fbpx
Andrzej Podrez

Jak usunąć wirusa ze strony internetowej

Zgłosiła się do mnie ostatnio firma z Piaseczna z prośbą o pomoc. Zawirusowany WordPress i „zarażone” inne strony internetowe na tym samym serwerze. Usunięcie wirusa z WordPressa to była tylko rozgrzewka. Jedna ze stron zbudowana była na frameworku Laravel i w tym przypadku było już nieco trudniej. To właśnie ta strona posłuży mi jako przykład, ale poniższą metodę można wykorzystać w każdym przypadku gdy wirus zagnieżdża się w plikach na serwerze.

Najpierw skompletujmy niezbędne narzędzia:

  1. WinSCP – do podglądania plików (lub jakiś inny klient ftp)
  2. Total Commander – do przeszukiwania plików na serwerze
  3. Notepad ++ – do edycji zarażonych plików ściągniętych na komputer
  4. Sucuri SiteCheck – Free Website Malware Scanner – do zidentyfikowania złośliwego kodu

Zaczynamy:

Wchodzimy na Sucuri SiteCheck i skanujemy podejrzaną stronę. Powinna się pojawić lista zainfekowanych plików. Wciśnięcie magicznego linku More Details spowoduje, że ujrzymy to czego szukamy: złośliwy kod który został dopisany do plików naszej strony internetowej.

Do przeszukania plików na serwerze w poszukiwaniu powyższego kodu posłużymy się Total Commanderem. Wybieramy fragment kodu wirusa (np: 0x1e35=) i przeszukujemy cały serwer ftp – przedtem jednak musimy wyłączyć ochronę antywirusową swojego komputera (gdy zrobimy to z głową, pozamykamy wszystkie niepotrzebne procesy, nic nie powinno się wydarzyć).

Teraz z pomocą WinSCP lub innego klienta FTP docieramy do każdego z plików z powyższej listy i wykonujemy następujące czynności:

  • kopiujemy zainfekowany plik na swój komputer
  • oryginalny, zainfekowany plik zostawiamy na serwerze ze zmienioną nazwą (ja zawsze dodaję do nazwy pliku 3 x #)
  • pliki na komputerze otwieramy w Notatniku ++ lub innym programistycznym i usuwamy złośliwy kod (trzeba uważać żeby nie usunąć za dużo – za mało też źle)
  • wyczyszczone pliki kopiujemy z powrotem na serwer

Czemu nie usuwamy zainfekowanych plików? Po to żeby w razie gdy po wszystkim strona nam się rozjedzie można było poszukać gdzie popełniliśmy błąd.

Po wyczyszczeniu wszystkich plików komunikat na stronie Sucuri SiteCheck powinien wyglądać mniej więcej tak

Oczywiście przydałoby się jeszcze zaktualizować PHP-a ale to już zupełnie inna historia.

WP GDPR Compliance – jak poradzić sobie z zawirusowanym/zhakowanym WordPressem

Dopiero dwa dni temu 7 listopada autorzy darmowej, bardzo popularnej wtyczki WP GDPR Compliance usunęli z niej błąd, który umożliwiał hackerom przejęcie kontroli nad WordPressem. Zaktualizowanie wtyczki do najnowszej wersji koryguje błąd ale nie usuwa skutków ataku hakerskiego na stronę: złośliwego oprogramowania wstawionego do bazy danych WordPressa. Poniżej opisuję krok po kroku co trzeba zrobić, żeby ratować swoją stronę internetową bez konieczności reinstalacji:

  1. Aktualizacja wtyczki WP GDPR Compliance do wersji 1.4.3.,
  2. Weryfikacja kont administratorów, usunięcie nieznanych kont. Zmiana wszystkich haseł
  3. Instalacja wtyczki Wordfence (wystarczy wersja bezpłatna) i skanowanie.
  4. Wyczyszczenie do zera katalogu cache
  5. Czyszczenie bazy danych ze złośliwego kodu.

saskmade.net – jak poradzić sobie z malwarem?

Złośliwy skrypt jest umiejscowiony w kolumnie post_content tabeli wp_posts i wygląda tak:

Skrypt przekierowuje do strony saskmade.net a ta na inne strony o wiadomej tematyce.

Do złośliwego kodu dobierzemy się poprzez phpmyadmina. Otwieramy tabelę wp_posts i uruchamiamy zapytanie SQL o następującej składni:

UPDATE `table_name`
SET `field_name` = replace(same_field_name, 'unwanted_text', 'wanted_text')

W przypadku naszego wirusa to zapytanie będzie wyglądało tak:

Uwaga: przed rozpoczęciem zabawy z tabelą, warto jest najpierw stworzyć jej kopię. Można to zrobić bezpośrednio w phpmyadminie w menu „operacje”.

Szkoła Programowania CodeBerry – opinia

Po kilkunastu latach doświadczeń w administrowaniu stronami internetowymi: instalowaniu gotowych skryptów, cms-ów, wtyczek, pluginów, templatek czy modułów, postanowiłem trochę uporządkować swoją wiedzę na temat budowy stron internetowych i zapisałem się na kurs programowania.

Co prawda Eric Steven Raymond amerykański haker powiedział kiedyś, że:

edukacja informatyczna nie uczyni z kogokolwiek eksperta programisty w stopniu większym niż studiowanie pędzli i pigmentów zrobi z człowieka Picassa...

ale mimo wszystko postanowiłem spróbować... Ze względu na ograniczenia czasowe wybrałem kurs online.

Dobrych szkół programowania jest w internecie bardzo wiele jednak najbardziej zainteresowała mnie:
Szkoła Programowania CodeBerry – kurs programowania online.

Jakie jest moje doświadczenie z CodeBerry?

  • ciekawe ścieżki rozwoju - ja wybrałem tę dla twórców stron internetowych,
  • przejrzysty, doskonale uporządkowany materiał lekcyjny,
  • przystępna cena (możliwość otrzymania bonusów i rabatów).

Jednak to co przekonało mnie najbardziej to idealnie responsywna strona internetowa Szkoły CodeBerry. Pisanie kodu trzeba oczywiście ćwiczyć na komputerze z klawiaturą i myszką ale powtarzać materiał, uczyć się teorii można już na smartfonie. Daje to możliwość wykorzystywania każdej wolnej chwili na naukę.

Jeżeli chcesz się uczyć programowania to polecam Szkołę Programowania CodeBerry:

www.codeberryschool.com