Избавление от вируса «shareup.JS»

Хотелось бы изложить немного полезной информации по борьбе с вредоносными скриптами в сети интернет, полученной от антивирусной лаборатории SeoRed. Одной из последних тенденций 2015-2016 годов  замечен активный всплеск зараженных сайтов под управлением CMS WordPress. Как продиагностировать сайт и не допустить потери поисковых позиций за счет слива поискового трафика куда-то на сторону?

Давайте для начала разберемся что делать, если вы вдруг натолкнулись на появление непонятных для вас скриптов при редактировании страниц вашего сайта, при изменении их через админку WordPress. Основным признаком заражения является появление в материалах сайта строчек вида:

<script type="text/javascript" src="//shareup.ru/social.js"></script>
<script src="//shareup.ru/social.js" type="text/javascript"></script>
<script src="//shareup.ru/social.js"></script>

По равнению с тривиальными вирусами, как правило, прописывающиеся либо в начало статьи или в ее конец, этот экземпляр маскируется в страницах с большим количеством содержимого. Помимо этого распространение может происходить по нескольким таблицам в вашей базе данных (а не только по таблице post_content). Основная проблема заключается в том, что материал сайта неоднократно может быть раскопирован самим пользователем. При этом пользователь, в лице администратора сайта может полностью не осознавать, что любой перенос содержимого – является почвой для распространения зловредного скрипта, как в пределах сайта, так и за (например при переносе статей с сайта на сайт).

Одним из эффективных способов победить вирус «social» является сканирование базы данных вашего сайта на наличие так называемых артефактов или материалов с зараженным содержимым. Мы рекомендуем пользователю сайта воспользоваться инструментом «phpMyAdmin» для поиска стороннего кода на вашем сайте. Опять-таки мы рассматриваем процесс «лечения» сайта на уровне базы данных wordpress, частоту исходных файлов самого движка, плагинов или файлов шаблона необходимо также проверять.

Давайте рассмотрим типичное окно поиска с использованием phpMyAdmin:

2016-05-15_20-27-40

Нахождение вирусов через оболочку phpMyAdmin

В поле «строка или значения для поиска» введите  кодовое имя «shareup», после чего выберите из списка все таблицы для сканирования, как показано на скриншоте и нажмите кнопку «OK».

Через несколько секунд (в зависимости от объема вашего сайта) вы получите список просканируемых таблиц с указанием количества найденных вирусных записей напротив каждой из таблиц. Если значение отлично от нуля (0) то очевидно, что таблица содержит вредоносное содержимое и нуждается в лечении.

Для избавления от проблемного кода необходимо перейти на вкладку «SQL» и выполнить следующий код, который заменят скрипт «social.js» на пустую строку, не меняя тем самым ранее созданный материал статьи.

UPDATE wp_posts SET post_content = REPLACE (post_content, '<script type="text/javascript" src="//shareup.ru/social.js"></script>', '')
UPDATE wp_posts SET post_content = REPLACE (post_content, '<script src="//shareup.ru/social.js" type="text/javascript"></script>', '')
UPDATE wp_posts SET post_content = REPLACE (post_content, '<script src="//shareup.ru/social.js"></script>', '')

Для того чтобы удостовериться в том, что вирус полностью уделен с сайта еще раз перейдите на вкладку с поиском и повторите поиск по слову «social». Естественно если вы ведете блог на английском языке, то вполне вероятно, что поисковый механизм может найти за место вируса содержимое самой статьи, например как «Social blog for humanized freaks».  Ничего страшного если вы дополнительно откроете запись в базе данных и просмотрите все ли в порядке вручную.

Напоследок дадим несколько рекомендаций по тому как, не дать злоумышленникам установить у вас на сайте вредоносный код. По крайней мере, соблюдение правил кодовой гигиены только пойдут владельцам сайтов на пользу.

  1. Не стоит устанавливать на сайт WordPress бесплатные шаблоны, которые могут содержать зашифрованный (обфускационный) Java Script код. Более 80% сайтов, которые распространяют красивые и популярные шаблоны за бесплатно, намеренно встраивают бэкдоры, которые моментально дают злоумышленнику встроить любое содержимое практически на любую страницу вашего сайта, где используется данный шаблон.
  2. «Старый WordPress лучше новых двух». Обратите внимание на то, что новые обновления на wordpress не всегда являются стабильными и защищёнными, как предыдущие. Новый функционал неизбежно влечет за собой появление каких-то новых багов в системе, как например, недавняя интеграция  WP REST API (WP API) в движок WordPress повлекла массу жалоб о появлении дюжины индексируемых ссылок сомнительного происхождения (wp-json/oembed/1.0/).

 

При возникновении проблем с сайтом или если у вас есть подозрение на то, что ваш сайт заражен ранее неизвестным вирусом и при этом у вас не хватает опыта избавления от вирусов, обязательно воспользуйтесь бесплатной рекомендацией от наших специалистов.

Рекомендации по избавлению от вируса тел.: 8 /981/ 885-04-54

Комментарии закрыты.