Добрый день. Хочу рассказать как я искал вирус на сайте.
В данной статье ВЫ не найдете информации о том:
- что такое вирус?
- как он проникает на сайт?
- как защититься?
- как удалить?
НО узнаете как найти вредоносный код на сайте !!!. В случаи когда все советы в сети не помогают (мой случай). Статья для опытных веб мастеров. И не только…
Погнали…
Итак есть сайт и он заражен. Вы знаете, что есть вирус и может быть даже его удаляете его, но он снова прописывается в файлах сайта. Если это так, то вам по адресу.
ПОДГОТОВКА
- Меняем пароли на контрольную панель хостинга, FTP, WEBFTP, SFTP. И пароль админа сайта.
- Подключаемся по SFTP по 22 порту (SFTP расшифровывается как SSH File Transfer Protocol, или Secure File
Transfer Protocol («Безопасный протокол передачи файлов») - Копируем все файлы на локальный ПК.
- Делаем бекап базы данных с помощью Sypex Dumper
3-4 пункты можно запросить у хостера в контрольной панели в виде резервных копий.
ПОИСК
- Качаем Dr.Web CureIt! и Kaspersky Virus Removal Tool и сканируем файлы сайта на локальном ПК. Все, что заражено находим лечим или удаляем.
- Качаем Денвер или ОпенСервер кому, что удобнее и устанавливаем на локальном ПК. Если стоит любой из них, то качать ни чего не надо, переходим к следующему шагу.
- Устанавливаем на локальном хосте пустой сайт на движке worpress.
- В админке вордпесса ищем плагин CWIS Antivirus Scanner и устанавливаем его. Я перепробовал 20-30 всяких сканеров, этот самый точный и бесплатный.
- Создаем в корне сайта вордпресса на локальном ПК любой каталог, например antivirus, заливаем туда файлы нашего движка который заражен. И в админке вордпресса запускаем сканирование в CWIS antivirus. Не бойтесь закрывать браузер. Антивирус помнит где работал и в следующий раз продолжит с того же места.
- В результатах вас будут интересовать Server mailware. Ищите файлы на хостинге и удаляйте вирусы.
Примечание: если необходимо сбросить результаты сканирования или сканирование начать по новой, то надо плагин Server mailware в админке вордпресса выключить и обратно включить.
Добавлю от себя, типо PS:
Для мониторинга изменения файлов на хостинге, создайте в корне сайта папку например WP залейте пустой сайт вордпресс с плагином WordPress File Monitor, он позволит видеть какие файлы изменились на хостинге и какие добавились. Крайне полезная вещь для поиска вируса. Только не забудьте в настройках поставить параметр Site Root: в корень основного сайта.
Такие штуки как Айболит и Манул не помогли. Айболит не работает на хостинге(белый экран), на локальном ПК не успевает проверить за время работы скрипта — 30 сек. Манул выдал 100500 файлов перебирать несколько тысяч файлов это пипец.
Еще есть онлайн сканеры типа rescan.pro и antivirus-alarm.ru, но от них толку мало. Используйте только для проверки — все ли вы удалили на своем сайте.
На этом все. Если вы знаете еще нестандартные способы поиска вируса на сайте, пишите, добавлю в статью.
Большое спасибо за статью , очень подробно и понятно , я тоже пользуюсь CWIS Антивирус , только новой версией https://wordpress.org/plugins/cwis-antivirus-malware-detected/
спасибо за инфу! для меня немного сложновато, буду разбираться
Хорошо. Будут вопросы, пишите.
Спасибо. Актуально! :(
Надеюсь поможет. Видимо у вас серьезная ситуация.