Откуда на сайте вредоносные скрипты

Добрый день! Сегодня хочу затронуть такую животрепещущую тему как вредоносное ПО. Нет я не  буду вдаваться в мелкие подробности что это такое. Я хочу поделится той ситуацией с которой столкнулась я сама в течении последней недели. Периодически слышала от кого-нибудь от знакомых блогеров, что возникают различные ситуации с входом в админпанель блога.

Vredonosnoe-PO_Иногда сама проходя по ссылке, сталкивалась с сигнальным окном красного цвета, с предупреждением «Внимание! Обнаружена проблема!» В некоторых случаях,  даже и внимание особо не обращала так по https:// протоколу,  даже вход к провайдеру в личный кабинет, сопровождается таким предупреждением.

Но согласитесь, когда это касается твоего личного ресурса, это воспринимается немного по другому. Нет, конечно это не трагедь, но нервенную систему щекочет.

Итак, совершенно случайно зашла в папку спам, а там вот такое интересное предупреждение:

[box type=»error» align=»alignright» ]

Здравствуйте. На вашем аккаунте ИМЯ МОЕГО АККАУНТА  зафиксировано расположение фишинг контента по ссылкам_http://сайт-1.ru/wp-content/plugins/cyr2lat/horde.paypal.com/webscr.html
_http://сайт-1.ru/wp-content/plugins/cyr2lat/pma.paypal.com/webscr.html
_http://сайт-2.ru/wp-content/plugins/wp-postviews/paypal.co.uk/support.paypal.co.uk/

Права доступа к папкам horde.paypal.com, pma.paypal.com, paypal.co.uk сняты. Указанный контент был закачан через страницы на сайте сайт-2.ru, по пути

сайт-2.ru/public_html/wp-content/themes/striking1/cache/images
external_7a0cf2f7d7e34c7ff3d7c198ab29fd23.php
external_38563e5f0e5d173d50d5cf3817471d0d.php
external_33f57bbe8cce74fd3d0ebe9e795479cd.php

Вам следует выполнить проверку файлов аккаунта и удалить вредоносные скрипты.

[/box]

Я была в легком замешательстве, даже не в замешательстве, а в оцепенении. Я даже не знала как к этому отнестись, поскольку уже несколько раз попадала в ситуации, когда в итоге блокировались аккаунты или снимались деньги за отправленную СМС-ку. Я знала одно, что самое главное не торопится. Внимательно посмотрела на адрес технической поддержки Хостинга, вроде он родной. Но лучше всё-таки решила зайти с другого входа, через админ панель Хостера, а не по ссылке в письме, которое странным образом оказалось в спаме, и пробыло там уже более 2 суток.

Конечно первым делом я сообщила техподдержке, что это сообщение только что выужено из спама, и самый главный вопрос:

— «Как проверять файлы и где искать скрипты…» Согласитесь в такой ситуации просто заниматься поиском инфы в Интернете, выглядит как-то не логично… Время было полуношное, друзей-подруг в Skype не оказалась, а та единственная, которая ещё присутствовала у своего монитора похихикала надо мной, типа:  «Во-во (chuckle) кому это надо?»

Если честно меня саму интересовал этот вопрос… Но каждый знает, что просто так даже чирей не вскакивает, а тут целых три «левых» папки в моем аккаунте.  Кстати, я не постеснялась задать и этот вопрос… (и мне даже через пару дней ответил на него один из специалистов, да как всегда человеческий фактор!!!)

На вопрос что делать, я получила лаконичный вопрос: «Вам следует загрузить файлы на Ваш локальный компьютер и выполнить антивирусную проверку файлов сайта.»

«Странные» папки не хотели удаляться. Рассчитывать на быстрый, повторный  ответ тех. поддержки лучше было не рассчитывать…

Arhiviruem-papku-saytЧто же буду закачивать на ПК и сканировать. Для этого надо перейти в файловый менеджер, пометить нужную папку, выбрать вкладку Архиватор — Архивировать. Когда архив будет создан — два клика по архиву, и ваш сайт уже закачан на локальный компьютер. Это собственно , и есть бекап сайта.

Осталось просканировать антивирусником, и Ву А Ля. Антивирусник остался доволен просканированными файлами, я соответственно тоже. В папке сайт-1.ru сразу удалила папки с предполагаемым вредоносным ПО, кстати эти папки были пустыми). И загрузила отсканированный архив на хостинг. Исходную папку сайта  переименовала, т.к. права доступа к папкам с фишинг контентом  были сняты тех. поддержкой хостинга…

Написала в тех. поддержку (далее просто ТП) следующее:

Папки отсканировала на локальном компьютере антивирусом Dr.Web. Зараженных файлов не обнаружено. Что мне делать дальше?

Тут началось самое интересное, к примеру воспользоваться специализированным веб-антивирусом. На мой «дурацкий» вопрос: «Каким?» Меня и послали в то самое место, т.е. тому самому специализированному веб-антивирусу. Он зараза взял и закачался на ПК… Что с этим зверем теперь делать? Просканировала онлайн-сервисом…

Теперь на вопрос: «Что дальше делать?» Папки-то я удалить не могу… Я всегда считала, что тикеты создаются специально для того, чтобы специалист ТП видел весь диалог с веб-мастером. Ну это я так считала…

[box type=»note» ]

Здравствуйте! Наиболее оптимальным решением станет обращение к стороннему специалисту для ручного удаления вредоносного кода.

[/box]

О-хо-хо, в такие моменты себя периодически ощущает то Балериной, то Испанским Летчиком, то и тем и другим одновременно…

Здравствуйте! Я еще вчера писала «пытаюсь удалить с хостинга папки horde.paypal.com, pma.paypal.com и wp-postviews и у меня это не удается…» Причем замечу что эти папки пустые… Вы считаете, что стороннему специалисту это удастся сделать?

Только тут Балерина была понята… Права на одну папку были восстановлены, она была мною торжественно удалена. А две других папки были специалистом ТП не обнаружены… Ещё бы! Балерина её переименовала, и ещё торжественнее сообщила новые адреса папок… Тут балерина стала Испанским Летчиком и просто попросила удалить  переименованную папку… Но видна Балерина не совсем стала Испанским Летчиком, поэтому ей задали уточняющий  вопрос:

[box type=»note» ]

Эта папка  не используется ни одним из Ваших сайтов. Вы хотите удалить её полностью?

[/box]

Наконец-то всё лишнее было удалено… Но Балерина хотелось по язвить, ей было обидно за всех Балерин планеты:

Игорь, большой спасибо!  Стоило ли меня посылать так далеко?!   :) :) :)  Теперь я могу спать спокойно???

Спать спалось, а на попе ровно не сиделось… Так на следующий день  в статистике лайвинтернет обратила внимание на точку входа …wp-content/plugins/wp-postviews/paypal.co.uk/paypal.co.uk/paypal.co.uk/ — 6 раз? Это нормально?

В общем вот что у меня получается по точкам доступа к фишинг контенту…

Tochki-vhodaОт тех.поддержки я получила следующие разъяснения:

Источниками подобных  «недоразумений»  может быть несколько:
1) Уязвимость пользовательского кода:
— устаревшая версия CMS ( модули, плагины, шаблоны, которые содержат в своём коде ошибки безопасности);
— скрипты, созданные собственноручно или позаимствованные с других ресурсов и содержащие ошибки безопасности.
2) Злоумышленник специально получил реквизиты доступа к Панели Управления Аккаунтом (ПУА), FTP-соединения, SSH или админ панели  CMS. Это может  происходить  по двум причинам:
а) На вашем локальном компьютере  программное обеспечение содержит вирусы.
б) Вы пользуетесь протоколами  передачи данных без использования шифрования.
Примеры протоколов, использующих шифрование: SSH, SFTP, HTTPS.Причины в  уязвимости скриптов сайта
Рекомендуется  обратиться к стороннему специалисту, который проведет  аудит безопасности скриптов вашего сайта и выполнит необходимые действия по устранению выявленных проблем.
Если по какой-либо причине, вы не можете воспользоваться услугами  стороннего специалиста, то  предлагаем  следующий порядок действий, что не гарантирует полного решения проблем:
  1. Закачать все файлы с сервера на локальный компьютер, проверить их антивирусом и загрузить обратно;
  2. Обновить  пароли панели управления аккаунтом, FTP-пользователей, Баз Данных и административной части ваших сайтов;
  3. Обновить все  CMS , вместе со всеми  дополнениями.

После этого необходимо проверить возникают ли повторные прецеденты.
Если вы выполнили указанные пункты и проблема все еще имеет место, вам следует обратиться к стороннему специалисту по безопасности.

Общие рекомендации по безопасности:

  1. Использовать только сложные пароли, регулярно менять их,  и не передавать третьим лицам;
  2. Использовать  известные, проверенные CMS, с  регулярным обновлением, и  технической поддержкой, которые  дают гарантии защищённости своих скриптов. Это  же касаемо модулей, плагинов, шаблонов  оформления и других расширений CMS. Многие CMS, которые  распространяются  на бесплатной основе не гарантируют защищенности скриптов;
  3. Регулярно делайте  резервные копии Ваших  сайтов  и его Баз Данных, чтобы иметь возможность выполнить  откат, если взлом не обнаружен  сразу;
  4. Пользоваться протоколами передачи данных, с шифрованием  (например, SSL) для передачи конфиденциальных данных.

С нашей стороны мы можем предоставить вам логи панели управления аккаунтом, FTP-соединения и запросов веб-сервера за указанный период.

Вопросы анализа уязвимости пользовательского кода, к сожалению, выходят за  рамки предосталяемой нами технической поддержки.

Вот так…

А ведь на самом деле у меня на сайте-1.ru был установлен бесплатный шаблон, с «древним» кодом, да собственно это и не сайт, а одна  единственная страница с прайсс-листом по электротехническим услугам.

А на сайте-2.ru, хоть и стоял премиум шаблон, но обновлялся шаблон, грубо говоря в прошлом веке да и  WordPress версии 3.2. Зато сразу нашлось время на обновление модулей и их стыковку, смену паролей, и прочие не запланированные  действия… :)

С вами была, Ольга Батырева.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *