Главная / Ведение блога / Друзья, помогите найти и убрать вирус на блоге

Друзья, помогите найти и убрать вирус на блоге

На блоге обнаружен вирусВсем привет! Обычно на своем блоге я пишу для Вас, уважаемые читатели и друзья блога. Пишу о том, в чем хорошо разбираюсь, даю материалы о том, что может Вам пригодиться в самостоятельном блоггинге, seo и веб-аналитике. Но бывают моменты, когда и я прошу у Вас необходимую мне информацию. Как, например, при возникновении у меня редизайна блога я задавал Вам ряд вопросов по шаблону. Теперь же мне опять нужно Ваше мнение, так как сам уже исчерпал свои ресурсы. На моем блоге поселился вирус и мне нужна Ваша помощь!

Моя печальная история

Все началось с сообщения в сервисе Яндекса для вебмастеров, который я ежедневно просматриваю:

Сообщение от теххподдержки Яндекса о вредоносном коде на моем блоге

За все время ведения своего блога не было на нем никаких вирусов. Даже при очень серьезной brute force атаке, которая бушевала прошлым летом и унесла с собой много разных блогов, мои «записки» устояли — постарались ребята хостера Reg.ru. А тут такое сообщение. Конечно, я начал сразу смотреть, что к чему:

Результат проверки моего блога на вирусы

Как видим, какой-то вредоносный код обосновался на моей странице о способах раскрутки сайта в Интернете. Очень неприятное зрелище, ведь этот пост по многим запросам уже давно обитает на первой странице выдачи. Потерять немного трафика мне не хотелось. Пришлось прояснить себе понятие «поведенческого анализа»:

Понятие поведенческого анализа при обнаружении вредоносного кода

Полазив по предлагаемым инструкциям, я предположил, что мой блог атакуют какие-то злостные «посетители», негативно влияющие на поведенческие факторы. Поэтому первым делом я полез в Яндекс Метрику. Там я и обнаружил этих нарушителей:

Парамтеры посетителей и выявление нарушителей

Как я понял из инструкций, эти нарушители ухудшали поведенческий фактор моего блога — отказы были стопроцентными, время их нахождения на сайте равнялось нулю.

Чтобы как-то исправить ситуацию, я перешел на мою страницу и начал тщательно смотреть ее код. Но до самого вечера, я так ничего и не нашел… Позже проверив пост на битые ссылки, я нажал кнопку в вебмастере о повторной проверке и стал ждать результатов. И результаты пришли в тот же день поздно вечером:

Сообщение Яндекса о том, что вредоносный код не обнаружен

Ура, товарищи! Берлин взят! С чувством исполненного долга я лег спать. На следующий день все было тихо и я понял, что это был просто глюк Яндекса. Ведь все мы знаем, что такое у него бывает — все пытается сделать идеальную поисковую систему. И это конечно хорошо!

Но какового было мое удивление, когда 31 августа появился снова этот вредоносный код. Только теперь Яндекс показывал другую страницу. Теперь я сразу нажал кнопку перепроверки. 1 сентября кода опять не стало. А 2-го числа он опять приполз. Потом снова то же самое 4-го сентября:

Сообщения Яндекса о вредоносном коде

Эти непонятные кошки-мышки мне порядком надоели. Поэтому вчера я стал заново разбираться с проблемой. И сначала решил полностью проверить свой сайт и компьютер на вирусы.

Со вторым у меня всегда был полный порядок — Outpost Security Suite Pro и максимальная 7-ка четко стоят на страже — вирусов на компе нет. Чтобы убедиться еще раз в этом, я поставил лицензионный пакет Касперского — результат тот же.

Разобравшись к программным обеспечением, я принялся проверять свой блог. И первым делом обратился к своему хостеру. Благо у него все есть для того, чтобы полноценно провести диагностику. Заказав услугу проверки сайта на вирусы, я получил итоговое письмо:

Reg.ru вирусов на моем сайте не обнаружил

Вирусов нет! Чтобы убедиться в этом, я закинул свой сайт на анализ в другие специализированные сервисы. Вот что показали доктор WEB и IP:

Результаты сканирования моего сайта другими сервисами

Но в одном сервисе обнаружил оповещение, аналогичное сервисом Яндекса:

Отчет сканирования в сервисе VirusTotal

В целом, проверка показала, что только Яндекс видит у меня на блоге вредоносный код. Кстати, этот факт тоже хорошо был виден при анализе полученного моим блогом за последние недели трафика:

Изменение трафика на моем блоге, в котором силит вирус

Из графика хорошо видно, что поисковый трафик из Яндекса начал проседать именно 29-го числа (линия красного цвета). А вот посещаемость из поисковика Google в целом не упала — желтая линия стабильно получает похожие значения с данными прошлогодней недели.

Что я уже сделал, чтобы избавиться от вируса

Во-первых, я полностью переустановил все пароли в хостере, на своем блоге и даже на почтовых ящиках. Причем сделал я это с помощью виртуальной клавиатуры, лишний раз перестраховавшись (хотя компьютер чист, вирусов на нем нет, как я уже говорил).

Во-вторых, со времени появления непонятных «посетителей», которые приносили мне стопроцентные отказы, я переписал все IP. Понимаю, конечно, что они динамические. Но некоторые повторялись, то есть приходили на мой блог по несколько раз. Поэтому я закрыл им всем доступ с помощью директив файла .htaccess.

Сейчас, как я уже писал, вируса нет на блоге. Но это до очередной проверки. Правда, в выдаче уже мой блог больше не получает обидную приставку об опасности:

Сравнение выдачи по запросу внутренняя перелинковка вчера и сегодня

Что будет завтра, я не знаю. Все, что мог сделать, уже сделал. Но я не спец в вирусах. Поэтому, был бы рад всем дельным советам, как решить мою проблему — убрать вредоносный код. Если кто из моих постоянных читателей или посетителей из поиска уже имел дело с такой засадой, прошу мне помочь! Буду очень Вам благодарен!

С уважением, Ваш Максим Довженко

About Максим Довженко

Максим Довженко

Check Also

Как написать цепляющее вступление для блога

Добрый день, уважаемый читатель! Давно не затрагивали мы тему написания блоггерских постов, их правильного написания …

45 комментариев

  1. Аватар

    Вирус у тебя так и остался. Зашел с планшета и меня 301 редиректом перебросило на другой сайт.
    У меня на блоге есть пост на эту тему, как удалить вирус с помощью утилиты Айболит.
    Также советую после поставить плагин , чтобы видеть, какие файлы вирус перезаписывает.

    • Paladin

      Спасибо за совет! Не нашел у Вас карту сайта, подскажите адрес поста, который рекомендуете прочитать.

  2. Аватар

    — вот это что такое?

  3. Аватар

    script async=»» type=text/javascript src=http://cdn.tynt.com/tc.js

  4. Аватар

    Easily deployable ad placements that increase direct-nav traffic monetization — для чего это?

  5. Аватар

    Привет! Скачай весь сайт на жесткий диск и проверь антивирусом.

    Обычно это трояны которые попадают через плагины типа contact form и вообще подписки, а также CSS файлы. Поэтому в папках с плагинами должен быть htaccess со спецкодом.

    Много хороших отзывов по спецам из revision.com

  6. Аватар

    Не правильно написал
    revisium.com/

  7. Аватар

    Макс привет. Как только зашел, сразу антивирус что-то заблокировал. При обновлениях страницы больше оповещений не было. Печаль конечно, тоже страдал от рук злостных анонимов. если хочешь могу на нашем локальном форуме спросить, там ребята решали мои проблемы за 2 мин, которые не могли решить платные программисты.

    И еще такой вопрос: какая вкладка в метрике показывает ip и отказы с них?

  8. Аватар

    Поэтому я закрыл им всем доступ с помощью директив файла .htaccess.

    А в этом файле не были прописаны адреса на сторонние сайты? Просто в первом комментарии человека на мобильном нете перебросило на другой сайт. Скорее всего в .htaccess прописан 301 редирект на плохой сайт. Только странно, что Гугл этого не видит. Но на всякий случай проверьте файл.

  9. Аватар

    Максим, если мне не изменяет память, то с вирусами долго боролись Ира и Сергей Зайцевы этой зимой. Побороли. Сережа довольно неплохо в этом ориентируется, да и опыт был. Может обратиться к нему за подсказкой?
    Это единственное, что я могу посоветовать.

    • Paladin

      Спасибо, Алена! Мне тут Яндекс ответ написал, сказал что за вирус. Буду пока сам разбираться, но твой совет буду иметь в виду. 🙂

  10. Аватар

    Максим, на самом деле ваш сайт до сих пор в блэклисте Яндекса — «Domain blacklisted By Yandex (via Sophos): workformation.ru»
    Такое бывает, уже и вируса то нет, а вы в блэклисте и все антивирусники именитые первый раз блокируют сайт, а потом пропускают(Что у меня и произошло при заходе на ваш сайт, только что).
    Думаю вы уже изучали эту страничку, но все же добавьте свой сайт на повторную проверку. Может просто время не прошло ещё, хоть вам уже и написали, что удалили из блэклистов, но всякое может быть -http://help.yandex.ru/webmaster/security/cure.xml

    • Paladin

      Спасибо, Кай! Очень важный и ценный совет! Я уже вижу свой блог в нормальной выдаче, но вот блэклист нужно почистить. 🙂

  11. Аватар

    Максим, меня тоже перекинуло при первом заходе на другой сайт, на который Каспер заругался. Переходил с комментария на блоге Бобрина, думал нажал не тот коммент. А тут такая статья. Проверь для начала этим скриптом _http://revisium.com/rwp/
    Если ничего не найдет, то Айболитом. Поставь плагин belavir или похожий, показывает, какой файл и когда изменен.
    С того сайта, что я писал ранее, продолжаются переходы, только теперь они идут каждый день с новых доменов с редиректом на сайт хостинга. Задолбали спамеры.

    • Paladin

      Привет, Олег!
      Получил только что ответ от Яндекса по поводу моего запроса о наличии вредоносного кода. Вот его содержимое:
      На Вашем веб-сервере наблюдается циклический редирект, схема которого указана ниже:
      workformation.ru/ (302) + → az9j1fin11k5jjf3uqr54hw.jibreen.net/index.php?l=dmdwemNo (302) — → workformation.ru/ (200)
      Рекомендуем переустановить веб-сервер и все его компоненты заново. Также советуем проверить конфигурационные файлы веб-сервера.
      В общем, буду теперь искать эту заразу.

  12. Аватар

    Максим, привет!

    Попробуй сделать так: сходи на сайт фриланс и размести объявление: «Ребята, помогите решить проблему с вирусами. Срочно нужна помощь.»

    Можно, конечно, самому пытаться разобраться. Только так ты, Максим, очень много времени можешь потратить и еще не факт, что сам справишься с проблемой.

    • Paladin

      Привет, Вадим! Согласен с тобой — это дело я уже знаю кому доверить. Благо и Яндекс теперь мне уточнил, где этот код обитает. Будем бороться! 🙂

  13. Аватар

    Максим, а ты не проверял ссылку, что я тебе присылал _http://1tjdem7taxdmakab2cttnw.ink-cartridge-mail.co.uk/favicon.ico? Есть похожий сайт _www.ink-cartridge-mall.co.uk/ который блокируется Касперским.
    Нужно искать в коде страниц, еще где-то, ссылка ведет на плохой сайт. А не может ли эта ссылка быть в рекламных кодах?
    Проверь свой сайт Айболитом.

    • Paladin

      Добрый вечер, Василий! Я уже понял, что добрый Айболит мне поможет. Да тут еще и Яндекс уже дал подсказку. Все это скажу человеку, который в этом фишку сечет и мне поможет вылечить мой блог. Хорошо, что Яндекс теперь не видит кода — трафик реально сильно просел. Но, благо позиции остались те же, что и были неделю назад.

  14. Аватар

    http://c2n.me/iRANLT тебе залили дорвей со сливом на игровую пп

  15. Аватар

    Максим, посмотрите файл .htaccess. Возможно, какая-то причина в нём. Буквально на днях я столкнулся с той же историей — Яндекс обнаружил вирус на блоге. В одном из последних постов я написал, что сделал, чтобы избавиться от проблемы. Надеюсь, у вас получится решить этот вопрос.

    С уважением, Анатолий.

    • Paladin

      Спасибо, Анатолий! Обязательно изучу Ваш пост, а сейчас посмотрю свой .htaccess

      • Аватар

        Вы знаете, одна треть интернета склоняется в таких случаях плагины предположительно дырявые удалять, вторая .htaccess чистить, третья на блоки рекламы и Эдсенса косит.
        Я бы точно «.htaccess » восстановил со старой версии, он редко меняется и посмотрел бы на результата…

        • Paladin

          Все уже смотрел, что можно. Главное, что проблема явная хостинга. Но они мне пока пишут, что у меня вируса нет. 🙂 Вот бодаюсь с ними!

  16. Аватар

    Максим, при попытке оставить комментарий у вас на блоге Chrome выдал такое сообщение:

    Ваше подключение не защищено

    Злоумышленники могут пытаться похитить ваши данные с веб-сайта http://www.workformation.ru (например, пароли, сообщения или номера кредитных карт).

    • Paladin

      Во чудеса. Передав привет своему хостеру, неужели там дырка? Ведь у меня все под защитой на компе…

  17. Аватар
    Марсель

    Привет! Наиболее часто блогеры для доступа к фтп используют total comander или другую програмку скачанную с неофициального сайта, в результате сколько не меняй пароли доступа к сайту, хостеру, каждый раз когда блогер использует total comander загружается вирус.

    • Paladin

      Коммандером пользуюсь, но не фтп там не использую (знал тоже об этом косяке). Использую специальную прогу.

  18. Аватар

    Привет! Максим, получается исправить?

    Кстати закрой все папки от листинга. Например /wp-content/uploads/
    Это тоже лазейка для злоумышленника.

  19. Аватар

    Привет Максим. Не знаю, поможет тебе эта информация или нет. Нам с хостинга присылали предупреждения о массовом взломе сайтов и давали ссылки на статьи с рекомендациями что делать http://revisium.com/ai/ http://www.securitylab.ru/analytics/456835.php И у Ирины Зайцевой продается скрипт, который регулярно сканирует сайт на вирусы и если что предупреждает.

  20. Аватар

    Очень рад, Максим, что ситуация разрешилась и ты победил злоумышленников! Ура!

  21. Аватар

    Привет, Максим. У меня тоже вирус на сайте появился, сожрал все файли шаблона, и сайт не отображался. Помог плагин Theme Authenticity Checker — установил и проверил шаблон, теперь буду удалять все зараженние файлы. Если что пиши отвечу.)

    • Paladin

      Спасибо! У меня пока проблема с вирусом ушла. Но если что, обязательно напишу. 🙂

  22. Аватар

    Очень плохая штука, когда работаешь в полную силу, отдавая всего себя здесь, а потом находятся люди, которые хотят тебе напакостить. Мой блог тоже пережил такие моменты и не раз, довольно неприятно все это… Последний раз вирус который мой блог претерпел, был в заказанном безобидном баннере со ссылкой на сайт о маленьких детях. Поэтому я как-то и не люблю продавать баннеры на блоге.
    А мне например нравится плагин Wordfence Scan. Обычно он у меня отключен, но в случае каких либо проблем включаю его и сканирую сайт. Он тоже указывает на проблемные файлы. после проверки деактивирую.

    • Paladin

      Привет, Нина! Спасибо за совет по поводу плагина и поучительный случай с баннером. Приму к сведению! 🙂

  23. Аватар

    Дааа, Макс, я немного в шоке.
    Проверила в вебмастере и на сервисе вирус тотал, пока ничего нет. Но все же я поняла, что существует проблема с этими отказами. Я так поняла, что нужно редактировать код метрики, чтобы видеть все адреса?

    • Paladin

      Да, нужно его немного допилить.
      Кстати, Лара, почему не пишешь в комменте название своего блога?

  24. Аватар

    Это случайно выходит ) Просто вижу, что вроде мои данные проставлены (имя, мейл) и машинально отправляю ))

  25. Аватар

    Интересно узнать, в чем причина была. Антивирусные движки, как правило не реагируют на редиректы и iframe вставки. Поэтому антивирусная проверка на хостинге ничего не дала.
    Хорошую проверку делают на antivirus-alarm. Там выявляют все зашифрованные внешние ссылки, редиректы и т.п., помимо проверки на вирусы.
    При подозрении на вирусы или взлом мало поменять пароли, необходимо сменить секретные ключи в файле wp-config.php
    иначе смена паролей бесполезна.
    Для защиты админки от брутфорса желательно поставить плагин limit login attempts и капчу на входе в админку. Правда, не знаю, будут ли они работать с Вашим нестандартным адресом входа в админку, но попробовать стоит. Если пользуетесь интернетом со статическим IP, есть смысл разрешить вход в админку только с Вашего IP через файл .htaccess
    Имя пользователя, как и пароль д.б. длиннее 15 символов, подлежит регулярной смене.
    Стоит подумать о 2-х факторной аутентификации при входе на сайт и хостинг.
    Обязательно поставьте фаервол на сайт.
    Регулярное сканирование и ежедневное создание бэкапов уберегут от неприятностей в будущем.
    Сейчас проверка на онлайн сервисах показывает, что у Вас все в порядке, чего и в будущем Вам желаю!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *