Привет всем, кто читает эту статью. Сейчас, я расскажу вам очень интересную историю о том, как был взломан мой блог. Так как я впервые сталкиваюсь с такой «наглостью» и не особо хорошо разбираюсь в PHP, мне пришлось немного попотеть, чтобы убрать вредоносный код с сайта. Но все же за вечер я справился с проблемой, чем и решил с вами поделится.
Хочу отметить, что на моем блоге стаяло несколько плагинов обеспечивающие его безопасность и были сделаны соответствующие настройки. Но как показывает практика, этого не всегда достаточно. Рано или поздно, какой-нибудь опытный хакер может найти брешь в вашем блоге, и внедрить в него вредоносный код.
Сайты взламывают по следующим причинам:
[tip]
1. Взлом ради получения опыта и самоутверждения.
2. Кража ценной информации.
3. Добавление на сайт рекламных постов и редиректов.
[/tip]
Что касается моего блога, то на него поставили мобильный редирект. Когда пользователи заходили с мобильных устройств на блог, их могло отбросить на другой сайт. К сожалению я редко захожу на свой сайт с мобильного, поэтому даже не знаю как долго мой сайт находился в таком состоянии.
Как всё было.
Зачастую, далеко не всегда можно обнаружить взлом своего сайта.. Вот и я, чисто случайно зайдя на свой сайт, заметил неладное. Проявлялось это в том, что сайт начал очень медленно грузиться.
Я сразу начал грешить на хостинг, пока случайно не увидел это:
Появилось странное соединение, которое не сразу бросается в глаза. Что-то подобное появляется когда на сайте установлен счетчик LiveInternet(counter.yadro.ru).
Эта фигня маскировалась под счетчик. Я даже никогда ни сталкивался не с чем подобным, поэтому не сразу понял что делать. Для начала я решил набрать в поисковике имя сайта counter.yadro.im.
Вышел сам сайт и одна статья на эту тему. Негусто, но радует что хоть кто-то уже сталкивался с данной проблемой, поэтому мне не пришлось начинать с нуля.)
Сам сайт мне открыть не удалось. Решил проверить его на сервисе virustotal и вот какой результат получил.
В целом что-то подобное я ожидал, но вопрос как убрать сие чудо оставался открытым. Конечно, я мог восстановить сайт из бэкапа, но мне было интересно, куда был вшит вредоносный код.
Немного порывшись в скриптах своего шаблона, я нашёл вот что:
Этот код не сходился с эталонным файлом шаблона, к тому же в нем был прописан путь к файлу wp-min.js. Удаляю этот код и иду искать этот файл.
Открыв wp-min.js, вижу следующее:
Как я понял, это и есть зашифрованная ссылка ведущая на сайт counter.yadro.im. Удаляю этот файл, и всё окей. Сайт начал грузится, как прежде, никаких редиректов.
Как именно произошло внедрение этого кода, я так и не понял. Но чтобы минимизировать риск повторения данной ситуации, я поменял все пароли и произвел дополнительные настройки плагинов безопасности.
Кстати, если вы сталкиваетесь с похожей проблемой, то рекомендую взять на вооружение несколько полезных сервисов, которые помогут вам обнаружить и удалить вредоносный код с сайта.
[note]
1. Проверка сайта на редирект.
2. Анализ загрузки сайта.
3. Поиск вредоносного кода на сайте.
[/note]
AI-bolit – бесплатный сканер вирусов и другой нечисти на вашем сайте. На сайте доступны две версии этой программы. Вы можете скачать версию программы для Windows и проверить локальную копию сайта на своем компьютере либо установить версию для хостинга.
В целом это все что я хотел сказать, если будут вопросы, оставляйте их в комментах этой статьи.