Удаление вирусов на сайте

Вирусы на сайте были успешно удалены и пришла идея создать пошаговую инструкцию борьбы с паразитами – авось пригодится.Итак начнем…

1) При входе на сайт появлялась следующая ошибка
Warning: require(/../../../public_html/wp-includes/pomo/mo.php) [function.require]: failed to open stream: No such directory in /../../../public_html/wp-settings.php on line 83

Fatal error: require()[function.require]: Failed opening required ‘/../../../public_html/wp-includes/pomo/mo.php’ (include_path=’.:/usr/local/lib/php’) in /../../../public_html/wp-settings.php on line 83

Warning fatal error - Вирусы на сайте

2) Что делаем в первую очередь – качаем все файлы сайта на компьютер и сканируем их на вирусы. Отмечу, что в данном случае сайт Татьяны выполнен на всем известном CMS Wordpress.

У новичков возникает вопрос – а как это делается? Шаги для данного этапа следующие: заходим в панель управления с помощью логина и пароля который вам выдал хостинг-провайдер при регистрации. Ниже представлен пример такой панели, хотя она может выглядеть у каждого по-разному:

Файловый менеджер

Выбрав пункт «Файловый менеджер» (программа для работы с файлами) вы попадаете в этот раздел и видите следующую картину

Файловый менеджер - корень сайта
Здесь папка public_html означает корень нашего сайта, где находятся все файлы сайта или блога (у нас это Wordpress).

Файловый менеджер - файлы сайта

Для того, чтоб скопировать файлы с сервера на компьютер, необходимо выделить все файлы и нажать в меню  вашего файлового менеджера «загрузить» либо «архивировать и сохранить» – что-то в этом роде.

Пожалуй, более удобным для меня и многих других пользователей является доступ к файлам через файловый менеджер, установленный на компьютере. Одним из популярных и бесплатных является менеджер доступа к файлам – FileZilla.  Благодаря ему, можно указать доступ к вашему сайту и закачивать файлы с сервера на ваш компьютер и обратно. Маленькое уточнение – для доступа у вас должен быть создан FTP пользователь в админпанели, также вы должны знать логин/пароль и адрес хоста, на котором размещен ваш сайт или блог (всю эту информацию обычно предоставляют при регистрации, либо же вы можете уточнить ее в службе поддержки).

Файловый менеджер FileZilla

Подключившись к сайту с помощью FTP вы должны увидеть те же самые файлы сайта/блога, что и в административной панели вашего хостинг-провайдера.

Файловый менеджер FileZilla - файлы сайта

Операция та же, что и в админпанели: выделяете все файлы и папки и нажимаете «скачать», предварительно указав путь для сохранения файлов на компьютере.

3) Теперь перейдем к следующей части. Файлы скачаны и нужно их просканировать на вирусы. Тут вы используете антивирус, который у вас установлен, у меня это AVG Anti-Virus. Находите папку с файлами скачанными с  сервера, кликаете правой клавишей мыши и выбираете опцию «Сканировать с помощью AVG”. И тут нам выдает сообщение о зараженном файле.

AVG Anti-Virus

Наша задача удалить этот файл и обновить файлы на сервере. Вы можете полностью обновить все файлы (удобно, когда много файлов было вылечено), либо же один файл, который был поврежден. В моем случае, я просто удалил инфицированный файл с сервера.

4) После того как файлы обновлены, вводим в адресную строку браузера адрес нашего сайта и … видим, что ничего не изменилось :) , сайт не отображается, а ошибки в виде warning и fatal error присутствуют те же самые, что мы видели до сканирования файлов антивирусом. Тут уже надо смотреть глубже, что же было повреждено, почему сайт не грузится? Вчитываемся в ошибку

Warning: require(/../../../public_html/wp-includes/pomo/mo.php)

Fatal error: … Failed opening required ‘/../../../public_html/wp-includes/pomo/mo.php’

и видим, что идет запрос на файл mo.php, который расположен в папке wp-includes/pomo/ . Идем в эту папку и видим небольшое недоразумение – файла mo.php в данной папке нет. Что же делать дальше?! Переходим к следующему пункту.

5) Открываем наши бэкапы (резервное копирование нашего сайта или блога)! Тут должен сказать, что Татьяна – молодец! У нее в корневой папке были файлы, сохраненные несколько месяцев назад. Открываем архив бэкапа и копируем существующий файл mo.php из папки /pomo в нашу версию сайта на сервер. Обновляем адрес сайта в браузере и видим следущее: сайт открылся! Но антивирус еще выдает угрозу:

load файл заражен

6) Ищем файл load.php на сервере по указанному пути

Путь к зараженному файлу

И удаляем его.

Внимание! Перед тем как удалять какие-либо файлы, необходимо проверить, за что они отвечают. Если вы не компетентны в данном вопросе, попробуйте вбить в Google название файла и директорию, где он находится в вордпрессе и выясните его предназначение. Но случаи могут быть разными! В моем случае, в папке, к которой я добрался, находились одни графические файлы (изображения). Поэтому я был уверен, что зараженному файлу load.php там не место!

7) После удаления последнего зараженного файла сайт работает успешно! Но еще важно узнать почему сайт был инфицирован вредоносным ПО? Ответ найти порой не просто, но попытаться все же следует. Так как в пункте 3) мы обнаружили, что зараженный файл находится в папке plugins, стало понятно, что «дыра» находится в плагине igit-related-posts-with-thumb-images-after-posts (плагин похожих записей с картинками). Далее запрос в Google «вирус в плагине igit-related-posts-with-thumb-images-after-posts» выдал информацию о том, что предыдущая версия данного плагина была уязвима и ее следовало обновить! Следуем данному совету, обновляем плагин и успешно пользуемся сайтом в надежде, что вирусы будут обходить его стороной  .

Подитожим:

Уважаемые читатели! Делайте резервные копии вашего сайта/блога! Как это делается? Читаем пункт 2)

Вирусы на сайте выводят нас из себя и мы обычно поддаемся панике. Остановите себя на мысле, что лучше силы потратить не на злость и причитания, а на решение проблемы. Для этого используем Google для поиска подобной проблемы у других пользователей Интернета, если поиск не дал результатов, решаем проблему другим путем – ищем людей, которые могли бы помочь  .

Автора автора