Перевіряйте свої блоги на віруси

56

Ось саме так, перевіряйте іноді свої блоги на віруси. Ведення блогу, написання статей і його просування, а так само заробіток в мережі це чудово, але як виявляється так само треба дивитися і за здоров’ям вашого блогу. Адже якщо ваш блог заражений, то ви можете втратити через це більше, ніж придбати.

Ось і в мене сталося таке. Блог виявився зараженим скриптом. І якби не Сергій Шелвин, автор блозі Shelvin.ru я б і не дізнався про це. Саме Сергій, повідомив мені про це.

Вчора цілий вечір був витрачений на пошук шкідливого коду, який якимось чином був розміщений на моєму блозі. В Твіттері, я отримав повідомлення від Сергія, що його антивірус Касперського лається на мій блог, а саме на розміщений на ньому скрип. Найцікавіше, що у мене на комп’ютері мій антивірус мовчав. Сергій скинув мені скрін повідомлення від антивіруса і вказав де саме розташований скрип.

Я зробив перевірку на віруси онлайн свого блогу, спробував кілька сервісів, але на жаль жоден з них не показав, що на блозі вірус. Найцікавіше, що і пошуковик, нічого толком не знайшов з цього скрипту.

Скрипт б розміщений вже після тега. Виглядав ось так:

Скрипт вируса

Що саме робив скрипт, виявилося, що він збирав дані статистики, заходи, країни, ip і т. д. За великим рахунком, нічого кримінального і скажемо там поганого. Всі ці дані, він відправляв на сайт moo.com. Найбільше мене хвилювало, як скрипт потрапив до мене на блог. І якщо, я не можу знайти цей скрип в темі блогу, значить він був залитий на мій хостинг,а це значить, що ломанули хостера, ну або мій пароль FTP.

Так, як пароль, крім мене і верстальшика який верстав дизайн цього блогу більше ні хто не знав, а цій людині я довіряю, значить остаточно зрозумів, що ломанули. Хоча залишався варіант з плагінами, але так як я нічого не встановлював більше на блозі вже дуже давно, то й ця тема відпала.

І так, якщо раптом на вашому блозі ви виявили ось такий скрип, ваші наступні дії, принаймні я так робив:

  • Повідомив хостеру про злом. Причому сказав, що або вас ломанули, або мене
  • Призупинив роботу блогу. Чому призупинив, так як на той момент не знав, що саме це за скрип і, що він може
  • Повідомив про проблему верстальщику. На всякий випадок, може він знає, що так як
  • Повністю завантажив собі на комп’ютер папку з сайтом. Що б у чий почати пошук шкідливого коду
  • Подзвонив другу і попросив його подивитися на даний скрипт. Він людина знаюча, працює в сфері безпеки і зі всім, що пов’язано взагалі в безпекою в мережі. Саме він пояснив мені, що цей скрипт робить. Що робити, що говорити і вимагати від хостера першим справою.

Я скачав собі папку з блогом на десктоп, і почав шукати шкідливий код. Паралельно зі мною працював хостер, верстальник і ще одна людина з Twitter виявив бажання допомогти з цією справою. Великий моєю помилкою було шукати код у файли в папці з темою. Запам’ятайте, цього коду там немає. Ви тільки витратите час даремно.
Сам скрипт розташований у файлі index.php. Але ще раз це не файл теми!
Саме там сидить цей скрипт. Видаляєте його або якщо у вас є бекап просто замінюєте цей файл не заражений. І на цьому все!

Хостер мене випередив, робив це рівно на хвилину раніше мене. Блог відновив роботу.
У твіттері попросив ще раз Сергія зайти на блог, щоб перевірити, якщо його антивірус не лається. Сергій повідомив, що все чудово.
Проблема вирішена.

Хостер, так само надіслав звіт, що саме зробив, як виправляв, а так само настійно порекомендував змінити всі паролі і як можна швидше.

Перевіряйте свої блоги хоча б раз в місяць на шкідливі скрипти і коди. Перевіряйте свій блог, а саме його код. Витратьте не багато часу на це, що б потім не було не приємностей у вашого блогу.