Сегодняшний небольшой пост посвящен тому, как проверить сайт на вирусы онлайн. При первом же подозрении на заражение сайта, незамедлительно проверьте его на вирусы. Это можно сделать онлайн при помощи одного из специализированных сайтов.
Можно воспользоваться сервисом предлагаемым сайтом www.antivirus-alarm.ru. Необходимо ввести адрес сайта в форму и запустить проверку. Если ваши опасения верны, то результаты проверки могут выглядеть следующим образом.
Обратите внимание, что в результате проверки были выявлены три файла с кодом JavaScript (расширение .js). По версии Google в фалах содержится подозрительная ссылка на msn.com. Учитывая, что msn.com является крупным интернет-провайдером и веб-порталом созданным корпорацией Microsoft, ситуация выглядит несколько запутанно.
Объяснить все можно паранойей Google, так как проверка домена google.com выдает следующие результаты.
По мнению Google, ссылка на google.com является подозрительной. А вот так выглядит фрагмент касающийся данного инцидента:
«Что произошло во время последнего посещения этого сайта компанией Google?
На 48 из 468878 страниц сайта, протестированных нами за последние 90 дней, происходила загрузка и установка вредоносного ПО без согласия пользователя. Последнее посещение этого сайта системой Google произошло 2012-11-01; последний раз подозрительный контент был обнаружен на этом сайте 2012-10-31.
Вредоносное ПО включает 232 trojan(s), 19 exploit(s), 13 scripting exploit(s). Число новых процессов, создаваемых в результате заражения на целевом компьютере: в среднем 6.»
Не будет вдаваться в тонкости проверки сайтов на вирусы Google, а просто скажем, что сайты и google.com и msn.com являются безопасными. Однако на проверяемом нами сайте не должно быть никаких ссылок на сайт msn.com, поэтому необходимо проверить все подозрительные файлы.
Если заглянуть в подозрительные, по мнению Google, файлы JavaScript , то легко обнаружить в конце текста строку:
document.write(‘<iframe src=»http://msn.com» scrolling=»auto» frameborder=»no» align=»center» height=»7″ width=»7″></iframe>’);
Кому и зачем необходимо ставить ссылки на msn.com? Чтобы открыть завесу над этой тайной, взглянем на справку по тегу <iframe>:
«Тег <IFRAME> создает плавающий фрейм внутри обычного документа, в который загружается самостоятельный документ, определяемый атрибутом src. Является дополнением Microsoft к языку гипертекстовой разметки. Обязателен закрывающий тег. Между элементами <IFRAME> и </IFRAME> должен располагаться текст для браузеров, неподдерживающих данный тег. Одно из применений тега — партнерские программы выкупающие iframe трафик».
В данном случае, наши действия кажутся очевидными: надо открыть в текстовом редакторе выявленные в ходе проверки зараженные файлы и удалить из них указанную выше строку. На самом деле все обстоит сложнее, так как при проверке выявлено только три зараженных файла, а на самом деле их может оказаться намного больше.
В конкретном случае оказались зараженными все файлы JavaScript в количестве 225 штук, также оказался модифицированным файл class-simplepie.php в каталоге wp-includes. Не исключено, что заражены и другие файлы.
Если есть бекап и вы уверенны, что над ним не поработал вирус, можно восстановить данные из него. Если вас по каким-то причинам не устраивает вариант с бекапом, придется выполнить много ручной работы.
Как показывает практика, в подобных случаях полумерами не обойтись. Применительно к сайту на WordPress следует сделать следущее:
- Сменить пароли доступа к хостингу;
- Создать бекап сайта;
- Удалить все файлы зараженного сайта с хостинга;
- Сменить пароль к БД, либо создать новую базу данных с новым паролем, а затем импортировать в нее данные из сохраненной БД;
- Установить заново WordPress;
- Произвести все необходимые настройки;
- Загрузить картинки из бекапа.
После проделанных манипуляций, может оказаться так, что при переходе на сайта в окне браузера будет отображаться пустая главная страница. Связано это с тем, что отсутствует необходимая тема сайта. В этом случае можно поступить тремя способами:
- Загрузить недостающею тему в каталог wp-content/themes через FTP;
- Зайти в консоль дописав к адресу сайта wp-login.php, т.е. к примеру sitename.ru/wp-login.php и активировать доступные темы, либо загрузить нужную тему;
- Изменить в БД, средствами phpMyAdmin, текущую тему на одну из стандартных (Twentyten или Twentyeleven).
Я проверил сайт, показал, что вирусов нет. Сделал бекап и загрузил на локальный компьютер. При проверке архива, Каспесриский нашел вирусы. Выводы: доверяй, но проверяй. Надо еще проверять и бекапы антивирусами установленными на домашний ПК.