Как предупредить, найти и удалить вредоносный код!
В последнее время с опаской захожу в гости на сайты своих посетителей – Avast громогласно, нежным женским голосом пока предупреждает: «Вирусная атака заблокирована!» (скоро, глядишь, ругаться начнет!).
Да и в браузере частенько натыкаюсь на предупреждение: «Этот сайт может угрожать безопасности вашего компьютера».
Где мы ЭТО находим или кто нас ЭТИМ одаривает?
Всех секретов не ведаю, но тем, что знаю – поделюсь.
Основные виновники появления вредоносного кода на сайте – сами владельцы!
Незнание законов не освобождает от последствий их неисполнения!
- Нельзя хранить свои пароли в компьютере и в памяти программы FTP-клиент
- Нельзя разрешать браузеру запоминать данные для входа (пароль, логин)
- Нельзя (не рекомендуется!) использовать в качестве пароля – имена, даты, читаемые фразы
- Нельзя работать в админ-панели сайта или активировать ftp-соединение с отключенным или вообще не установленным антивирусом
- Нельзя ставить себе на блог сторонний код, не убедившись хотя бы визуально в его «порядочности» — если в коде есть ссылки, проверьте, куда и зачем они ведут.
- Не рекомендуется при публикации или редактировании статьи копировать текст и вставлять его непосредственно из документа Office Word — вставляйте в редактор «как простой текст» (кнопка)
О последствиях заражения сайта Вы, очевидно, знаете – в результатах поиска вывешивается предупреждение о том, что — заходить опасно: «Туда не ходи – сюда ходи…!»
Посещаемость резко падает, а если администратор в течение длительного времени не удалит вредоносный код, поисковые машины могут расценить это как – «заброшенный» сайт или умышленно зараженный владельцем ресурс. В итоге – восстановить свое «доброе имя» и хорошие позиции будет очень и очень сложно.
Для того чтобы быть в курсе всех событий, обязательно зарегистрируйтесь в панели:
Гугл вебмастер и Яндекс вебмастер.
Зайдите в «Настройки» и включите «Доставку сообщений» на эл. почту. В панели Яндекса можно еще выбрать – какие сообщения высылать, а какие просто сохранять в базе переписки.
Как выглядит, можно ли найти и как удалить вредоносный код самостоятельно?
Я, честно говоря, видел сам своими глазами пока только один.
Находился он в файле «шапки» (Заголовок — header.php) выбранного и скаченного шаблона,
нашел код плагин ТАС .
Советы по материалам, опубликованным в Интернете:
Cледует обращать особое внимание на:
- коды, которые Вы сами не добавляли;
- тэги script, в которые заключены ссылки на неизвестные Вам ресурсы; текст в которых запутан или зашифрован (фото – 1);
- скрипты, представленные как счетчики или баннеры, но так же с непонятным, запутанным кодом или с внешними ссылками на неизвестные Вам сайты;
- странные ссылки или элементы, оставленные в комментариях.
Есть еще много различных рекомендаций с указанием тэгов, расширений, переменных и пр., но если Вы новичок – разобраться в этом непросто.
Что можно и нужно предпринять на первом этапе лечения сайта от вредоносного кода?
- проверяем свой компьютер на вирусы (желательно различными антивирусными программами);
- меняем все пароли – хостинг, админ-панель сайта, FTP-доступ. И никогда их больше не сохраняем в браузере – вводим каждый раз руками;
- в панели вебмастера Яндекс и Гугл знакомимся с подсказками и уведомлениями по поводу зараженных страниц;
- проверяем сайт на «бан» от Гугл seobuilding.ru/google-banned.php;
- проверяем сканером sitecheck.sucuri.net/scanner;
- для самостоятельного поиска вредоносного кода в файлах можно зайти на хостинг через FTP и просмотреть файлы по последней дате изменения (не забудьте сделать копию сайта!);
- можно просмотреть код страницы в Гугл вебмастер – «диагностика» — «Просмотреть как Googlebot» — и сравнить его с оригинальным кодом, отметить сторонние коды и выяснить, откуда они и зачем;
- скачиваем файлы и базу данных (через FTP) в компьютер и проверяем антивирусами
— рекомендую лечащую утилиту Dr.Web CureIt
Удаляйте подозрительные коды, только если Вы уверены в своих действиях
Если не получается вылечить свой сайт своими руками, обращайтесь за помощью – на форумы, к фрилансерам, на свой хостинг… Только не тяните со временем, помните – Ваш ресурс не рекомендован для просмотра и поисковые машины ждут от Вас активных действий!
Всем удачной и безопасной работы! Не забывайте про защиту сайта от взлома!
Если статья была интересна для вас - ей можно поделиться
Друзья, если Вам действительно понравился материал — не забывайте, пожалуйста, кнопку Гугл +1 — в конце поста, посоветуйте другим
Если Вы заметили неточность или ошибки в публикации, если Вы не согласны с автором — просьба указать в своем комментарии
Статья как раз к стати у меня сайт , что то начал тормозить статьи не сохраняются и даже исчезают. Удачи вам.
Я честно, уже устала от этих проблем. 2 раза лечила свой сайт по рукоделию от вредоносного кода, теперь новенький (кулинарный) попал в такую же ловушку. Заодно заметила, что уж больно много на нем внешних ссылок. Пока решила поковыряться в файле футера — сломала. Пришлось делать откат. Теперь ищу новую тему шаблон :(
Перед чисткой подвала можно просто скопировать и сохранить его первоначальный код.
Неудачно отрезали — всегда можно вернуть оригинал.
@admin, я так и сделала…в результате даже изначальный футер, который я вставила обратно не помог. Более того, я нашла интересную тему, активировала ее и сайт не просто пропал..он исчез. Вместо красочной картинки был белый лист. Откат уже не помог. Догадалась через фтп подключиться к хостингу и удалила бракованную тему. Когда снова попыталась зайти — снова стояла старая темка…Так что берегите плоды трудов своих.
@Ирина, я догадываюсь какой шаблон выдал Вам чистый, белый лист…
Там немного другие настройки — шаблон нужно включить.
@admin, Не всегда откат помогает. В закодированных темах этот номер не проходит, бесполезно, только удаление темы через FTP.
@Наталья, был уже у нас где-то в комментариях об этом разговор.
Фатальная ошибка — нужно удалять шаблон через ftp. Но есть шаблоны (буржунет) которые после установки не включены, обычно в папке темы идет текстовый документ.
Для меня лично очень сложно понять, что код в каком-либо шаблоне или коде чего-либо ПЛОХОЙ. Ну в шаблоне мы с Вашей, Сергей, помощью уже научились. Теперь надо учиться в других местах распознавать. В вебмастере Яндекса и Гугла зарегистрирована. Они к счастью пока ничего не выявили.
Как сложно быть сайтовладельцем, столько всяких вещей надо знать. Но самое печальное, что пока во всем научишься разбираться столько времени надо потратить.
@Оксана, Что правда, то правда. Время улетает очень быстро.
@Оксана, Кристина, полностью с Вами согласен
Но, сами понимаете — даже забивать обыкновенные гвозди аккуратно, быстро, красиво и главное — куда нужно — получается не сразу
Вредоносный код надо убивать как можно быстрее. У меня на развлекательном сайте за два дня с таким кодом половина страниц из индекса вылетила, а теперь второй месяц уже не может вернуться. По 2-3 станички в день добавляется.
Ой, Сергей, как-то всё это сложнооооооооо….А вопрос — всегда ли эти вредоносные коды такие большие, как на фото у Вас? (так их, думаю, легче заметить)..или могут быть в одну строку?
@Наталья, я и говорю — этот я видел своими глазами, про другие пока ничего не скажу…
Сергей, а вопрос такой есть: можно ли хранить пароли в расширении «блокнот» и оттуда копировать при заходе на сайт…или это приравнивается к тому, что пароли сохранены в инете?
@Наталья, ну вот интересно — если в блокноте, то это не компе?
Я не говорил НЕ хранить в Инете — НЕ хранить в компе!
Хотя, при вкл Интернете это одно и тоже — компьютер попадает в Инет вместе со всеми блокнотами, папками и файлами.
Храним все на бумажке или в голове!
——————
А из блокнота Хрома разве можно копировать?
О, ужас! это так удобно!!!!!!!!!!! Да, можно копировать!
У меня не копировал и я им не пользуюсь.
Удобно..?! — ну и вирусу удобно будет списать все данные и отправить своему хозяину.
А у вируса всегда есть хозяин? Сергей, вирус дело сугубо мошенническое что ли? сам по себе не может?:)
@Наталья, по идее — вирус создают люди, антивирус — они-же.
Но в наше время интеллектуальных компьютеров — все возможно…
Не зря сняты фильмы про восстание машин!
Я прежде чем установить тему, проверяю ее на наличие вот такого вредоносного кода как на фото, он может быть не только в заголовке, я сталкивалась и в footer.php и functions.php. Еще его могут установить в подвале и дублировать в функциях темы. Удалять бездумно коды, не советую, так как если тема закодирована, то все может полететь, не разбирающийся в таких тонкостях человек может растеряться. Антивирус обязательно нужен, и не просто пиратская оболочка, а настоящий лицензионный. Если жаль денег, то из бесплатных самый лучший Avast. У меня стоит Каспер только ему доверяю.
Спасибо за советы, возьму на заметку.
Я уже писала об этом в комментарии к другой статье, но напишу ещё раз. Не всегда можно определить вредоносный код по внешнему виду. Визуально он может быть совершенно понятным и корректным. Я сталкивалась с такой проблемой. В погоне за заработком я поставила код счетчика от traffbiz.ru Вполне понятный. Но через 3 дня Яндекс заблокировал мой сайт, известив, что установлен вредоносный код. Сама бы я не догадалась, что этот код может быть вредоносным.Пришлось делать откат. На мои возмущения,служба трафбиза ответила, что у них все нормально и с Яндексом у них уже урегулированны эти вопросы и существует договоренность о принятии такого кода. А после посещения ресурса «Вебпроверка» я узнала, что таких как я очень много. Поэтому прежде чем ставить что-то — 10 раз всё проверьте.
@Ирина, счетчики, партнерские, рекламные баннеры часто взламывают, так что при установке на сайт чего-то подобного, лучше всего сделать бэкап до установки, пометить его и некоторое время не добавлять другие коды (многие ставят сразу оптом — найди потом зараженный…)
Возникнет проблема — проще найти, откуда она пришла.
С удачным Вас началом!
Сайт есть, идея есть, осталось воплотить идею! Удачи!
Заходите в гости
@Мария, здравствуйте!
Ссылки еще не поправили свои? Про это здесь — http://sabsait.ru/pyat-xoroshix-plaginov-dlya-sajta-na-wordpress.html/ — плагин RusToLat и настройки ЧПУ.
Будут проблемы — пишите
Христос Воскрес!Счастья, добра, любви, процветания хозяину сайта Сергею и всем его друзьям!
Спасибо, Ирина!
Вам всего самого хорошего!
Спасибо за полезные советы!
Как страшно… Надо это переварить и понять, что не все так страшно… Спасибо, Сергей, ваш ресурс ставлю в закладки, в группу «Спасатели».
@Светлана, спасибо за отзыв!
Тогда уж лучше подписаться, в закладках много чего сохранено…
http://sabsait.ru/vy-ne-naprasno-zashli.html/
Очень интересная и нужная статья. Благодарю! Пошла пописываться на рассылку и в закладки вас!
@Светлана, Вам письмо в почте, проверяйте папку СПАМ
Сергей! Я стала Яндексом.Вебмастером проверять сайт, так как яндекс у меня проиндексировал только 2 страницы. А он пишет вот
Внимание! Главная страница сайта исключена из индекса: Документ содержит мета-тег noindex ну и что его надо удалить, а я не знаю,что это такое
И еще раз благодарю за плагин, Ссылки все выровнялись.
@Светлана, некоторые рубрики, страницы и записи у Вас на русском языке — не до конца исправили ссылки!
http://sabsait.ru/pyat-xoroshix-plaginov-dlya-sajta-na-wordpress.html/
Яндекс — как раз главную он и проиндексировал!
Внимательнее читаем предупреждение и каким числом оно прислано?
Сергей, спасибо вам за внимание к моему сайту. А у вас все, как всегда, понятно, интересно и очень полезно. Сама правлю эти коды и на данный момент в шаблоне имею два, не зловредных, правда, просто, чужих. Избавиться никак не могу.Они даже не в подвале.Хитро упрятаны ниже, в фоне.
@Татьяна, если ссылка есть — значит найти ее можно. Главное чтоб шаблон не развалился без нее.
Спасибо ,Сергей, буду осваивать
Удачи, Алена!
Добавил в закладки. Теперь буду почаще читать!
Я читала, что наоборот, пароли вводить постоянно не рекомендуется, желательно где-то записать, а потом «копировать»
@Александра, первый раз слышу такую рекомендацию…
Хранить пароль на компьютере вообще не рекомендуется — только на бумаге. А скопировать можно только если он на компе.
Если заведется вирус, он может с таким же успехом скопировать все ваши данные.
@admin, Читала, что есть какой-то вредоносный код, который «запоминает», какие буквы-цифры нажимаются. Знаю, что на компе хранить пароли нельзя, но пока они все в почте.
@Александра, возможно и есть, но если пароль копируете он уходит в буфер обмена — такая же история.
Пароли в почте, а пароль от почты где?
Пока самым действенным способом сохранить свой пароль было — хранение в голове (или на бумажке)
@admin, спасибо. Но в голове всё путается :)
Материал очень полезен. Спасибо за напоминание. Помнится в школе «StartUp» об этом говорилось, но не всегда выполняю рекомендации. Нужно сосредоточиться на этом.
Спасибо за статью, очень важная и беспокоящая меня тема!
@Наталья, спасибо и Вам за посещение
Сергей, у меня вопрос, что нужно сделать с таким вредоносным кодом, как у вас на картинке 1. Я на новый сайт clever-women.ru/ поставила тему, сейчас проверяю на внешние ссылки. Вот обнаглели, аж 4 штуки. Одну нашла в подвале и убрала. В заголовке нашла то-же что у вас. Удалить?
@Оксана, сделайте копию кода в текстовый документ (на всякий случай) и вырезайте с сайта
@admin, Сергей, все так и сделала. Оставшиеся три внешние ссылки там и прятались. Сейчас все в порядке. Спасибо за очередную полезную статью.
Эта страничка sitecheck.sucuri.net меня сильно огорчила.
Так как я убрал с страницы главной баннер школы Твой Старт и теперь много плохих ссылок в плагине однакнопка…
Что делать? Убирать этот вариант и устанавливать другой?
@Виктор, проверяйте файлы сайта.
Попробуйте плагин timthumb-vulnerability-scanner
Установил и опробовал. Нашлось 3 проблемки, которые уже исправлены.
Здравствуйте! В поисковике от Яндекса набрал свой сайт и обнаружил справа от ссылок красный значок Касперского (К), щёлкнув по которому вышло окно с надписью «Опасная вебстраница». Открываю – Касперский Интернет Секьюрити 2012 его блокирует по причине загрузки вредоносной ссылки.
В разделе «Вебмастер» от Яндекса проверил свой блог – вредоносный код не был обнаружен. Затем я скопировал на свой компьютер с сервера все свои файлы – Касперский также ничего не обнаружил. Потом проверил свой компьютер – тоже ничего.
Подскажите, пожалуйста, что мне делать?
проверила свой сайт: ЗАБАНЕН или не проиндексирован в Google…Что делать?
я нашла внизу на сайте странную ссылку ………… как ее убрать?
@Алла, это ссылка стоит в коде вашего шаблона — ее нужно вырезать или закрывать (если это не запрещено автором шаблона.., иначе он (шаблон) может развалиться
@Алла, проверили своё где?
Гугл сказал, что сайт «забанен» или не проиндексирован?
@admin, гугл сказал что он или забанен или не проиндексирован. я зашла на гугл оставила свои данные на индексацию…Они пришлют ответ или я где-то могу сама найти в личном кабинете о результате? пока ответ не получила
@Алла, Гугл сказал.. — где?
Гугл-вебмастер?
Что именно сказал?
Пришлите на почту копию.
Я проверила свой сайт, как указано здесь : ………….., вчера я вставаила свой и мне ответили что гугл не проиндексировал или забанил…Поэтому я зашла на гугл и в панели для вебмастеров заполнила форму — проиндексировать мой сайт. Сейчас я повторно зашла на вышеуказанный ресурс — и теперь уже ответ позитивный: Похоже, что мой блог
НЕ ЗАБАНЕН в Google
Проиндексированные Страницы в Google: 148…
Спасибо большое за информацию… Я пока еще в первом классе по …не знала даже что надо индексировать в Гугле, я думала он сам все сделает за меня (гугл)без моей просьбы
@Алла, а кто это Вас научил проверять там свой сайт..?
Зачем Вам эти заморочки
Если Гугл и Яндекс индексируют страницы — это видно, хотя бы по расширениям для браузера RDS-bar
А уж если там ноль — тогда нужно бить тревогу.
Да и в вебмастере Гугл и Яндекс видно всю информацию.
Счетчик ЛайфИнтернет и ГуглАналитика
проверяем сайт на «бан» от Гугл seobuilding.ru/google-banned.php
— проверяем сканером sitecheck.sucuri.net/scanner
Read more: http://sabsait.ru/predupredit-najti-i-udalit-vredonosnyj-kod-na-sajte.html/#ixzz2B0gx8VuV
Так ведь это же с вашего сайта…я забеспокоилась когда прочитала про эти подозрительные коды, и решила проверить… И вчера ведь другой статус был — когда я вписала..А сегодня статус изменился..Про код я писала в другом комментарии выше. Но с кодом пока ничего не делала.может, он действительно к теме «прилеплен»…Теперь буду внимательнее читать Вас с первой страницы.
@Алла, нужен повод считать, что сайт под «баном».
Если страницы индексируются, нет предупреждений в вебмастере — откуда подозрения?
Сканер иногда и глючит — может принять непонятный фрагмент кода за вредоносный
@admin, Понятно…будем считать, что сканер заглючил в первый раз…Спасибо.Стало более понятно
Сережа, может вы мне поможете. Давно мне не дает покоя одна единственная внешняя ссылка, ТАС ее не видит.
Ссылка Яндексовская — я не понимаю как ее убрать и где ее вообще найти-то…
@Татьяна, ТАС не видит, а кто увидел?
Вы посмотрите — в конце ссылки — ваш сайт. Вы не сами ее поставили?
Куда ведет ссылка проверяли?
Мне если честно, даже стыдно уже за свою глупость. Ссылка действительно была моя, извиняй, пожалуйста.
Да ничего такого…
Просто,когда попадается ссылка — ее можно прочитать, а потом и открыть — только осторожнее с сокращенными ссылками — они не читаются — проверяйте их антивирусом
Уважаемые специалисты! помогите удалить с сайта вредоносный код, рассылающий спам. Ресурс заблокирован хостинг-провайдером. Он готов дать допуск на 5-10 минут к админке моего сайта, чтобы специалист смог быстро найти и локализовать проблему, с последующим удалением вирусов и другой «инет-нечести» с нашей площадки.
что для этого нужно и сколько будет стоить решение проблемы?
Спасибо!
@Рушан, я крнечно не специалист по такому быстрому (5-10 минут) отлову вирусов, но встречал подобные услуги — за 4 часа (в крайнем случае за сутки) «лечат» сайт и просят за это 10.000 руб.
Нет доступа к админ/панели сайта — неудобно работать на таком хостинге…
@admin, 10 000 крутовоато, мне проще забыть про сайт, который стоит в три раза дешевле.
когда провайдер открывает доступ к админке, то сайт начинает рассылать спам и загружает сервер со слов админа провайдера.
поэтому они готовы открыть доступ на небольшое время для анализа и удаления вредоносного кода
@Рушан, когда это случилось — пошел спам..?
До этого все было нормально? — может быть поможет откат сайта на число ранее…
Вспоминайте, что вы делали, устанавливали, после чего начались проблемы?
@admin, сайт заблокировали вчера. Я давно уже ничего на сайте не делал. а как откатить назад? сайт сделан на jomla
Откат делает или сам админ, если есть такая возможность на хостинге или сам хостинг по просьбе админа сайта.
Напишите в техподдержку хостинга — попросите (если они вообще делают резервные копии сайта) откат на самое ранее число.
@admin, все ок, слава Богу! админ хостинга все сам устранил, вот что он написал:
удалили несколько вредоносных файлов, но там еще куча непонятных файлов, которые нужно проверить, также установить правильные права и поменять все пароли.
Ну, вот вам занятие на выходные…
Как устанавливать права доступа — информация есть в Интернете
Не надо вводить людей в заблуждение. Плагин ТАС не обнаруживает вредоносный код. Он показывает чужие ссылки в теме и wordpress.
Плагин TAC показывает не только сторонние ссылки, но и зашифрованный код (методом base64)
«Не надо вводить людей в заблуждение…» — достаточно серьезное заявление.
Вы чем-то можете это доказать?