При поддержке: Если вы уверенный пользователь ПК, и можете найти 10 различий монитора от клавиатуры, то посетите интересный блог про фриланс — пора уже начинать работать в сети.

Да уж, не думал я, что меня коснется то, что коснулось уже большинство владельцев персональных блогов, но реальность такова, что взлом блога, может испытать любой на собственной шкуре, допустив малейшее нарушение безопасности.

Наверное, уже многие слышали о слишком учащенном взломе блогов, в последнее время, и даже многие плагины защиты – при этом не помогают.

Те читатели – кто заходил на мой блог SEO секреты 27 февраля, могли наблюдать только одну надпись черным по белому:

Parse error: syntax error, unexpected ‘<’ in/home/ssoross/seocekret.ru/docs/wps/wp-includes/default-filters.php on line 229

да и аналогично на других моих 5 проектах :(

Паниковать при этом не стоит, нужно просто было разобраться в ситуации, к чему собственно я и приступил.

Введя в поле запросов Яндекса этот код ошибки, сразу столкнулся с информацией о взломе блогов во время атаки троянских программ Rootkit.Kryptik.

Как происходит взлом блога:

  • На компьютер жертвы попадает Rootkit.Kryptik
  • Ворует пароль, сохраненный в FTP клиенте  к примеру Total Commander
  • Получает доступ ко всем папкам блогов на хостинге
  • Прописывает вредоносный код во все файлы index, с расширением js и файлы default-filters.php, widgets-filters.php
  • И начинает творить все чудеса по отправке трафика на непонятные сервера и ресурсы

Вот тут начинается головная боль :(

Как исправлять ситуацию взломанных блогов? Что делать, если Rootkit.Kryptik все-таки сделал свое черное дело?

На форумах было предложено одно из решений проблемы:

  • сменить пароль на доступ по FTP
  • скачать папку wps, лежащую в корневом каталоге со всем содержимым блога
  • найти вредоносный код в каждом отдельно взятом файле и удалить вручную (файлов порядка 100)
  • код во всех файлах будет одинаковый, и он сильно отличается от нормального
  • после исправления, залить все обратно на хостинг с заменой поврежденных файлов

Было сделано именно так, и после 4-х часовых мучений с одним из моих блогов, зайдя в административную панель управления я получил – некорректно работающую админку и некоторые ява скрипты используемые блогом отказывались работать.

Пришлось упрощать процедуру, как в плане сокращения времени устранения последствий взлома трояна Rootkit.Kryptik, так и в плане работоспособности блога.

Смотрите, как лечился взлом блога SEO секреты:

Часть-1:

  • Первым делом проверяем жесткий диск последними версиями антивирусных программ и удаляем Rootkit.Kryptik
  • Обязательно меняем пароль на доступ по FTP
  • Скачиваем последнюю версию WordPress 2.9.2 на компьютер
  • Заходим через FTP на хостинг под новым паролем
  • Заменяем файл index.php на новый из скаченной версии WordPress 2.9.2
  • Заменяем папки wp-admin и wp-includes на новые из WordPress 2.9.2
  • Ни в коем случае не трогаем папку wp-content – здесь все ваши записи и картинки и файл wp-config – конфигурационный файл

Часть-2:

  • Далее идем в панель управления хостера
  • Находим в папку themes с вашими шаблонами, лежит в wp-content
  • Удаляем все папки с неиспользуемыми темами WordPress в данный момент
  • Папку с используемой темой WordPress, заменяем на новую с жесткого диска, если нет заново скачиваем из интернета
  • Открываем папку с установленными плагинами WordPress – plugins, находится в wp-content и начинаем открывать последовательно каждый найденный файл index.php и файлы с расширением js, тем самым удаляя ручками вредоносный код (прописывается обычно всегда в конце записи) и сохраняя полученный результат.

Вроде все, в итоге после 5 часов работы, мной были восстановлены все 6 блогов на хостинге с полными рабочими параметрами. Плюс обновлена версия всех блогов до WordPress 2.9.2.

Мораль такова: постарайтесь максимально обеспечить защиту вашего блога, всеми пока доступными способами, которые имеют место обсуждения на форумах и в социальных сетях и не только от Rootkit.Kryptik. И ради бога, не храните пароль доступа по FTP в самой программе клиенте.

Сейчас блог работает в прежнем режиме! Приятного пользования! :)

Читать похожие статьи: