Нещодавно на багатьох хостингах з'явився вірус, не зовсім ясно, як він на них потрапляв, але дуже ймовірно, що потрапляв він через одну з версій WordPress. Дуже важливо той факт, що до оновлення aibolit та інших сканерів не знаходився і його можна було знайти тільки покопавшись руками. У мене вийшло спочатку виявити вірус засобами мого хостингу, про який я вже не раз говорив ukraine.com.ua. Спрацював вбудований сканер вірусів на хостингу.

І тут я почав шукати віруси

Покопавшись в інтернеті я знайшов вирішення проблеми, цим рішенням я хотів би поділитися з вами.

Якщо на вашому сайті у папці теми з'явився дивний код такого виду, то ви були заражені.

Вдало для мене було те, що був заражений тестовий сайт, на якому я відчував різні плагіни і я міг експериментувати. Перше що я, це видаляв код у файлі functions.php, розміщений він був у верхній частині коду, але це не дало особливого ефекту, наступного дня я знайшов новий код у тому ж місці, причому у всіх темах завантажених на тестовий сайт. Окрім цього стало зрозуміло, що заражений не тільки цей файл і потрібно було копатися далі.

Далі я знайшов у ядрі WP дивний файл, який був частиною вірусу wp-includes/class.wp.php, його не було в базовій збірці і він з'явився нещодавно, тому даний файл можна було без страху видаляти і за його назвою шукати файли, в яких він міг підключатися. Поруч я знайшов ще один файл wp-includes/wp-vcd.php він теж був не з ядра і створений виключно вірусом.

Важливо що не на всіх сайтах де я знаходив віруси були ці файли, так що можливо вірус був не першою версією (мутував потихеньку), але у файлі functions.php вірусний код був скрізь.

Для спрощення завдання порівняння ядра файлів я залишив вам посилання на офіційний репозиторій WP, на GitHub де можна переглянути перелік файлів без завантаження повного пакету CMS WordPress. Файли можна подивитися тут: https://github.com/WordPress/WordPress/tree/master/wp-includes

Ще знайшов відомості, що у багатьох з'являвся дивний код у файлі "wp-includes/post.php". Ось приклад початку шкідливого коду:

До цього файлу хакери підключали вірусний файл. Стандартний вид незараженого файлу post.php ви можете побачити за посиланням https://github.com/WordPress/WordPress/blob/master/wp-includes/post.php.

Важливо перевіряти файл functions.php у всіх темах, які містяться на вашому сайті. Повний листинг вірусу ви можете подивитися тут: https://gist.github.com/alexandrpaliy/b3bb8a19433478fe32414895ad641709.

Якщо у вас виник такий шкідливий код, то важливо його видалити повністю. У прикладі за посиланням вище кінець вірусу на 100 рядку.

За цим вірусом я знайшов цікаві відомості. Люди пишуть, що був створений додатковий користувач і навіть у деяких користувач був прихований, так що не забувайте перевіряти таблицю wp_users на наявність фейкових адміністраторів сайту.

важливо! Не забувайте робити копію файлів та бази даних вашого сайту до початку чищення, щоб уникнути незворотних наслідків.

Пам'ятайте, що багато вірусів з часом модифікуються і для їх очищення потрібно розбиратися в коді., а також виявляти зв'язки.

Про те які бувають віруси і як можна з ними боротися ви можете почитати в нашій статтіЯк видалити вірус із сайту WordPress«.

Я можу видалити вірус із сайту на WordPress і налаштувати для вас захист

Якщо так трапилося, що ваш сайт був заражений або весь час з'являються віруси або порушена його працездатність, то напишіть мені і я постараюся вам допомогти.