Поддержка Проблемы и решения Вирусы на сайте

  • Касперский все время ругается при заходе на сайт, пишет, что вредоносная веб-страница. В техподдержке хостера пишут.К сожалению, проблема не полностью решена.
    Из каталога /var/www/otdyhaemvrossiiru/data/www/otdyhaemvrossii.ru из файла cnrig запускается вредоносный процесс:

    lsof -p 23922
    COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
    cnrig 23922 otdyhaemvrossiiru cwd DIR 182,690689 4096 1439070 /var/www/otdyhaemvrossiiru/data/www/otdyhaemvrossii.ru
    cnrig 23922 otdyhaemvrossiiru rtd DIR 182,690689 4096 2 /
    cnrig 23922 otdyhaemvrossiiru txt REG 182,690689 2731128 1328539 /var/www/otdyhaemvrossiiru/data/www/otdyhaemvrossii.ru/cnrig
    cnrig 23922 otdyhaemvrossiiru mem REG 182,690689 1518 1178753 /etc/localtime
    Каким плагином воспользоваться, что бы удалить вирусы?
    Спасибо.

    Страница, с которой нужна помощь: [войдите, чтобы увидеть ссылку]

Просмотр 6 ответов — с 1 по 6 (всего 6)
  • Каким плагином воспользоваться, что бы удалить вирусы?

    Волшебных таблеток не существует.
    Если бы такие плагины были — вирусов бы не было в природе.

    А Ваш сайт взломан. У Вас даже редирект с главной.

    На следующий Вас вопрос отвечаю не дожидаясь, скопировав свой ответ с SO

    1. Причины появления вирусов:

    1. Темы с помоек («помойки» — сайты с «бесплатными» темами. Которые они, кстати, называют «шаблоны» — первый признак помойки.)
    2. Плагины от туда же.
    3. Устаревшие темы и плагины с платных маркетов.
    4. Темы и плагины некогда из оф каталога, но древние и/или уже удалённые от туда (удаляются как правило как раз по причине найденных уязвимостей)
    5. Установка на сайт разных левых скриптов (как правило от малоизвестных рекламных сетей и тп)
    6. Вирусы на ПК
    7. Дырявый хостер.

    2. Что делать чтобы обезопасить сайт:

    1. Использовать темы и плагины только из оф каталога: https://wordpress.org/themes/: https://wordpress.org/plugins/
    2. Если покупать, то только у надёжных продавцов: https://wordpress.org/themes/commercial/
    3. Следить за обновлениями ВП и компонентов.
    4. Следить за безопасностью ПК и для администрирования сайтов использовать отдельный браузер/профиль.
    5. Использовать нормальный хостинг (избегать услуг хостинга от регистраторов доменов)
    6. Не ставить никаких скриптов из непонятных источников (в тч и скопипащеных из интернета из мануалов аля «фича без плагинов»)


    3. Что делать если уже начались проблемы:

    1. Закрыть доступ к сайту всем кроме себя.
    2. Заменить ядро ВП (каталоги wp-admin, wp-includes) и файлы в корне кроме wp-config.php, .htaccess и созданных вами (robots.txt, и тп) через их первоначальное удаление. Свою версию ВП можно скачать отсюда: https://ru.wordpress.org/releases/
    3. Проверить .htaccess.
    4. Сделать ревизию плагинов и тем. Удалить древние и неизвестного происхождения. Обновить что можно или заменить при необходимости.
    5. После чего просканировать с пом https://revisium.com/ai/ все файлы и дамп базы.
    6. Глазами и поиском («eval» и тп) по хостингу посмотреть на файлы/каталоги выше уровня www (public_html). Иногда и там встречались следы.


    Примечание. Можно использовать из оф каталога и некоторые древние плагины, простые, такие как плагины траслитерации. Но принимая решение относительно других стоит проанализировать их код.

    Спасибо за подробную инструкцию. Темы все удалил, плагины ставил только с официального каталога. Действительно был какой то IP-адрес с которого заходили параллельно со мной, я его заблокировал.Не совсем понятно какие еще фалы я создавал сам кроме wp-config.php, .htaccess robots.txt. wp-content там тексты, что может быть еще? Хотел проверить eval на вредоносный код в файлах. Никакие плагины антивирусники не работают, ничего не сканируется. Что значит проверить .htaccess? Чем это лучше сделать?

    wp-content там тексты,

    Тут не должно быть текстов. Тут картинки и др. вложения.

    Что значит проверить .htaccess? Чем это лучше сделать?

    Посмотреть содержимое этого файла. Он в корне сайта.
    Вот тут показано его «базовое» содержимое, но оно может отличаться:

    https://codex.wordpress.org/%D0%A7%D0%90%D0%92%D0%9E/%D0%9D%D0%B5_%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D1%8E%D1%82_%D0%BF%D0%BE%D1%81%D1%82%D0%BE%D1%8F%D0%BD%D0%BD%D1%8B%D0%B5_%D1%81%D1%81%D1%8B%D0%BB%D0%BA%D0%B8

    Можете показать его здесь, только оформив в код (кнопка в редакторе).

    
    # BEGIN WordPress
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>
    
    # END WordPress
    

    Вот код из Вашей ссылки, вроде все совпадает

    вроде все совпадает

    Ну вот сейчас редиректа уже нет. Похоже у Вас всё получилось.
    Однако внимательно прочтите п1 — про причины появления вирусов. Если они не устранены (см п2), то сайт может быть опять взломан в течении нескольких минут после Вашего восстановления (работают боты).

    Да все получилось. Спасибо за помощь.

Просмотр 6 ответов — с 1 по 6 (всего 6)
  • Тема «Вирусы на сайте» закрыта для новых ответов.