Хостинг-провайдер ТаймВеб взломали! Вирусы на wordpress блогах! Как обезопасить свой блог?

Автор: Владислав Челпаченко Блогосфера 85 комментариев 43380 просмотров

Здравствуйте, уважаемые коллеги и друзья!

Никогда не думал, что придется с толкнуться с таким явлением, как вирусы на wordpress блоге. Жуткое явление, и что самое опасное от них не застрахован ни один блог!

wordpress01

Хотя на самом деле слово «вирусы» здесь слишком громко сказано,  потому что вреда Вашему компьютеру и компьютеру посетителей блога они никакого не наносят. Но, тогда почему их стоит опасаться? Откуда они берутся? Какой характер они имеют? И кто их, наконец, сможет устранить? Ответы на эти многие другие вопросы читайте в этой статье.

Друзья, настоятельно рекомендую внимательно прочитать данную статью, что быть готовым к любым форс-мажорным ситуациям. Еще раз повторюсь: я тоже никогда не думал, что меня может это коснуться, однако, коснулось :( Слава Богу, что все хорошо обошлось! Искренне желаю добра своим читателям, поэтому и пишу все подробно и понятно, чтобы вооружить Вас полезными рекомендациями. Кто предупрежден, тот вооружен! Так что, заряжаемся :) Если возникнут вопросы, пишите в комментах. С радостью отвечу.

Ну, что? Поехали...

Как попадает вирус на wordpress блог?

Совсем недавно, а конкретно, 3 апреля 2012 года с утра пораньше открываю свой любимый блог, а там вместо главной страницы с улыбающимся Владиком, вот такая бяка:

вред

Эх, вот это сюрприз! Прямо в самый разгар конкурса «5 полезных советов», меня настигла такая участь. Надо разбираться, а времени-то совсем нет, пора в институт бежать, диплом писать. Все, что Господь ни делает – все к лучшему! Поэтому уныния в сторону и прямиком в службу поддержки своего хостера (ТаймВеб). Там мне сказали вот что:

Сообщение, скриншот которого Вы прислали, говорит о вредоносном ПО на Вашем сайте, а не о DDOS-атаке, оповещение о которой может быть вызвано резко возросшей посещаемостью (на следующий день после публикации конкурса «5 полезных советов»,  блог посетило свыше 1200 человек за одни  сутки, это почти в 9 раз выше средней посещаемости).

Источников проблем, связанных с вредоносным кодом может быть несколько, а именно:

1) Уязвимости пользовательского кода:

- устаревшая версия CMS и ее модулей, плагинов, тем, которые содержат ошибки безопасности в коде;

- скрипты, написанные собственноручно или скопированные с других сайтов и содержащие ошибки безопасности.

2) Злоумышленник завладел реквизитами доступа к Панели Управления Аккаунтом (ПУА), FTP-соединения, SSH или административной панели вашей CMS. Это могло произойти по двум причинам:

а) Вирусное программное обеспечение на локальном компьютере.

б) Протоколы передачи данных без использования шифрования.

Примеры протоколов, использующих шифрование: SSH, SFTP, HTTPS.

Статистически, причину проблемы необходимо искать в уязвимости скриптов сайта.

Мы рекомендуем вам обратиться к стороннему специалисту, который сможет провести аудит безопасности скриптов сайта и провести необходимые действия по устранению обнаруженных проблем.

Если по какой-либо причине, вы не можете пригласить стороннего специалиста, то мы предлагаем вам следующий порядок действий (не гарантирует полного решения проблем):

1) Скачать все файлы с сервера, проверить их антивирусом и загрузить обратно;

2) Обновить все пароли панели управления аккаунтом, FTP-пользователей, баз данных и административной части ваших сайтов;

3) Обновить ваши CMS и ее дополнения (плагины).

После необходимо проверить возникает ли проблема вновь.

Если вы выполнили указанные пункты и проблема все еще имеет место быть, вам следует обратиться к стороннему специалисту по безопасности.

С нашей стороны мы можем предоставить вам логи панели управления аккаунтом, FTP-соединения и запросов веб-сервера за указанный период.

Вопросы анализа уязвимости пользовательского кода, к сожалению, выходят за рамки предоставляемой нами технической поддержки.

На моем компе вирусов нет, файлы проверил – тоже чистенькие. Осталось только обратиться к специалисту. А где его искать? Правильно, на фрилансе :)

Составил Т.З. (тематическое задание), опубликовал проект и сразу получил кучу ответов: «Сделаем быстро и качественно, всего за 300, 500 и еще сколько-то там рублей»  Ответить никому не успел и побежал... Часов в 10.00 выхожу в инет, а там уже добавилось 2 веб-программиста в скайп, которые готовы помочь. Написал некоему Михаилу, он сразу отвел и попросил доступ к FTP (кто не знает что это такое, подпишитесь на обновления блога, скоро напишу отдельный пост с подробной видео-инструкцией по работе с FTP).

Как Вы думаете сколько времени ушло, чтобы убрать так называемый вирус или вредоносное ПО?  Всего лишь 7-10 минут. Вот что значит профессионал! Да здравствует фриланс :)

Как объяснил Михаил, причина была вот в чем:

Обычный рекламный инклуд, который со временем превратился во вредоносный, такое используют для накрутки посещаемости сайтов. Прятался он в папке wp-content/themes/текущая тема блога,  в файле index.php – там был добавлен iframe.

Как это могло туда попасть?
Инсайд: таймвеб недавно взламывали и увели оттуда много учеток, поменяйте пароли.

Вот значит в чем причина  ТаймВеб  взломали! Какой-то «добрый» дядька получил в свои грязные лапы доступ к моей учетной записи  и добавил в файл index.php какой-то iframe. Ах, он ... Ладно, пусть у него все будет хорошо :) Кстати, у одного знакомого парнишки та же проблема, и причем в тоже время (думаю, это уже не случайность).  Конечно же,  я сразу поменял все пароли от админок и с облегчением выдохнул. Ура, все готово! Но, теперь надо быть поаккуратнее и обеспечить более надежную безопасность блога. 

безопасность блога

Общие рекомендации по безопасности блога:

1) Используйте сложные пароли, к примеру, вот такой: vhjdsbfbds764i35y34thgjh454634jhg или такой 678795834hjgjhgj654364bhj43 :) Регулярно (хотя бы 1 раз в 2 месяца) меняйте их и не передавайте третьим лицам;

2) Используйте известные и проверенные CMS, которые регулярно обновляются, имеют техническую поддержку и дают гарантии защищённости своих скриптов. То же касается модулей, плагинов, тем оформления и прочих расширений CMS. Многие CMS распространяемые на бесплатной основе не предоставляют данных гарантий;

3) Регулярно сохраняйте резервные копии Вашего сайта и его данных, чтобы иметь возможность выполнить восстановление на некоторое время назад, если взлом не удастся обнаружить сразу. В каждом хостинге такая функция имеется. К примеру, в ТаймВеб резервные копии и файлов и базы данных делаются в разделе «Управление BACKUP». 

После сохранения, сами архивы с файлами и базой данных нужно скачать на свой компьютер. Они будут находится в разделе «Файловый менеджер»

Чтобы скачать эти архивы, необходимо кликнуть по ним 2 раза и выбрать папку, в которой они будут сохранены; также это можно сделать через FTP-клиент.

Вот такие, друзья, советы по безопасности блога! Старайтесь их соблюдать и все будет в шоколаде :)

Итак, делаем кратенькие выводы из всего вышеперечисленного:

1). Если какая-нибудь бяка закралась на Ваш блог, то значит кто-то, вероятнее всего, завладел данными от Вашей учетной записи на хостинг провайдере или CMS.

2). В таком случае необходимо срочно проверить файл index.php на наличие iframe, и, если его там нет, то уже обратиться к специалисту. Могу по старой дружбе скинуть контакты Михаила (который мне помог). Если надо, напишите в комментах.

3). Постоянно заботиться о безопасности своего блога. Кто еще не послушал интервью с Александром Цырульниковым «Как защитить свой блог», советую послушать.

P.S. Установил  2 кнопки (твит и гугл+) в сайдбар, кому не трудно поддержите мой блог, плиз, – нажмите на них. Говорят, что повышает вес главной страницы в поисковых системах. Проверим :) Если будет прогресс, обязательно расскажу в отдельном посте, как это делается.

Поделитесь этой страничкой со своими друзьями, они будут Вам благодарны

Присоединяйтесь к обсуждению 85 комментариев

  • Федор пишет:

    А откуда данные, что таймвэб “взломали” ? =)

    Когда взламывают хостинг – делают совсем другие вещи а не жалкий инклуд в сайты на вордпрессе =)

    Запросите логи доступа к сайту, проанализируйте их и поймете – как взломали ваш любимый вордпресс.

  • Андрей пишет:

    Конечно неприятная ситуация. Уже вылечил около 10 сайтов, а несколько вообще с таймвеба ушли. Вирус был обнаружен в файле functions.​php

  • Марина пишет:

    Доброго дня! Владислав, у моего блога точно такая же проблема, тоже 3 апреля и с грозным письмом от Яндекса. Но мой блог находится на Эскхостинге.
    И мне нужны контакты Михаила! А то уже неделю блог не доступен – вместо него страшная надпись, а я не спец в этом.
    Заранее благодарна.

  • Прекрасная статья. Узнал много нового. Спасибо, Влад.

    З.Ы. Пошел менять пароли *CRAZY*

  • Сергей пишет:

    Благодарю за нужную статью! Действительно никто не застрахован :) Уже встречался с атакой на админку – принял меры!
    Мои наилучшие пожелания!

  • Юрий пишет:

    Поставил статью в закладки, пусть лучше не пригодится:),спасибо!

  • Viktor пишет:

    Интересный и конкретный сайт. А ещё очень полезный для тех, с чьим блогом это случается.

  • Наталья пишет:

    Влад, да, все к лучшему! Получилась очень полезная статья, да и знакомство с Михаилом, думаю, неслучайно.
    И он Вам и в будущем, если что, сможет оперативно помочь.
    Но искренне желаю, чтобы больше форс-мажоров у Вас не было!

  • Larisa пишет:

    Как я Вас понимаю, Влад! Мой блог тоже на контроле у Яндекса провисел неделю! Зараженный скрипт я сразу убрала, и папки скачала с хостинга и почистила, комп тоже, на всякий…, Только, после слезного письма Платону Щукину, мой блог быстренько проверили и разрешили доступ! Так что – научена на всю жизнь!!! Статья замечательная, отослала анонсы во все соцсети ив Google+, с огромным удовольствием! Спасибо!!! =)

  • Любовь пишет:

    Я пока с такой проблемой не сталкивалась, но учту… Пароли меняю периодически… Спасибо!

  • Оксана пишет:

    Я и не знала, что такое бывает. Спасибо! Буде принимать меры. А если что я приду к Вам))

  • Полина пишет:

    Очень познавательная статья,о котором нужно нам знать. У меня тоже случается, что кто-то не может войти – предупреждает антивирус, хотя сказали, что сайт чист.

  • Александр пишет:

    Серьезное дело. Надо поменять пароли.

  • Нина пишет:

    Замечательная статья! Только у меня вопрос: а что Ваши хостеры сами не могут выявлять вирусы и делать чистку? Обязательно нужно фрилансеров просить?
    У меня была раз такая проблема с полгода назад или даже на начальном этапе развития блога:
    Сначала хостер сообщил о проблеме (яндекс молчал еще), чтобы почистили срочно от вирусов сайт.Я посмотрела -действительно какие- то папки добавились, но так как в этом была полная ноль, попросила хостера за меня работу сделать. А потом спросила где были вирусы. Оказалось все просто.
    Накануне я стала обнаруживать, что добавляются внешние ссылки, автор этих всех сайтов был один и тот же разработчик одного плагина. Я ему хорошенькое письмо написала, он в ответ неприлично на меня выразился. Я удалила эти плагины с админки (на сервере забыла).На следующий же день на сервере и пошли вирусы от этого плагина…
    Поэтому вывод еще один: будьте осторожны с незнакомыми плагинами, не ;) надо устанавливать все подряд, или по крайней мере – устанавливать нужно, которые уже проверенные многими людьми и временем.

    • Спасибо за дополнение, Нина!

      Отвечаю на Ваш вопрос: как объясняют хостеры, мол это не в их компетенции. Тут только к фрилансерам :)

      • Evgeniya пишет:

        Я хочу сказать своё g[‘ в адрес хостеров TimeWeba? мало того, что они знали , что у них была атака – они не предупредили своих клиентов, а когда к ним обращаешься они отвечают 1 раз в сутки( не верьте, что оказывают помощь 24часа и 7 дней в неделю)мало того каждый раз новый оператор, который даже не смотрит историю запроса а задаёт свои вопросы сначала и опять исчезает на сутки- пока я не возмутилась, что так не решим проблему нужно смотреть начало запроса и возможно сайт и не рухнул если бы оперативно вмешались а то три недели переписывались. Поэтому примите это как антирекламу TimeWeb!

        • Знаете, Евгения, бывает что и раз в сутки, а бывает что и через 5 минут уже ответят. Тут уж как повезет :)

          По-поводу атаки на ТаймВеб могу сказать только одно: “Никто от этого не застрахован. Умных придурков – хаккеров сейчас все больше и больше. Если уже сайты Министерств взламывают, то что уж о хостерах говорить”

  • Алексей пишет:

    Что-то мне подсказало,что тот “знакомый парнишка”-это я.Была такая бяка,была.Только хостинг у меня Beget,а проблема практически схожа.Два блога бились в конвульсиях-я практически тоже. %) Хостер посоветовал избавиться от бяки-тогда блоги заработают,мол.Спасибо огроменное автору этого блога-порекомендовал Михаила.Он всё сделал в лучшем виде и одобрил тот плагин,что позволит мне хоть спать поспокойнее. :-D

  • Про хостинг тут тема обширная. Вообще, рекомендуется размещать сетевые ресурсы на площадках М9 и М10. Остальные хостинг провайдеры, в основном, просто арендуют сервера и передают потом пользователям в субаренду. Так что Влад, запиши себе в блокнотик тему: “Как выбрать хостинг”. Будем ждать от тебя статью 8)

  • Veleyar пишет:

    Благодарю за информацию . Пароль сменил на всякий случай.

  • Галина пишет:

    Страшно, аж жуть! =-O
    Спасибо за нужную и полезную информацию.

  • Сергей пишет:

    У меня где-то с месяц назад похожее было. Аваст ругался, остальные молчали. Начал проверять, нашёл подозрительный код. Потом задал поиск по интернету. Нашёл, оказалось, то, на что я и думал. Порадовался за себя. Как говорится, бывших бультерьеров не бывает. *CRAZY*

  • Наталья Шерстобитова пишет:

    Ох, не могу я понять этих хаккеров.. Нет, ну банк ограбить – понятен мотив.. *CRAZY*
    Но зачем хорошим людям палки в колеса вставлять?! Ведь ни денег, ни славы..

    • Ни денег, ни славы, зато насолили :) Хотя, кто их знает этих хакеров …

      Наталья, эта аватарка намного привлекательней ;)

      • Наталья Шерстобитова пишет:

        Спасибо! Послушалась совета одного очень мудрого человека и сменила! ;) Теперь и сама вижу, что не зря!

    • Наталья, таки Влад же написал зачем: “Обычный рекламный инклуд, который со временем превратился во вредоносный, такое используют для накрутки посещаемости сайтов”. Что это дает? Ну как минимум с повышением хостов на портале – повышается и рекламная стоимость площадки. Это не “банк грабить”, но в первом приближении – тоже денюшка, а иногда и не малая. К примеру на … (одном известном ресурсе) стоимость одного рекламного баннера на месяц на главной странице стоит несколько сотен тысяч долларов…

    • Алексей пишет:

      Просто видимо повышают таким образом свою самооценку,мол:”Я крут и могуч-взломал сайт!Трепещите!!!”Я могу допустим понять тех же Anonymous,которые борятся с тоталитарной сектой Сайентологов или с теми,кто козни учиняет WikiLeaks,но блоги простых смертных ломать могут только прыщавые юнцы,которых мучает комплекс неполноценности и которые тужатся доказать всему миру свою значимость.

  • Лидия Жайворонок пишет:

    Вау, как я встревожилась!! Если не дай бог, с моим случится такая проблема, не знаю как и справляться буду, я совсем еще “зеленый” блоггер. Поразбираюсь с профилактикой. Правильно я поняла, что первое, что нужно сделать – это сменить код? %)

  • mishuta2012 пишет:

    Эта гадость кочует по блогам еще с начала года =-O Лечение очень простое – нужно выкусить вредоносный код, вставленный в конце файла functions.php ;) По ссылке “blog-kota.ru/zarazhenie-wordpress-blogov-virusom-js-redirector-mr-trj.html” можно найти подробную инструкцию %)

  • Сергей пишет:

    Слава богу еще вредоносного ПО на блоге не было, а там посмотрим. Но все таки огромное спасибо за дельные советы, возьму на вооружение. Вирусы не пройдут. 8)

  • Раиса пишет:

    Владислав, огромное спасибо за предупреждение. С Вашего разрешения, на всякий случай возьму координаты Михаила. Я очень боюсь обращаться к не проверенным специалистам. Пол года назад я “попала” по доверчивости и неопытности на 44 ссылки, после помощи “специалистов” После чего, все это время выбиралась из под АГС Яндекса.Еще раз спасибо!

  • Арина пишет:

    Спасибо,Владислав. Очень ценная информация!Поставлю в закладки вашу статью.
    А вы не подскажите контакты Михаила?

  • Руслан пишет:

    Спасибо, Владислав. Да, действительно меры безопасности нужно соблюдать. Ну и естественно делать бэки, это святое! =)

  • chudikos пишет:

    Не знал,что он был взломан,странно у меня сайт там крутится,наверное пронесло)

    • Алексей пишет:

      Но меры предосторожности всё равно примените! Я сам 1.5 года горя не знал-И НАТЕ-ПОЛУЧИТЕ И РАССПИШИТЕСЬ!!!

  • Женя пишет:

    У меня на таймвебе блог стоит… :(

  • Лариса пишет:

    Спасибо за статью, но для себя вывод сделала однозначный – если, тьфу-тьфу. коснется – пойду к Михаилу!

  • Артур New пишет:

    Мой блог тоже на ТаймВебе, но меня, к счастью, пронесло. С сайтом не было никаких проблем. Однако на будущее приму меры.

  • ushi пишет:

    Сколько пришлось заплатить?:)

  • Светлана Серикова пишет:

    У меня также случайно вчера обнаружилось на одном из своих блогов (захожу редко на него, последний раз была 2 недели назад) эту бяку. Iframe под именем Troj/JSRedir-GS был в в файле functions.​php темы, причем, только на одном сайте и все другие темы были чисты. Но вирус проник глубже, помог за 5 секунд плагин Web Security Tools, почистил еще около 90 файлов. Единственный его минус – дает внешнюю ссылку, но ведь его не обязательно держать все время включенным, не так ли?

    Ни от хостера, ни от Яндекса, ни от Гугла писем не было. От Гугла в панель вебмастера письмо пришло уже после того, как я все почистила.

    Проблема осталась в другом – на чистом сайте уже второй раз появляется ссылка на чужой сайт, в одном и том же месте, шифруют в точке. Что посоветуете?

    • Светлана, плагин не обязательно все время держать включенным, можно включать его только при необходимости.

      По-поводу Вашей проблемы могу посоветовать обратиться к мастеру Михаилу, его скайп в комментах к этой статье есть. Я сам не мастер в таких вопросах ;)

      • Светлана Серикова пишет:

        Да, про плагин – я это и имела ввиду – включать только для проверки.

        По проблеме спасибо, есть еще пара идей, которые не проверяла. Если не поможет, обращусь.

  • Любовь пишет:

    Катастрофа! У меня такое случилось! Установила WebsiteDefender? И он обнаружил вирус у меня на сайте (или троян). И что самое противное, что этот плагин настроить как следует не могу… Как начнут про эти коды говорить – все, мозги просто поперек!

    • Григорий пишет:

      Сайт посмотрел. Страница главная очень-очень велика… Вы реально думаете, что каждый посетитель будет крутить скролл до конца? =)

      Я прокрутил. Прекрасно. Но надо подумать как сократить. Длинновато

  • Григорий пишет:

    Любочка) Минимизируйте пока технические вопросы до минимума на своем блоге. Не тратьте время на ненужное. Просто – прекратите там заниматься WP. Мы ждем от вас шедевр на конкурс Влади. Поверьте, все придет, только вот 90% моих клиентов, бросают блог через пол-года-год… Стоит ли заморачиваться? Оцените.

    Я всегда пишу клиенту – бесполезно (ГС), не тратьте деньги. Если норм – движуха будет.

    Вы стартуйте, а мы, как говорят у нас в Одессе “будем посмотреть” *CRAZY*

    • Любовь пишет:

      Фига с два я брошу!!! Так вкусно все приготовить, и бросить? Ну уж нет! А шедевр старюсь “родить”! =)

      • Григорий пишет:

        Ну как минимум – вы прекрасна =)

        Но о том, что будет с блогом – мы узнаем только через год…

        Многие клиенты обижались на меня, когда я им говорил – ГС

        Через какое то время приходили письма – со спасибо) Время у нас одно. Так что тратить его надо с умом. Жизнь не вечна :-D

      • Григорий пишет:

        Я имел ввиду – технические вопросы. WP

        Это не относилось к контенту, если вы не поняли меня)

  • Григорий пишет:

    А дам ка я тут совет. Вот не у себя в ветке моей конкурсной работы. А тут!

    Совет №14. Поисковый робот любит быстрозагружаемые страницы, очень он их любит

  • SOFTWARE ORDER пишет:

    It would be my personal pleasure to get together some more ideas from your website. Thanks alot and I look forward to reading more posts on your website!

  • темир пишет:

    Да вирусы вещь опаная и крайне не приятная,я неблогер а Вы не подскажите приложения на вирусы можно проверить?Владельцы приложений ведь тоже постояно подвергаются атакам вирусов как и блоги,смартфон меня предупреждает кагда блог заражен,а вот при входе в приложение не предупреждает,значит ли это что заражение уже произошло?Что посоветуете смартфонщикам,как нам бороться?

  • Руслан пишет:

    Спасибо! Хотя я это уже знаю но все ровно спасибо!

  • Руслан пишет:

    Спасибо Влад! пойду пряма ща менять пороль

  • Роман пишет:

    Спасибо Влад, я ваш кумир, оцените мой сайт nasaite.ucoz.ru/ 8)

  • Nds пишет:

    Мой сайт тоже взломали. Там только они разместили спамные (500 страниц) страницы рекламного характера про чай турбослим. Сайт находится на ТаймВеб. Были проставлены ссылки на эти страницы в твиттере, где в этих твит аккаунтов, я увидел другие такие же взломанные сайты. И ВСЕ они были на хостинге ТАЙМВЕБ!!!!!!! Тех поддержка Таймвеба написала такую же хрень, как у тебя. Получается ТаймВеб часто взламывают.

ОтвLeave a Reply to mishuta2012 Отменить ответ