Поддержка Проблемы и решения Борьба с вирусами

  • Как вы ищете и боретесь с вирусами? На одном из сайтов столкнулся с регулярным появлением в некоторых файлах темы вредоносных ссылок, которые очень проблематично удаляються. На них все время жалуеться гугл адвордс. Единственный инструмент который справляеться с их обнаружением это https://rescan.pro .

    Но ссылки вставлены не тривиальным, прямым кодом, что зачастую усложняет их обнаружение.

    Кто сталкивался с подобными проблемами, какие инструменты используете?

    • Тема изменена 5 лет, 11 месяцев назад пользователем BohdanchukVL.
Просмотр 15 ответов — с 1 по 15 (всего 15)
  • Модератор Yuri

    (@yube)

    Единственный инструмент который справляеться с их обнаружением

    Действительно единственный? Вы все остальные перепробовали? Какие именно? Извините, но это Ваше утверждение сильно смахивает на рекламу.

    Единственный инструмент который справляеться с их обнаружением это https://rescan.pro .

    Нет. Он справляется (находит) только с внешним проявлением и то при определённых условиях.
    Чтобы искать в файлах — у них же есть айболит.

    Но главная причина появления вирусов — темы/плагины с помоек.

    Извините, но это Ваше утверждение сильно смахивает на рекламу.

    Это сервис от ревизума — производителя айболита.

    Ида, я абсолютно согласен, что он такой не единственный.

    Гугл адвордс присылает отчет, мол есть такие и такие вставки с опасных сайтов. Сканнеры типа https://www.virustotal.com (который сканирует еще дюжиной других сканеров), https://vms.drweb.ru/online , http://www.urlvoid.com и еще много других, среди которых я тестировал говорят что все отлично.

    И это не реклама рескана. СУТЬ ТЕМЫ В ПОИСКЕ АЛЬТЕРНАТИВЫ. Он единственный показал что на сайте есть проблема, но очень абстрактно и не конкретно.

    СУТЬ ТЕМЫ В ПОИСКЕ АЛЬТЕРНАТИВЫ.

    Какая-то странная «суть». Обычно суть в том, чтобы избавиться и не допустить повторения.

    И уж совсем такая «суть» не относится к ВП.

    anonymized-14765447

    (@anonymized-14765447)

    Гугл адвордс присылает отчет, мол есть такие и такие вставки с опасных сайтов

    Но ссылки вставлены не тривиальным, прямым кодом, что зачастую усложняет их обнаружение.

    Вам и не надо каждый раз искать ссылки — это борьба со следствием, а не с причиной. Ищите первоисточник, желательно не каким-то одним инструментом. «Ай-болит» вам уже подсказали — неплох, но единственный толковый режим «параноидальный» часто триггерится на всё подряд и находит не всё и не всегда, так что логи надо смотреть тщательно.

    Про «Вирустоталы» и аналогичное лучше сразу забудьте (причину вам уже тоже указали выше).

    Обычно суть в том, чтобы избавиться и не допустить повторения.

    Это уже итог, который я надеюсь достичь путем совета от людей, которые сталкивались с подобными проблемами.

    Суть пускай и не относиться, но поскольку данная проблема возникла на сайте под ВП, я подумал что неплохой такой вариант обратиться на форум конкретно по ВП, ведь вполне себе есть огромное количество плагинов настройки безопасности/сканирования и тд, характерных только для вордпресса.

    Модератор Yuri

    (@yube)

    В общем случае алгоритм поиска источника заразы одинаковый, что для WP, что для других движков.
    0. Тщательно проверить свой рабочий комп на предмет заразы.
    1. Поменять пароли от ftp, ПУ хостинга, БД, админки WP (всем юзерам). «дохлых» пользователей просто удалить (бывает у людей годами болтаются бесполезные со-админы).
    2. Закрыть сайт через .htaccess (чтобы не бегать наперегонки с ботами, что заведомо дурное дело).
    3. При помощи вышеупомянутого Айболита найти и уничтожить все известные ему зловреды.
    4. Темы с помоек и «нулёные» плагины либо очень внимательно просмотреть на предмет закладок, либо сразу убить.
    5. Посмотреть все директории сайта на наличие лишних файлов (скажем, файлу .php нечего делать среди картинок, даже если он называется image.php) и каждый подозрительный посмотреть под микроскопом. Крайне желательно использовать программу, в которой хорошо видны очень широкие строки и огромные подвалы, потому что вирусописатель часто делают так, чтобы стрёмный код оказался «за экраном».
    6. Поставить/включить мониторинг изменения файлов (.php, .js, .htaccess). Чем чаще будет проверять, тем лучше.
    7. По возможности сделать логирование параметров POST-запросов.
    После этого сайт можно открыть. Если будет сработка «сигнализации» изменения файлов, смотреть в логах к чему и какие были обращения в период вмешательства.

    Это только то, что касается файлов. С несанкционированным изменением БД несколько сложнее, поэтому (и по ряду других причин) писать об этом не буду.

    Забавнишей парадокс. Для сканирование сайта использовал рнр скрипт от ай-болит и он не нашел ни одной той же проблемы, что находились на сайте при помощи rescan, а просто несколько ложных срабатываней.

    Модератор Yuri

    (@yube)

    Забавнишей парадокс.

    Отнюдь. Вы же не думаете, что вредоносные ссылки вписаны прямо в php-скрипты с комментарием «Съешь меня»?

    Отнюдь. Вы же не думаете, что вредоносные ссылки вписаны прямо в php-скрипты с комментарием «Съешь меня»?

    Я знаю что это категорически не так, но несколько таких вставок я нашел вручную и удалил, после чего сайт прошел проверку на гугл адвордс. Сканером я прогнал старую версию сайта, с неудаленными ссылками (и даже конкретно лишь тот один файл), на что он отреагировал безразличием.

    Модератор Yuri

    (@yube)

    на что он отреагировал безразличием.

    Потому что Айболит ищет известные ему шелы/бэкдоры и подозрительные фрагменты кода (инфекции). Внешние же сканеры, не имея доступа к самим скриптам, могут видеть и находить только результат жизнедеятельности зловредов (сопли).

    на что он отреагировал безразличием.

    Скорее безразличием Вы отреагировали на

    единственный толковый режим «параноидальный»

    Странно как-то думать, что 2 инструмента одного производителе не используют одинаковы сигнатуры.

    Странно как-то думать, что 2 инструмента одного производителе не используют одинаковы сигнатуры.

    Это и удивляет больше всего.

    Я сканировал в разных режимах, и десткопным сканером и рнр скриптом, результат +- одинаковый, но совсем не то что выдает сайт.

    Не уж то кроме ай-болита нет альтернатив?

    anonymized-14765447

    (@anonymized-14765447)

    Не уж то кроме ай-болита нет альтернатив?

    Есть, но ни один не даст гарантий обнаружения всей малвари. Вот ещё один хороший инструмент.

    Ещё хороший вариант — под виртуалкой актуальный бэкап потрошить, в связке с антивирусом, конечно.

    И, да, самое эффективное при имеющихся навыках — это «личный досмотр».

Просмотр 15 ответов — с 1 по 15 (всего 15)
  • Тема «Борьба с вирусами» закрыта для новых ответов.