Не так давно один з моїх сайтів на движку WordPress став виводитися в результатах пошуку з позначкою «Це сайт може загрожувати безпеці вашого комп'ютера».
Була у мене раніше така ситуація c сайтом на DLE. коли зловмисниками в статті був поміщений шкідливий код.
Як від нього позбутися, я вже описував, але в даному випадку даний метод не походить.
Але нічого знайти не вдалося.
При цьому, що хотілося б зауважити, що не пускав відвідувачів на сайт тільки браузер Opera. а Хром і Мазій ніяких сигналів тривоги виводили. У Яндекс.Вебмастере виводилося повідомлення про зміст небезпечного коду і наводилися приклади сторінок, де він міститься.
Моя перевірка вихідного коду цих сторінок нічого підозрілого не виявила. Зазвичай в такому випадку завантажуються вреданосние скрипти, тому я вирішив повністю їх прибрати, тобто ніяких JS після цього на странцу не залишилося взагалі. Потім залишив заявку в вебмайстрів на повторну перевірку сайту.
Через 2 дні сайт був перевірений ще раз, але як і раніше залишився в списку заряджених.
Мої кроки в напрямку очищення сайту від вредоностного коду
У вебмайстрів Яндекса був вердік Troj / JSRedir-GS. Я порився в інтернеті і натрапив на статтю _www.softblog.info/security/ostorozhno-troyan-trojjsredir-r-gumblar/ де було трохи описано про цей троян і що його давольно важко знайти. Можна перевірити файл .htaccess на зайві рядки коду, які можуть перенапровлять відвідувачів на інший ресурс.
У стандартному файлі .htaccess містяться тільки рядки
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^ index \ .php $ - [L]
RewriteCond%! -f
RewriteCond%! -d
RewriteRule. /index.php [L]
# END WordPress
Вообщем, я вирішив не мучитися з пошуками, а видалити всі файли з хостингу і заново залити движок і шаблон. При цьому взяв новий шаблон, щоб не було у мене підозри про його зараження.
Перед тим як видаляти все з хостингу, необхідно:
1) Перевірити, чи немає в папці uploads інших файлів крім gif, jpg, png і скопіювати її до себе на комп.
2) Бажано зберегти файл експорту: Адаменко> інструменти> експорт (повинен бути встановлений плагін Importer).
3) Запам'ятати які плагіни і віджети були встановлені, щоб мати можливість привести все в колишній вигляд;
Свіженький движок WordPress я скачав з оф. сайту і як говорилося вище замінив шаблон на новий, тому якщо Яндекс знову покаже що сайт шкідливий, то тоді вірус в базі даних. Вообщем, я відправив сайт знову на повторну перевірку в вебмайстрів. Чекаю.
Допишу про результати в цій статті, а також мої дії в разі якщо проблема залишиться.
А ось ще одне наостанок. Якщо у вас є бекап сайту в якому ви впевнені, то можна порівняти його з існуючим.
1. Зробіть бекап існуючого сайту.
2. Разархівіруйте бекап без вірусів або дистрибутив CMS.
3. Зробіть порівняння каталогів і файлів програмою типу Araxis Merge.
4. Видаліть лівий код і ліві файли.
Як виявляється Веб-майстер Google може показати (але не завжди) сам код вірусу на відміну від Яндекса. Тому варто додати сайт туди і полегшити тим самим пошуки цієї зарази в файлах сайту.
Також рекомендую ознайомиться з ось цією статтею якщо ваш сайт на DLE! Важлива інфа!