Мой сайт взломали.

Автор: | 20.03.2016

мой сайт взломали

 

Привет всем, кто читает эту статью. Сейчас, я расскажу вам очень интересную историю о том, как был взломан мой блог. Так как я впервые сталкиваюсь с такой «наглостью» и не особо хорошо разбираюсь в PHP, мне пришлось немного попотеть, чтобы убрать вредоносный код с сайта. Но все же за вечер я справился с проблемой, чем и решил с вами поделится.

Хочу отметить, что на моем блоге стаяло несколько плагинов обеспечивающие его безопасность и были сделаны соответствующие настройки. Но как показывает практика, этого не всегда достаточно. Рано или поздно, какой-нибудь опытный хакер может найти брешь в вашем блоге, и внедрить в него вредоносный код.

 

Сайты взламывают по следующим причинам:

1. Взлом ради получения опыта и самоутверждения.
2. Кража ценной информации.

3. Добавление на сайт рекламных постов и редиректов.

Что касается моего блога, то на него поставили мобильный редирект. Когда пользователи заходили с мобильных устройств на блог, их могло отбросить на другой сайт. К сожалению я редко захожу на свой сайт с мобильного, поэтому даже не знаю как долго мой сайт находился в таком состоянии.

 

Как всё было.

hackerman

Зачастую, далеко не всегда можно обнаружить взлом своего сайта.. Вот и я, чисто случайно зайдя на свой сайт, заметил неладное. Проявлялось это в том, что сайт начал очень медленно грузиться.

Я сразу начал грешить на хостинг, пока случайно не увидел это:

virus

 

Появилось странное соединение, которое не сразу бросается в глаза. Что-то подобное появляется когда на сайте установлен счетчик LiveInternet(counter.yadro.ru).

Эта фигня маскировалась под счетчик. Я даже никогда ни сталкивался не с чем подобным, поэтому не сразу понял что делать. Для начала я решил набрать в поисковике имя сайта counter.yadro.im.

Вышел сам сайт и одна статья на эту тему. Негусто, но радует что хоть кто-то уже сталкивался с данной проблемой, поэтому мне не пришлось начинать с нуля.)

Сам сайт мне открыть не удалось. Решил проверить его на сервисе virustotal и вот какой результат получил.

virustotal

В целом что-то подобное я ожидал, но вопрос как убрать сие чудо оставался открытым. Конечно, я мог восстановить сайт из бэкапа, но мне было интересно, куда был вшит вредоносный код.

Немного порывшись в скриптах своего шаблона, я нашёл вот что:

vir2

Этот код не сходился с эталонным файлом шаблона, к тому же в нем был прописан путь к файлу wp-min.js. Удаляю этот код и иду искать этот файл.

 

Открыв wp-min.js, вижу следующее:

redirect

Как я понял, это и есть зашифрованная ссылка ведущая на сайт counter.yadro.im. Удаляю этот файл, и всё окей. Сайт начал грузится, как прежде, никаких редиректов.

Как именно произошло внедрение этого кода, я так и не понял. Но чтобы минимизировать риск повторения данной ситуации, я поменял все пароли и произвел дополнительные настройки плагинов безопасности.

 

Кстати, если вы сталкиваетесь с похожей проблемой, то рекомендую взять на вооружение несколько полезных сервисов, которые помогут вам обнаружить и удалить вредоносный код с сайта.

1. Проверка сайта на редирект.

2. Анализ загрузки сайта.

3. Поиск вредоносного кода на сайте.

 

AI-bolit — бесплатный сканер вирусов и другой нечисти на вашем сайте. На сайте доступны две версии этой программы. Вы можете скачать версию программы для Windows и проверить локальную копию сайта на своем компьютере либо установить версию для хостинга.

 

ai-bolit

 

В целом это все что я хотел сказать, если будут вопросы, оставляйте их в комментах этой статьи.

 

Мой сайт взломали.: 1 комментарий

  1. Дмитрий

    Молодец, что исправил. А у моего знакомого сайт взломали. Тоже вел непонятно куда. Он платил за устранение вируса.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Нажимая на кнопку, я даю согласие на рассылку, обработку персональных данных и принимаю политику конфиденциальности