SEO, заработок в Интернете, блоггинг, работа в компьютерных программах

Проверка сайта на уязвимости и вирусы

Иконка скрипта ai-bolitСегодня решил проверить сайт на вирусы и уязвимости популярным бесплатным скриптом AI-Bolit. Результаты проверки превзошли все мои ожидания. Оказывается, в этом блоге столько дыр, а также различного вредоносного кода и т.д., что и представить себе трудно без предварительной подготовки.

А потом мы искренне удивляемся почему сайт под фильтром, либо вообще выкинут из индекса. Да просто потому что он  работает на чужие ресурсы ценой своей репутации и функционала. Либо попросту заражен. А мы об этом даже и не догадываемся.

И хотя русские люди в большинстве своём живут по принципу – «пока гром не грянет, мужик не перекрестится», пришло время менять это правило и заранее заботиться о безопасности своих ресурсов, чтобы потом не кусать локти. Немного теории:

Какие возможности имеют злоумышленники при получении доступа к сайту:

  • внедрение в код сайта дорвеев с левыми ссылками
  • внедрение кода ссылочных бирж типа Sape
  • перенаправление вашего трафика на свои ресурсы
  • заражение вирусами, инфицирующими компьютеры посетителей сайта
  • подмена платёжных данных и других реквизитов, а также подмена ссылок на вашем сайте
  • доступ к подписной базе с последующей рассылкой спама вашим подписчикам
  • скачивание и продажа содержимого ваших сайтов и БД
  • и т.д. и т.п.

Что ищет и определяет скрипт AI-Bolit в коде вашего сайта:

  • вирусы
  • вредоносные скрипты
  • шеллы
  • редиректы через файл .htaccess на зловредные сайты
  • коды ссылочных бирж в файлах php
  • невидимые, скрытые, закодированные ссылки в шаблонах ( TAC тут не поможет)
  • директории, не закрытые на запись

Тут ещё нужно отметить такой момент – при получении доступа к одному из ваших сайтов, злоумышленник получает доступ и ко всем остальным ресурсам в вашем аккаунте хостинга. На этом закончим с описанием и перейдём к делу.

Как проверить сайт скриптом AI-Bolit

Проверка сайта скриптом AI-Bolit занимает секунды и не вызывает никаких трудностей даже у начинающих веб-мастеров. Переходим на страницу скрипта и качаем его по синей кнопке «Скачать AI-Bolit*».

Скрипт ai-bolit

После разархивации скачанного архива имеем несколько файлов. В папке ai-bolit находим файл ai-bolit.php

Файл ai-bolit.php – это и есть наш скрипт. Первым делом открываем его в notepad++ и на 13 строке видим фразу «сюда_вписать_пароль». Вот вместо этой фразы вписываем любой пароль. Сохраняем изменения.

Пароль в ai-bolit

Теперь нам нужно закачать файл ai-bolit.php в корень нашего сайта (блога) на сервере. Не в папку с темой оформления, а именно в корень сайта, то есть в директорию, в которой у нас лежат папки wp-admin, wp-content и все остальные файлы сайта (если используете wp). Обычно это папка называется public_html, хотя и не обязательно. Думаю, с этим все разобрались.

Далее нам нужно обратиться к скрипту, выполнив в браузере запрос –
http://адрес сайта/ai-bolit.php?p=пароль

После знака = подставляем пароль, скопированный нами на предыдущем шаге. То есть в моём случае запрос будет выглядеть так:
http://comp-on.ru/ai-bolit.php?p=121430

У вас по аналогии. Переходим по этому адресу в браузере и несколько секунд ждём пока скрипт обработает файлы сайта, затем появляется отчёт. Вот что было найдено при проверке этого блога:

Отчёт скрипта ai-bolit

Это не весь отчёт, а только верхний кусок его, сам отчёт намного больше. В отчёте отмечены все уязвимости и вредоносный код, содержащийся в файлах сайта.

Теперь надо разбираться с кодом по каждому указанному пункту и всё исправлять. Тем, кто не может сделать это самостоятельно, можно обратиться к разработчику скрипта (платно) или любому другому человеку, разбирающемуся в этих вещах.

Но ведь главное в том, что теперь вы имеете информацию о найденных уязвимостях и вредоносном коде, содержащемся на вашем сайте, а это уже немало. Как говорится: предупреждён – значит вооружён.

Информацию о том как связаться с разработчиком AI-Bolit Григорием Земсковым вы можете найти на странице отчёта, либо самого скрипта.

Теперь мой случай, первое, на что я обратил внимание в отчёте:

«Предупреждения. В этих файлах размещен код по продаже ссылок. Убедитесь, что размещали его вы».

При этом указаны два файла моей темы wordpress:

  • functions.php
  • comments.php

Файлы с уязвимостями в отчёте

Подобного кода я не размещал и поэтому сразу полез проверять файл functions.php. То что я там нашёл и на что указывал скрипт, повергло меня в небывалый экстаз. Это был не код ссылочных бирж, а код подгрузки левых ссылок с другого сайта с маскировкой этих ссылок под изображения. Вот он:

Зловредный код на сайте

  1. сайт с которого грузится список ссылок или код для вставки на страницу
  2. изменение конфигурации php для того, чтобы можно было загрузить код с удаленного сайта
  3. код, который заменяет в шаблоне метатеги <!--link--> на полученный код
  4. место и имя файла хранения загруженного кода с удаленного сервера (маскируется под .JPG картинку)
  5. сохранение кода в файл файла

В functions.php и в файле comments.php происходит вставка в текст страницы полученных данных. Спасибо за помощь в исследовании этого кода разработчику Ai-bolit.

Затем я решил проверить когда появился этот вредоносный код в файлах functions.php и comments.php моей темы. Данный шаблон WordPress я качал с солидного сайта Wp-templates.ru. Для выяснения вопроса я ещё раз скачал оригинал темы с указанного сайта и посмотрел эти файлы в оригинале – вредоносный код был на месте. Значит эта тема изначально шла с таким кодом и это похоже на дело рук админов сайта Wp-templates.ru или разработчиков шаблона.

Значок wordpressЧто тут можно сказать – если качаете темы не с официального сайта WordPress, проверяйте код обязательно. Если уж сайт Wp-templates.ru, находящийся на первой строчке выдачи по запросу «темы wordpress» грешит этим, то про другие сайты и говорить нечего.

На этом я заканчиваю, пора разбираться с остальными уязвимостями, найденными скриптом AI-Bolit на моём блоге, их довольно много.

Хозяин спитОтзывы о скрипте тут а также на всех известных seo и вебмастерских форумах. Кстати, таким образом можно исследовать любой php сайт, не только на WordPress. Рекомендую и вам проверить свои блоги, это дело займёт не более трёх минут.

Кстати, следы взлома встречаются ежедневно на массе сайтов, владельцы этого даже не замечают. Сегодняшний пример: увидел у чувака на странице блога пять ссылок с точками в виде анкоров в одной статье. Пока не написал ему в комментах, он даже ухом не повёл.

Подписка на новые статьи. Введите e-mail:

Понравилась статья? Следи за новостями блога по Лента RSS RSS или в Обновления блога на Twitter Twitter !
Комментарии (43)
  1. сергей

    Антон спасибо за статью, проверил свой блог и чуть не о...ел )))). Буду разбираться

  2. aleksandr

    Спасибо за полезную информацию! Тема очень актуальна для всех. Проверил свой сайт тоже нашел много чего нехорошего. Буду разбираться

  3. Антон

    Это имеет место на каждом блоге, только вот наши люди предпочитают не думать об этом. В результате их блоги работают на чужие ресурсы а они об этом даже не подозревают. А потом удивляются — не могу продвинуть сайт, тиц не растёт и пр...

    Абсолютное большинство использует паблик темы, которые уже идут с кучей всякого дерьма в коде.

  4. Елена

    Спасибо за полезную информацию. Пол-года назад у меня на блоге поселился вирус и я не могла найти метода его обнаружить и удалить. Пришлось открывать новый блог. Теперь буду на вооружении

  5. Григорий

    В дополнение к сказанному в статье хочу добавить, что запускать скрипт лучше из командной строки (через ssh)

    php ai-bolit.php

    поскольку при запуске через браузер выполняется только экспресс-сканирование, не все файлы проверяются.

  6. Антон

    Григорий, ваш скрипт нашёл много нехорошего в коде. Я уже всё подчистил что было отмечено. Теперь попробую запустить из командной строки, может что-нибудь ещё найдёт. Спасибо за полезный и актуальный функционал.

  7. Геннадий

    Очень интересная статья и скрипт! Надо проверить. Но вмешательство в файл functions.php у меня всегда приводило к потере темы. Что делать?

  8. Антон

    Геннадий, у вас довольно оригинальная тема. Так как сам я в коде не особо, могу только дать контакты своего фрилансера, который вам поправит тему, сделает любые фичи и уберёт из шаблона ссылки.

  9. Геннадий

    Но ты мне его уже давал.

    С помощью скрипта убрал три подозрительных на «его взгляд кода» в хтасесс. В качестве эксперимента :) Три часа исправлял положение, что бы нормализовать работу блога.

    Таких чудес со сторонниими ссылками, как у тебя — нет и ладно. Только подозревал кое что, но я понял на какие коды он обратил внимание — они совершенно безвредны. Что-то сродни ТАС работает и новичкам нужно быть осторожными с этим скриптом!!

    А я убрал скрипт...

  10. Антон

    Само собой у этого скрипта есть и ложные срабатывания. Без этого никуда. Но кроме пустых подозрений он вылавливает и действительно опасные объекты, причём довольно чётко. Ничего идеального нет в этом мире. На счёт «три часа исправлял» ну это уже дело нашей некомпетентности. Учи PHP, что ещё можно сказать. Либо перепоручай работу тем кто понимает в коде. Скрипт я тоже убрал, собственно это правильно, при каждой проверке надо качать новую версию, так как старая работать уже не будет. Об этом сказано на странице скрипта.

  11. Григорий

    Файлы, в которых вы уверены, можно добавить в .aignore, тогда они в отчете больше не будут появляться.

  12. Антон

    Григорий, спасибо за пояснение. Лично у меня сложилось положительное впечатление о работе вашего скрипта. Просто у нас народ такой — им всё равно, ну подвесят пару дорвеев на сайт, они этого даже и не заметят) (Геннадия не имею в виду здесь)

  13. Григорий

    В ближайшем обновлении будет меньше ложных срабатываний. А вообще, как я написал выше: достаточно один раз тщательно проверить все найденные «подозрительные» файлы, добавить их в список доверенных (ссылка с числом справа от каждого файла) в .aignore и использовать этот файл при следующих сканированиях. Больше эти файлы в отчет не попадут, если они не изменятся, конечно (но тогда это сигнал к перепроверке).

  14. Антон

    Всё ясно. Спасибо. Будем пользоваться.

  15. Владимир

    Вот тут делают проверку профессионалы, совершенно бесплатно. Только ссылку хотят на них на главной странице. www.deflab.ru

  16. Антон

    Владимир, откуда известно о их профессионализме? Ссылка с морды — это я бы не сказал что совсем уж бесплатно) Не боитесь какой нибудь левый скрипт подхватить таким образом? Будьте бдительны.

    За хорошие услуги как правило требуют хорошую плату.

  17. Владимир

    У нас контора не большая, но мы решили заморочиться. Заказали услугу. От отчета руководитель интернет проекта и начальник службы безопасности просто охренели...они дают ссылку с информером. Думаю никаких проблем в связи с этим у нашего сайта не будет. Я кстати поискал и в интернете нашел около 20 сайтов где уже висят их ссылки или информеры.

  18. Антон

    Владимир, немного не понял, о чём вы говорите? Какая ссылка с информером?

  19. Владимир

    Кстати я бы и Вам советовал проверяться у них.

    _http://www.cy-pr.com/forum/f80/t36915/ тут нарыл отзывы о них. Картина складывается неплохая.

  20. Владимир

    Ссылка или информер на главной странице они хотят видеть. Взять его можно взять у них в разделе заказать услугу. Этот вопрос продуман у них. Видимо продвигают так свой сайт.

  21. Антон

    Владимир, так вы про www.deflab.ru говорите, а я то думал вы про AI-Bolit. На счёт www.deflab.ru ничего не знаю — не пользовался.

  22. Иван

    Антон подскажи пожалуйста, в статистике своего сайта переходы на другие сайты счетчик li вижу переходы statopera.ganalytics.info нажимаю на ссылку открывается счетчик li не сайт а картинка счетчика. Как такое может быть?

  23. Антон

    да фиг знает,не в курсе. мало ли там глюков у статистики ли.

  24. Сергей

    Скрипт очень даже кстати, надо будет попробовать, хотя бы ради интереса. Буквально вчера пришлось восстанавливать с бекапа основной сайт знакомого, потому что какие-то умники нашли очередную дырку в ДЛЕ и начали массово ломать сайты, ставя редирект с мобильной версии на платник. Владельцы с мобильных устройств ходят редко, потому узнают обо всём, когда санкции от ПС последуют.

    Кстати, с момента написания статьи кое-что добавилось в дистрибутиве, несколько дополнительных файлов для конкретных CMS.

  25. Андрей

    очень полезная статья, нашел у себя пару уязвимостей буду исправлять

  26. Антон

    Рад что пригодилось, мне тоже этот скрипт помог.

  27. Александр

    Дабы меньше было проблем не пользуйтесь конструкторами сайтов wordpress и подобными вообще.

    Пишите сайт с нуля это не так сложно, дольше но зато Вас полюбят и поисковые маши и Вам спокойней. чистый код без мусора всегда лучше!!!!!!!!!111

  28. Антон

    Да ладно. Тут некоторые не в курсе что такое ссылка, а вы говорите сайты пишите :)

  29. Дмитрий

    Антон, я что вы в итоге сделали с этой частью кода, которую обнаружил скрипт. Просто на одном из моих сайтов в function.php точно такой же код.

  30. Антон

    Дмитрий, я уже точно не помню, но по моему отдал фрилансеру, с которым постоянно работаю и он удалил его.

  31. Андрей

    Александр, не все умеют писать сайты, бесплатные движки это выход))

  32. Дмитрий

    Спасибо за статью и полезную информацию. Немедленно попробую проверить свой сайт.

    Плагин RDS уже установил — полезнейшая штуковина, теперь это...

  33. Александр

    Добрый день.

    Воспользовался данным скриптом. Выдал мне кучу проблем, но дело не в этом. Не знаю, совпала проверка с атакой на сайт или дело в самом скрипте, но после проверки я не смог зайти в административную панель сайта, шло перенаправление на сторонний ресурс.

    Провел полное обновление движка (wordpress), эффекта ноль. И только после этого проверил файл .htaccess и нашел там код, который и осуществлял перенаправление. Вот такой неприятный опыт.

  34. Антон

    у меня ничего такого не было. если вы думаете что это работа скрипта вы ошибаетесь.

  35. Александр

    Дело в том, что в тот же день пришло сообщение от поддержки хостинга об атаке на движки joomla и wordpress, возможно, это были её последствия, просто по времени совпало.

  36. заработок

    Сайт просто супер! Не знал что столько информации можно разместить на одном сайте. Раньше искал по разным сайта инфу а теперь буду постоянным посетителем вашего сайта.

  37. Антон

    Заработок, бросали бы вы эти клики и всё что с ними связано. В интернете есть и нормальные способы получения дохода.

  38. Anna

    Загрузила файл с паролем в корень сайта. Пробую открыть

    http://site/ai-bolit.php?p=пароль, в ответ ошибка 502 Bad Gateway

    По ssh вход установлен только с моего IP-адреса, так я и вхожу с него.

    htaccess cделала на время пустым, и всё равно ошибка.

  39. Антон

    Anna, ответ тут — _http://www.revisium.com/ai/faq.php

  40. Татьяна

    Очень актуальная информация. Боролась с постоянно перезаписываемым htaccess, с помощью скрипта нашла шелл и кучу прочей дряни. Спасибо за статью, огромное, все четко и по полочкам.

  41. Антон

    Да, Татьяна, этот срипт многие хвалят. Успехов вам в избавлении от дряни.

  42. костя

    Антон а вы бы не могли бы мне тоже дать контакты своего фриланцера?

  43. Антон

    Костя, это бесполезно, перед новым годом он пропал и больше на связь не выходит. Ищите себе фрилансера на биржах фриланса типа weblancer

Ваш комментарий