Наша взаимовыгодная связь https://banwar.org/
Не так давно на багатьох хостингах з'явився вірус, не зовсім ясно як він на них потрапляв, але дуже ймовірно що потрапляв він через одну з версій WordPress. Дуже важливо той факт що до поновлення aibolit і інших сканерів не перебувала і його можна було знайти тільки покопавшись руками. У мене вийшло спочатку виявити вірус засобами мого хостингу про який я вже не раз говорив ukraine.com.ua . Спрацював вбудований сканер вірусів на хостингу.
Покопавшись в інтернеті я знайшов рішення проблеми, цим рішенням я хотів би поділитися з вами.
Якщо на вашому сайті в папці теми з'явився дивний код такого виду, то ви були заражені.
Вдало для мене було те, що був заражений тестовий сайт на якому я випробовував різні плагіни і я міг експериментувати. Перше що я робив, це видаляв код у файлі functions.php, розміщений він був у верхній частині коду, але це не дало особливого ефекту, на наступний день я виявив новий код в тому ж місці, причому у всіх темах завантажених на тестовий сайт. Крім цього стало зрозуміло, що заражений не тільки цей файл і потрібно було копатися далі.
Далі я знайшов в ядрі WP дивний файл який був частиною вірусу wp-includes / class.wp.php, його не було в базовій збірці і він з'явився недавно, тому даний файл можна було без страху видаляти і по його назві шукати файли в яких він міг підключатися. Поруч я знайшов ще один файл wp-includes / wp-vcd.php він теж був не з ядра і створений виключно вірусом.
Важливо що не на всіх сайтах де надалі я знаходив віруси були ці файли, так що можливо вірус був не першою версією (мутував потихеньку), але в файлі functions.php вірусний код був всюди.
Для спрощення вам завдання порівняння ядра файлів я залишив вам посилання на офіційний репозиторій WP, на GitHub де можна подивитися перелік файлів без скачування повного пакета CMS WordPress. Файли можна подивитися тут: https://github.com/WordPress/WordPress/tree/master/wp-includes
Ще знайшов відомості що у багатьох з'являвся дивний код у файлі «wp-includes / post.php». Ось приклад початку шкідливого коду:
У цей файл хакери підключали вірусний файл. Стандартний вигляд не зараженого файлу post.php ви можете побачити по посиланню https://github.com/WordPress/WordPress/blob/master/wp-includes/post.php .
Важливо перевіряти файл functions.php у всіх темах які містяться на вашому сайті. Повний лістинг вірусу ви можете подивитися тут: https://gist.github.com/alexandrpaliy/b3bb8a19433478fe32414895ad641709 .
Якщо у вас з'явився такий шкідливий код, то важливо його видалити повністю. У прикладі за посиланням вище кінець вірусу на 100 рядку.
За даного вірусу я знайшов цікаві відомості. Люди пишуть що був створений додатковий користувач і навіть у деяких користувач був прихований, так що не забувайте перевіряти таблицю wp_users на наявність фейковий адміністраторів сайту.
Важливо! Не забувайте робити копію файлів і бази даних вашого сайту до початку чищення щоб уникнути необоротних наслідків.
Пам'ятайте що багато вірусів згодом модифікуються і для їх очищення потрібно розбиратися в коді, а також виявляти зв'язки.
Про те які бувають віруси і як можна з ними боротися ви можете почитати в нашій статті « Як видалити вірус з сайту WordPress «.
Я можу видалити вірус з сайту на WordPress і налаштувати для вас захист
Якщо так сталося що ваш сайт був заражений або весь час з'являються віруси або порушена його працездатність, то напишіть мені і я постараюся вам допомогти.
Пишіть:
Skype: maxix2009
Mail: [email protected]