Вирус WordPress SoakSoak Favicon Backdoor | ABrosko-studio

8-800-101-23-96

+7(495)240-91-12

8-800-101-23-96
Корзина

Вирус WordPress SoakSoak Favicon Backdoor

Сегодня речь пойдет об интересном вирусе, который был обнаружен на одном из сайтов. Вирус вроде не сильно сложный, но максимально “неприятный” для обладателя.

Итак, какие были заявлены проблемы:

  1. – не открывалась админ панель, если и открывалась, то явно не в том обычном формате, как должна
  2. – никакие обновления не устанавливались
  3. – выскакивали рандомные ошибки

Итак, с чего был начат процесс восстановления.

  1. 1. Удалены все пользователи, кроме админа, то есть именно удалены из БД. (wp_users)
  2. 2. Удалены из FTP все подключения кроме активного.
  3. 3. С этого момента сайт и админ панель были закрыты, в теории можно было оставить только подключение через свой ip, но я пропустил этот пункт
  4. 4. Все пароли были заменены.

Первое, на что было обращено внимание, вирус генерировал в каждой папке файл .htaccess, в котором закрывал доступ ко всем переходам. Поэтому, первым делом, в fileZillа через удаленный поиск было запущено сканирование всего пространства хостинга на поиск файла .htaccess.

Итого найдено было 3234 файла. Все они были успешно удалены.

Еще один файл, который это все непосредственно генерирует, это inputs.php. Их было всего несколько штук, но тем не менее их также нужно обязательно удалить.

Важное замечание. Сканировать надо весь хостинг, не только директорию вашего сайта!

Следующий этап – чистка пространства встроенными утилитами хостинга. Получаем примерно следующую картину.

Важно повторно просканировать пространство, так как некоторые файлы могут не удалиться. В таком случае нужно записать адрес “неудаляемых объектов” и обратиться к техподдержке хостинга с просьбой удалить найденные вами файлы.

Следующий этап – восстановление ядра wordpress. Для этого сохраняем папку wp_content и файл wp_config. Остальное удаляем. Скачиваем актуальный дистрибутив, и распаковываем его в нашу директорию сайта.

Проверяем на всякий случай отсутствие посторонних записей в файле wp_config. Дальше необходимо проверять папку wp_content.

Идеальным вариантом пожалуй будет максимально чистая установка…Но лично я пошел по следующему пути.

При обновлении, плагины перезаписывают свое пространство, соответственно простой вариант обновления нам вполне подходит. (Либо просто удалить и установить заново, или откатиться на версию ниже и потом заново обновиться). Сложнее с плагинами типа Woocommerce (где возможна правка шаблонов). Их обновлять очень опасно, если не уверены в том, насколько правильно у вас сделан сайт. Небольшое пояснение: если шаблоны не перенесены к вам в тему, то при обновлении все ваши данные перезатрутся. Поэтому, я не рекомендую идти по этому пути. Такие плагины необходимо просматривать вручную на предмет посторонних файлов. (Обновление плагинов здесь подразумеваю ручное, путем замены папки, но можно рискнуть и из админ панели).

Это же правило, к сожалению, касается и папки upload – только ручная чистка.

После того, как все выше описанные действия были выполнены, можно пытаться заходить на сайт и в админ панель.

Важный этап – проверить соответствие плагинов и реальных папок. Я обнаружил несколько плагинов, которые были установлены именно вирусами. Названия у них, как правило, состоит из набора латинских букв и их сложно не заметить.

После перебора плагинов, первое, с чем я столкнулся – это проблема неправильной установки прав.

Для всех папок на хостинге выставляем права 755, а для файлов – 644. Также может потребоваться указание временной папки в файле wp_config. В моем случае пришлось сделать так:

define('WP_TEMP_DIR', 
dirname(__FILE__).'/wp-content/tmp/');

И соответственно в папке wp_content создаем временную папку tmp.

После этого, на всякий случай, включаем показ ошибок (чтобы проверить работоспособность всех плагинов), также проверяем все функции админ панели.

Владельцу сайта можно предложить, хотя бы на время, установить средства защиты, которых для платформы вордпресс на сегодняшний день весьма не мало….Ну и обязательно всегда на руках держать актуальные и рабочие бэкапы…

Для вас писал Рябинин Виталий,

и это блог начинающего frontend-разработчика

icon
AB-Chat

AB-Chat

telegram
close
Здравствуйте, здесь вы можете задать любой интересующий вопрос.
AB-sent
Бизнес мессенджер ABrosko

AB-Chat

Здравствуйте! С вами поддержка AB-chat. Вы можете к нам обратиться по любому вопросу

AB-Chat

telegram
close
silent