Как обнаружить вредоносный код на сайте?

Приветствую дорогие друзья! Сегодня я хотел бы рассказать про несколько методов, с помощью которых можно легко обнаружить вредоносный код на сайте. Когда я впервые создавал сайт, то я очень долго подбирал для него дизайн. У меня не было денег для заказа уникального шаблона, поэтому пришлось выбирать из того мусора что находиться в общем доступе.

Так вот 90% бесплатных шаблонов напичканы ссылками на другие сайты или что еще хуже вредоносным кодом. Перебирать каждый шаблон вручную мне не хотелось, и поэтому я нашел решение в виде нескольких плагинов с помощью которых можно легко определить, чист ли шаблон или нет.

Находим вредоносный код на сайте wordpress

Плагин TAC. Очень крутой плагин, который определяет вредоносный код  в скачанных шаблонах. Кроме вредоносного кода, плагин видит скрытые ссылки, которые на первый взгляд могут быть незаметны (ссылки в знаках препинания и пробелах). Об этом плагине я также упоминал в видео-курсе по созданию сайта. Установка плагина ничем не отличается от других, поэтому с этим у Вас проблем возникнуть не должно. После установки и активации, заходим в админку, внешний вид, TAC:

Далее смотрим установленные на блоге шаблоны. Если шаблон отмечен зеленым, значит все в порядке и бояться нечего:

Если шаблон отмечен красным, то это уже повод для беспокойства. Чтобы было более понятно, мною специально была скачена зараженная тема, вот что показывает плагин:

Здесь у нас собран целый букет.  Во-первых, есть закодированный код (отмечено красным), во-вторых – 3 левые ссылки.  Для того чтобы узнать в каком файле вирус, жмем на кнопку “Detalis” и видим где засели вшитые ссылки и закодированный вредоносный код:

Далее уже решаем выкидывать ли данную тему к чертям, либо же реанимировать ее, удалив все ненужное.

Но даже если с шаблоном в начале жизни сайта было все в порядке, то не факт что так происходит и сейчас. Заражение могло пойти от файлов, которые были добавлены в процессе ведения сайта. Для проверки я предлагаю использовать плагины Antivirus и Exploit Scanner.

Находим вредоносный код в файлах шаблона

Плагин Antivirus. Позволяет сканировать файлы темы на наличие вредоносного кода. Установка самая обычная и сложностей у Вас не вызовет. После установки и активации переходим в админку, параметры, Antivirus:

Можно осуществлять проверку, как в ручном режиме, так и по расписанию. Для того чтобы включить режим “по расписанию”,  в разделе “параметры” поставьте галочку напротив “включить ежедневное сканирование антивирусом” и введите свой действующий e-mail. В случае угрозы, Вам будет прислано уведомление на почту.  Для ручного сканирования нажмите на кнопку “Scan the theme templates now”, осуществиться проверка активированной темы. Если все гуд, то Вы увидите следующие результаты:

Если дела плохи, то появятся примерно такие результаты:

Однако не стоит слишком критично относиться к плохим результатам, плагин может посчитать подозрительными те строки, которые не являются вирусными. Проверять придется вручную. Если у Вас есть чистая тема, то сравните ее с той, которая установлена на блоге. Если некоторые строки совпадают с теми, что есть в чистом шаблоне, значит это не вирус, просто нажмите на кнопку “это не вирус” и при следующем сканировании эти результаты не будут учтены.

Плагин Exploit Scanner. Также сканирует файлы темы, а также записи базы данных на наличие вредоносного кода. После установки и активации заходим в админку, инструменты, Exploit Scanner:

После этого убираем галочку напротив “Search for suspicious style” – это будет означать, что файл style.css проверяться не будет, т.к. по мнению плагина этот файл должен состоять из одного текста и нескольких стилей (сами понимаете, что это невозможно). Для проверки жмем кнопку “Run the Scan”:

Если вредоносный код обнаружен, то вы увидите следующее:

Советую вручную проверить вредоносный код, а уже потом предпринимать какие-то действия. Будьте внимательны, при удалении некоторых ссылок может слететь весь шаблон, так что не стоит забывать про такую чудесную штуку, как резервная копия базы данных. Если Вам не повезло, и Вы столкнулись с закодированными ссылками, то вот решение по их удалению:

Первым делом делаем копию файла footer.php, чтобы если что-то не получилось, без проблем можно было восстановить оригинальный файл. После копии  заходим в админку, внешний вид, редактор  и открываем файл footer.php.

Затем находим закодированную ссылку. Выглядит она примерно так:

<code>< ?php eval(base</code><code>64_decode(‘Pz4gPC9kaXY+DQoNCjxkaXYgaWQ9ImZvb3RlciI +DQoNCjxkaXYgY2xhc3M9ImZvb3Rlcl9saW5rcyI+DQoNCkNvcHl vZ2luZm8oJ25hbWUnKTsgPz4uDQoNCjw/cGhwIGlmKGlzX2Zyb25</code> <code>jb</code><code>3VudF9wb3N0cygncG9zdCcpOKDQo8L2h0bWw+IDw/));? ></code>

Выделяем ее невидимыми метками следующим образом:

<!- Метка -> Ссылка <!- Метка ->

Сохраняем отредактированный файлик и в новой вкладке открываем наш блог. Жмем ctrl+u для открытия исходного кода и, воспользовавшись поиском (ctrl+f), находим и копируем содержимое наших меток.

Возвращаемся в файл footer.php и заменяем копированным кодом кодированную ссылку. Все! Теперь можно спокойно удалить кодированную ссылку не боясь испортить шаблон.

Напоследок несколько советов, которые помогут Вам избежать заражения Ваших сайтов:

  • Качаем шаблоны и плагины только с проверенных источников
  • Перед тем как использовать различные скрипты, которые находите на просторах Рунета, проверяйте их на вирусный код и левые ссылки
  • Обновляйте версии плагинов и движка
  • Регулярно делайте резервную копию Вашего сайта
  • Следите за файлами, которые загружаете на свой сайт

Вот такими простыми методами Вы можете легко обнаружить вредоносный код на сайте. Надеюсь, статья оказалась полезной для Вас, и Вы поделитесь ею в социальных сетях.

Ваш комментарий

  1. Иногда скрытие ссылки можно получить вместе с кодом партнерки. У меня был один раз такой случай на 37 разнотемных ссылок.

  2. Антивирус у меня стоит. Но этот плагин ругается на все подряд. Очень сложно разобраться, где реально вредоносный код. Пользовался специальной программой для обнаружения вредоносного кода, но пока не смог найти названия в закладках. Найду- напишу.

    • Отличная статья!

      • Антон, опять жульничаешь? Сколько я тебя учить буду, где я, там это не прокатит.Ты хоть саму статью читал, или просто одним глазом глянул. Хоть бы один вопрос задал толковый. Давай, работай, не ленись.

    • Кирилл Тараненко:

      Этот плагин ругается не на все подряд. Я с помощью него действительно много хлама с шаблона удалил, в том числе и кодированные ссылки на всякие ГС

  3. Если бы еще понимать,что там нормальное,а что нет. Как-то пока для меня с этим сложно разобраться.

    • Кирилл Тараненко:

      Ну если стоят ссылки на другие ресурсы или загадочные кракозябры в коде шаблона, то думаю тут и гадать не надо что это явно лишнее :)

      • Теперь уже немного понятнее. Но все же удобнее пользоваться программой, ссылку на которую я скинул ниже. Там показывает именно вредоносный код, особенно часто это попадается в готовых шаблонах Вордпресс, и особенно с меняющимися заставками.

  4. Наконец-то нашел ту программу для обнаружения вредоносного кода на сайте. Сразу же выкладываю ссылку http://sitecheck.sucuri.net/ . Очень удобная программа, рекомендую.

    • Хороший сервис проверки, спасибо. Самое главное не забывать про обновление движка, только так можно получить хорошую защиту от вредоносного кода.

      • Кирилл Тараненко:

        Ну насчет обновления движка — спорно. У старых версий все способы защиты продуманы, а в новых мошенники могут найти новые дыры, так что обновляться нужно не сразу