordpress сайтах, если пароли доступа к ним хранятся у вас в браузере.
От сюда первый вывод:
браузер не должен хранить пароли доступа к сайтам.
Буквально сегодня перешел по одной ссылке ссылке, которую опубликовал свое твиттере, «вроде бы» нормальный чел. Так вот, мозилка сработала, и не пустила меня на сайт, сказал что это фишинговый сайт. А, представляете, если бы мозила еще не знала, что это фишинговый сайт, а такое бывает, так как сайты не сразу попадают в блеклист, — то я мог бы пострадать. Естественно, мог бы сработать антивирь, но перестраховка, в деле безопасности компьютера, тем более если на нем вы зарабатываете деньги, лишней не бывает.
Зловредная вирусня под wordpress.
Троян netuza32.exe рассылает вредоносный скрип, по wordpress сайтам, доступ к которым есть в админке. Скрипт который внедряется в движок сайта KIS (Kaspersky Internet Security) обзывает как Heur.Trojan.Generic.
Злой Руткит
Руткит rootkit.win32.bubnix.k более хитрый зверь. На сайте прописывается скрипт, который загружает злостный руткит на ваш комьпютер. Скрип называется что-то вроде loadtube.
При чем эта зараза оказалась на сайте, пароля к которому, у меня не хранился в браузере. То есть это вирус проникает на сайты ранних версий wordpress, используя уязвимости ранних версий движка.
При чем по этому вирусу мало информации в Интернете, так что это достаточно свежая гадость.
На сайт зараженном вредоносным скриптом выскакивает полоска, просящая установить обновления, очень похожая на ту, которая появляется, когда нужно обновить flash плеер.
Для того, чтоб подхватить руткита достаточно либо запустить обновление, либо нажать на крестик, которые есть на окошке, предлагающем обновление.
Когда скрипт срабатывает, то в папке с временными файлами создается файлик e.exe который начнет запускать cmd и дальше химичить.
В общем, все это мерзкие гадости и с ними нужно бороться.
Лечение сайтов на wordpress.
Лечение компьютера.
Прежде чем преступить к лечению, нужно убедиться, что ваш сайт — чист. У меня была одна ошибка. Я не вылечил полностью свой компьютер, и за деньги заказал лечение сайтов, который после снова заразились.
Из антивирусов я рекомендую антивирус Панда и KIS. При чем KIS больше чем Панду. Бесплатная версия панды очень хорошо лечит компьютер, замеченный вирусами, но чем больше приближается конец лицензии, тем больше Панда тормозит, и под конец работать практически не реально. Я думаю это задумка производителей, чтобы дополнительно мотивировать потенциальных покупателей.
Больше я рекомендую KIS. Признаюсь, я недолюбливал продукцию Касперского, так как есть небезосновательное мнение, что Касперский грузит систему. В последней версии Kis 9 над этим поработали, и теперь «Касперыч» потребляет умеренное количество ресурсов. Кроме того, цена лицензии на год, не такая и большая – 60 у.е.
Корда комп’ютер вылечили можно начинать лечить на бедолажный wordpress блог.
Лечение wordpress блога
Лечение файлов очень похоже на обновление версии движка wordpress, за некоторыми нюансами.
1. Бекапим базы данных.
2. Бекапим файлы сайта.
3. По желанию можно повесить загушку, что-то наподобие: «извините, обновляемся» или «Идет загрузка сайта, подождите» или «loading please wait» или «пока вы ждали, что мой сайт загрузится, родилось 6 000 000 комаров и 50 000 умерло от рук людей» 🙂
Для этого достаточно в корень закинуть файлик index.html в котором будет написано
<html><head></head>
<body><center><h1>Извините, обновляемся.</h1></center>
</body></html>4. Далее требуется зайти в админку сайта. Чтобы не заразиться рекомендую использовать Фаерфокс + плагин No Script, Хром тоже подойдет, он вроде бы жуть какой безопасный.
4.1. Если сайт более живой, чем мертвый — то отключаем через админку все плагины, и переходим на дефолтную тему.
4.2. Если сайт более мертвый чем живой, то пропускаем этот шаг.
5. Удаляем в корне все файлы wordpress движка, кроме папки uploads, которая находится в папке wp-content. Папку wp-content тоже не удаляем, там хранятся картинки из наших постов.
6. Заливам новый движок сайта, кроме папки wp-content. В папку wp-content копируем, то что находится в одноименной папке, нового движка.
7. Запускаем /wp-admin/upgrade.php либо просто /wp-admin эффект одинаковый. Нам сообщают, что движок уже обновился, осталось обновить базу данных, обновляем базу данных. После этого сайт должен заработать.
8. Активируете плагины, и ищете новую тему для сайта, так как старая тема, скорее всего, заражена.
9. Убираем заглушку index.html.
10. Также рекомендую сменить удалить из памяти сохраненный пароль доступа на сайт, и создать новый. При чем указать браузеру, чтоб он не сохранял новый пароль доступа.
Вот такой вот лечебный пост получился.
31 Comments
Столкнулся с подобной проблемой. Только мне надо было вылечить не один, а много вордпрессов. Пришлось для такого дела даже отдельный скрипт написать. Делюсь: blog.nkuznetsov.me/2012/11/wpdiff-tool-for-wordpress-comparison.html
А на данный момент он рабочий, а то WP постоянно обновляется?
Вирусн лезет часто через «модернизированные» плагины. Словил эту пакость, хорошо хоть вовремя спохватился. Безопасность блога пришлось поднимать на порядок.
@alximik
За безопасностью нужно следить, это факт.
Спасибо за статью! Не успел завести сайт на WP, как через неделю словил заразу. При попытке открыть сайт комп ругается. На сайте всего три статьи, но ценные, жаль их терять. Собственно, вопрос: если я скопирую свои статьи, затем убью напроч весь корневой каталог сайта, залью WP заново и уже после этого размещу свои статьи на голый сайт, не занесу ли я снова заразу этими статьями? Не передаётся ли она через контент?
Спасибо.
@Ныр
Через контент вирус не передается. По крайней мере текстовый контент.
Перед тем как по новой будете создавать сайт, убедитесь что у вас на компьютере нет вируса. А то я вроде проверил комп ESET NOD и вроде вылечил вирусы, но как по новой создал сайт, там уже был вирус. Полностью эту пакость с компа убрал только с помощью Касперского.
Подскажите, вот сегодня плагин Antivirus заругался что у меня вирус:
я даже не знаю — это действительно антивирус или нет? как можно узнать?
@Екатерина
А на что именно заругался Антивирус, на какой-то сайт или какой-то файл? И что за Антивирус у вас? Если касперский, то можно верить, за остальные антивирусы не скажу, но скорее всего это все не просто так.
Вчера словил эту гадость «Heur.Trojan.Generic.» Причем сайт не коммерция,стоит защита которая и показала что вирус засунули через логин сайта.Мне повезло помогли админы хостинга. Через час сайт был востановлен. Приятного мало. Сегодня проверил скаченый сайт по FTP на вирусы там все чисто.
@Валерий
Этот троян редкая гадость. Ремонедовал бы из безопасного режима проверить все диски кюрейтом и касперским.
а не рекомендуете плагины, которые могут излечить и предотвратить заражение? Чет стремновато удалять каждый раз движок и настройки сайтов...
@Дмитрий
Ну настройки могут не пропадать, нужно экспортировать Базу данных и потом заливать ее на новый сайт. А лучшее предотварщение заражения это новая версия движка wordpress, есть еще какой-то плагин антивирус, но меня он не впечатлил, поэтому не буду его советовать.
Спасибо, помогло.
black0wolf
Пожалуйста ). А вообще это довольно злая зараза, когда проверяю сайты в сапе то многие заражены этой ерундой.
Хорошо что меня учесть не постигла
Пользуюсь линуксом, не знаю что такое вирусы 🙂
Месяц на компьютере не стоял антивирус и на блог сразу бробралась хрень под названием Heur.Trojan.Generic.
Самое интересное нод32 её не видит, так что буду ставить касперского
Эх, вирусы:)
Надеюсь, что меня эта участь минет, а если нет, воспользуюсь вашими советами:)
За статью спаибо =) с вирусами пока не сталкивалась, антивирь хороший стоит, но если вдруг, то буду знать где их искать =)
KIS — лучший антивирь всех времен и народов! Статья полезна, сейчас бацаю сайтик на вордпресе, так что очень актуально! К стати хостинг тоже должен защищать антивирусом ваше детище!
я делаю сайты на ДЛЕ, но вирусы и там не редкость. Недавно мой сайт полностью удалил себе контент. Жаль, через жалкого вирусняка, я потерял хороший сайт. За статью большое спасибо!
Используйте хорошие антивирусы и будет Вам счастье!)
Иначе внимательно читайте эту статью)
Емаеее, дофига слышал про эти бяки-боляки! Надеюсь мне не придется сталкиваться с таким=(
Последнее время очень вирусы достали и не только на WP.
DLE тоже очень носит.
У меня нету вирусов на сайте, и никогда не было. Не сталкивался с этим вопросом. К счастью.
к счастью вирусов пока нет!
Лучший вариант — чтобы не подхватить букет болезней))) закрыть админку по IP если он у вас не динамик) также защитить страницу комментария, например по проверке уник. ключа ) и больше ничего волновать не будет)
+1 за белавир, очень классная вещь, показывает в админке измененные файлы.
Пароли в браузере не хранить ессно, юзайте LastPass или KeePass. Пароли в фтп закрываем мастер-паролем (в тотал коммандере или winscp), файлзиллу не юзать — дырявая шо ппц
Я бы рекомендовал еще пользоваться плагином белавир(по памяти) который показывает какие файлы в вордпрессе были изменены, с вашего последнего посещения. Если вирус изменит какие-то файлы, то вы сразу будете об этом знать. Насчет антивиров, я использую связку — Аваст + Аутпост. От касперского отказался тогда, когда после него Авас поймал у меня червя «Чернобыль». Впрочем, на вкус и цвет... Причем Аваст много раз блокировал загрузку сайтов, на которые я переходил, выдавая предупреждение. Причем довольно часто это были хорошие блоги, которые просто ломанули.
Интересно как залезают вирусы на сайт, через контент или иначе?
Все верно. Еще один простой способ проверить сайт на микробы — зайти на сайт через браузер Google Chrom. Есть в нем такая фишка — появляется предупреждение, если сайт заражен. И добавлю только, что по статистике во время этой массированной атаки троянов пострадали в основном ПК пользователей с Украины.