Как найти и удалить вредоносный код на сайте

Здравствуйте уважаемые читатели блога Сам себе Seoшник. Сегодня я хочу поговорить с вами о том, как найти вредоносный код на сайте и последующие меры защиты от новой атаки хакеров.

Вредоносный код

Вообще я не собирался писать про вредоносные коды, так как думал, что это может обойти все мои сайты, но не тут то было. Один из моих проектов около недели назад стал терять посещаемость, а касперский заблокировал пару моих страниц пометкой опасные. На них как я тогда понял содержались вирусы под названием "Троян", которые могли существенно навредить компьютеру пользователя. В тот момент я даже не мог представить, что мой скромненький проект с 10-ой тИЦ и 1-ой PRкой может кто-то взломать и разместить там свои коды. Но на следующий день, проверяя почту я увидел письмо от Яндекса, в котором содержалось буквально следуюющее:

"Некоторые страницы вашего сайта обладают потенциально опасной программой и могут заразить компьютеры других пользователей"

Ищем вредоносный код

Я был ошарашен таким извещением и сразу попытался разузнать, откуда у меня на сайте взялся вирус и как его оттуда поскорее убрать, чтобы Яндекс снова пометил ресурс, как безопасный. Также в письме был указан сервис все того же Яши, в котором можно проверить свой драгоценный сайт на наличие опасных скриптов, а также прочитать о том, как вообще могут выглядеть эти самые коды. Сервис этот находится в Яндекс.Вебмастер/Безопасность.

Но к сожалению проверка на наличие вредоносного кода дала мне лишь страницы, на которых он расположен, а сам код и его конкретное местоположение все также оставались для меня загадкой. Естественно, что визуально на страницах, где размещен скрипт, не было ничего видно, поэтому я отправился искать нужную мне информацию в рунете.

Первым делом я наткнулся на очень интересный плагин, позволяющий проверить наличие скрипта во всех загруженных шаблонах на вашем сайте. Плагин этот называется TAC (Theme Authenticity Checker) и работает он следующим образом:

1. После того как вы загрузили и установили плагин TAC (Theme Authenticity Checker), идем в администрированную панель вашего сайта и нажимаем на вкладку "Внешний вид". Там среди прочих настроек вы должны увидеть название этого плагина "ТАС" и успешно пройти по ней.

После того как вы перешли по ссылке ТАС, вам должна вырисовываться такая картина. Отображаются все ваши шаблоны, которые вы загрузили на сайт, и рядом с ними плагин дает информацию о том, что он нашел плохого нашел в коде шаблона.

Если табличка покрашена в зеленый цвет и внутри написано Theme Ok!, то в коде этой темы нет ничего такого, что могло нарушить работу шаблона. Рядом с этой табличкой, а именно справа написано количество ссылок, которые могут усложнить процесс продвижения вашего ресурса. Обычно это такие ссылки, которые автор шаблона, чтобы привлечь на свой сайт посетителей и статистический вес. Если вы захотите узнать как выглядить скрипт вредоносного кода или ссылки в шаблоне, то нажмите на кнопку Detailis.

Когда я проверил все шаблоны с помощью плагина TAC (Theme Authenticity Checker), то ничего особо вредоносного не обнаружил, кроме парочку ссылок, которые сразу же удалил. Поэтому надо было искать дальше и я снова пошел в рунет.

Перелопатив кучу информации, я нашел интересный блог, автор которого рассказывал как он нашел вредоносный код и причем без всяких плагинов, сервисов и так далее. Он просто зашел в корневую директорию и начал смотреть когда последний раз совершались изменения в файлах, вскоре ему удалось выделить несколько десяткой файлов, в которых изменения произошли именно в тот момент, когда Яндекс обнаружил вирус. Дело закончилось тем, что ему удалось найти и удалить этот вредоносный код в файле functions.php.

Удаляем вредоносный код

Я тоже открыл этот файл, и к моей великой радости нашел точно такой код.

После того, как был удален этот скрипт, мне вспомнилось то, что нужно поменять все пароли на сайте, чтобы эти проклятые хакеры вновь не загрузили ничего такого, что могло помешать работе ресурса.
И затем, когда все пароли были заменены на новые, я отправил запрос Яндексу на проверку сайта. Мне написали, что ждать придется несколько дней, но на деле прошло около двух недель. И все же после этой проверки Яша торжественно поздравил меня и мой сайт с тем, что у него не было найденно ни единого вредоносного кода и в связи с этим он снимает все пометки, которые предостерегают человека зайти на мой проект.

Не пропустите серию новых интересных статей на блоге, оформите подписку!

автор: Ловцов Алексей