Домой / WordPress / Защита сайта / Как удалить вредоносный код на блоге
Как удалить вредоносный код
Как удалить вредоносный код

Как удалить вредоносный код на блоге

На днях столкнулся с очень неприятной ситуацией. На моём блоге, на вот этом самом, завёлся вредоносный код. Обнаружил я это дело совершенно случайно, ибо блог продолжал нормально функционировать и никаких изменений не ощущалось ровно до тех пор, пока я не попробовал зайти не блог при помощи так нелюбимого мной браузера Internet Explorer.

Надо сказать, что и дома, и на работе я использую FireFox и Google Chrome - быстрые, легкие, легко расширяемые... Но в силу специфики своей деятельности держу еще и IE, и Opera, и даже SeaMonkey где-то завалялся.

Так вот, сначала сюрприз мне преподнёс IE, а после того, как я стал проверять отображение блога в остальных браузерах, к нему присоединилась и Opera.

В этих двух браузерах вообще не отображались никакие картинки и отсутствовало всякое стилевое оформление. Во всех других было все нормально. Первой мыслью было, что что-то сбилось в настройках браузеров... но сразу в двух? Да и копия блога на локальном сервере выглядела в них идеально.

Начал искать и причину нашёл довольно быстро, достаточно было из-под того-же IE посмотреть исходный код страницы...

И я увидел, что перед спецификацией <!DOCTYPE html...

стоит что-то такое: <iframe src=”http://google.com” width=”1” height=”1”></iframe>

 Все это выглядело примерно так:

<iframe src=”http://google.com” width=”1” height=”1”></iframe><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" lang="ru-RU">

Теперь стало понятно почему IE, и Opera не могли нормально прочитать блог - для них объявление DOCTYPE в самом начале страницы обязательно. Но это совсем не прояснило как такая вставка кода попала ко мне, а главное - как теперь найти её источник и обезвредить.

Ясно было одно - где-то сидит вирус, который надо срочно уничтожить. Но где? Дело осложнялось тем, что вставка этого кода могла быть и закодирована некоей абракадаброй с использованием, например, base64...

Поиск решения проблемы

Пересмотрел коды шаблона - ничего. По очереди отключал плагины, заглядывал в их коды - ничего...

Ни в index.php, ни в других файлах ничего лишнего не обнаружил.

Заново обновил блог из админки, типа переустановил - не помогло. Пересмотрел кучу интернет-ресурсов по теме, запускал различные онлайн-сервисы по проверке сайта, такие как 2ip, antivirus-alarm, sucuri.net... Последний, кстати, показал, что где-то у меня сидит этот самый <iframe>, но только уже как результат работы вируса и не смог определить в каком файле сам вирус.

Кроме того, через панель вебмастера в яндексе и гугле тоже можно проверить сайт на вредоносный код, но оба поисковика заявили, что мой блог чист и не содержит ничего подозрительного. Позже я понял почему так, но об этом чуть ниже.

Некоторые авторы предлагали скачать программу SiteVerify, позиционируя её, как программу для выявления вредоносного кода на сайте, например вот тут... Увы и ах! Эта программа предназначена всего лишь для выявления битых ссылок.

Ни один из предложенных в глобальной сети способов мне не помог. И что мне было делать?

И тогда я сделал то, что должен был сделать с самого начала... Как Вы думаете, что? Правильно, пошёл покурить... 😉   Шутка... Я зашел в админ-панель, но не WordPress, а хостинга. По счастью это была cPanel. Почему по счастью? Да потому, что на другом хостинге у меня Parallels Plesk Panel и она не предоставляет возможности, о которой я сейчас расскажу.

И вот оно решение

cPanel предоставляет такое замечательное приложение, как антивирусная программа!

АнтивирусЗапускаем, выбираем сканировать общее веб-пространство.

И результат не заставил себя ждать!

Стало понятно, почему ни гугл, ни яндекс, ни другие не смогли ничего у меня выявить - дело в том, что блог у меня как субдомен. То есть в подпапке, а вирус сидел в самом корне...

Антивирус

Заодно нашлось и много вирусов на моем-же соседнем субдомене, на другом сайте...

После окончания проверки программа предложила выбор что сделать с найденными завирусованными файлами - уничтожить или отправить в карантин.

 

 

 

Я выбрал "Уничтожить" и вот, что получил в результате:

АнтивирусВсе завирусованные файлы были успешно удалены. Я ещё для верности через FileZilla заглянул по этим адресам - действительно удалены.

Честно говоря, может быть этого было и достаточно, но я всё-же решил сделать ещё один шаг, а для тех у кого нет возможности зайти в панель хостинга или его панель не предоставляет антивирусную программу, этот шаг может быть решением проблемы.

Зачистка... Тоже может стать решением

Для меня-же это был как контрольный выстрел в голову.

Используя упомянутую уже FileZilla я начисто снес весь свой блог!

 

Но не просто так. Сначала выполнил некоторые действия:

  1. При помощи встроенных инструментов WordPress сделал экспорт всего содержимого в xml-файл, который сохранил на компьютере.
  2. Поскольку я теперь был уверен, что в плагинах у меня ничего вредоносного нет, полностью скопировал папку plugins из wp-content на компьютер.
  3. Таким-же образом из той-же папки wp-content перенёс на компьютер папку папку uploads - это важно потому, что в ней хранятся все изображения блога и другие загруженные на блог файлы.
  4. Я много чего добавлял и менял в стилях своего шаблона, а так-же в его исполняемых php-файлах, поэтому не раздумывая из wp-content/themes целиком всю папку своего шаблона на компьютер.
  5. Используя phpMyAdmin хостинга удалил все таблицы из базы WordPress, осталась только сама база пустая.
  6. Чтобы потом не вспоминать все настройки, из корневой папки WordPress файл wp-config.php - на компьютер.

И вот только теперь, при помощи FileZilla, я удалил всё содержимое папки своего блога с сервера.

Затем скачал свежий дистрибутив с ru.wordpress.org и залив его на сервер установил, что называется, с нуля. При этом мне не пришлось вспоминать параметры подключения к базам, так-как все данные я просто посмотрел в сохранённом ранее wp-config.php.

После чего вернул на место (закачал на сервер) все папки:

  1. Шаблон - в wp-content/themes.
  2. Папки uploads и plugins - в wp-content.
  3. При помощи встроенных инструментов WordPress сделал импорт всего содержимого из сохранённого xml-файла.
  4. Активировал свой шаблон.

Вот собственно и все. Плагины оказались уже активированными, так, что мне не пришлось ничего там менять.

Единственное, что понадобилось - это восстановить одну настройку в параметрах блога в разделе постоянные ссылки, а именно:

Постоянные ссылки Потому, что без этого никак не получалось перейти с главной страницы на какую-либо запись. Браузер выдавал, что такой страницы нет.

Но, впрочим, это зависит от изначальной настройки, так, что вполне возможно, что кому-то не понадобиться делать и этого.

 

 

Надо сказать, что даже все мои виджеты оказались на своих местах, так, что и тут ничего настраивать не пришлось.

По итогу - все записи и страницы на месте, блог полностью работоспособен и там нет никакого вредоносного кода.

На всё-про всё, начиная с момента полного удаления блога у меня ушло не более получаса, включая возню с копированием туда-сюда папок.

Резюмируем всё вышесказанное:

Антивирусные онлайн сервисы могут не обнаружить вирус на блоге, если блог, как в моём случае, размещён в подпапке (субдомене) основного домена. Надо просто периодически сканировать весь домен.

Заражение сайта вирусом, подобно тому, что был у меня (iframe-virus), зачастую происходит через локальный компьютер. Вирус попросту ворует логины и пароли с различных ftp-клиентов, отсылает их на некие адреса, откуда потом специальные программы и заражают сайты. Поэтому желательно не хранить пароли в ftp-клиентах. И при любом подозрении - меняйте пароли!

Не все методы и способы борьбы с вредоносным кодом, описанные в Сети действенные. Они лишь описывают либо чей-то опыт, либо общие правила. Но у каждого может сложиться своя исключительная ситуация. Поэтому, если уж случилась такая беда,  пробуйте разные варианты. Не поможет один рецепт, выручит другой. Именно с этой целью я и изложил свой личный опыт - может быть кого-то выручит и он.

Желаю Вам удачи и безвирусного блогинга!

50 комментариев

  1. Очень нужная статья. Сама сталкивалась с вредонсными кодами, но у Вас особый случай. Все описано очень подробно, как  пособие. Спасибо.

    • Спасибо. Очень надеюсь, что кому-то и мой опыт пригодится. А то я поначалу голову сломал, как найти и обезвредить этот вредоносный код. И, признаюсь, была минута отчаяния… Но всё и всегда можно решить.

  2. Здраствуйте!
    В поисках информации по вирусам и вредоносным кодам на сайте, совсем случайно зашла на ваш сайт.Спасибо, вы так подробно описали свой опыт.
    Мне кажется у меня такого же плана вирус, при просмотре кода страницы вначале стоит вот такой код 

    <!DOCTYPE html PUBLIC «-//W3C//DTD XHTML 1.0 Transitional//EN» «http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd»><html xmlns=»http://www.w3.org/1999/xhtml»lang=»ru-RU»><head>
    У меня хостинг  Time web.  я не видела в своем аккаунте антивирусную программу. но на всякий случай хочу задать им такой вопрос.
    Я тоже проверила сайт на вирусы с помощью программам на которые вы указали ссылки  в статье, ничего не найдено.
    Скажите пожалуйста. в этом коде явно просматриваются ссылки, но нет как у вашего кода iframe. Что же это такое? 
     
    Заранее вам благодарна.
     

    • Алла, в том фрагменте кода, что Вы показали, нет ничего чужеродного и вредоносного. Именно так и должно быть. Я заглянул на Ваш блог, кстати очень симпатичный, и посмотрел код страницы. Там все нормально. А вот если-бы перед < !DOCTYPE... еще что-то было, тогда был-бы повод для беспокойства и принятия мер. Не переживайте, у Вас все чисто. Те ссылки, что у Вас

      …в этом коде явно просматриваются…

      это абсолютно нормальные ссылки на стили оформления и на скрипты, обеспечивающие работу блога. Они есть у всех. Более того, на любом сайте, не только WordPress, есть такие или подобные ссылки.
      Почему Вам показалось, что у Вас есть вирус? В чем это проявляется? Если что-то работает не так — напишите, попробуем разобраться.

  3. Ой спасибо вам огромное за оперативный ответ, я даже не ожидала что вы так быстро ответите. 
    А вопрос у меня действительно есть, я над этой проблемой уже несколько дней «бьюсь» и не могу разобраться, как вы верно написали «можно голову сломать»
    На моем аккаунте на хостинге появляются каждый день папки типа error_log. Просмотрев содержимое, я поняла что сайт выдает какие то ошибки java скрипт, но разобраться в чем дело я не могу. И притом ошибок несколько и они все разные, вот например одно из сообщений об ошибке:
    xc_fcntl_create: open(/tmp/.xcache.0.12.1743912641.lock, O_RDWR|O_CREAT, 0666) failed:xc_fcntl_create: open(/tmp/.xcache.0.12.1743912641.lock, O_RDWR|O_CREAT, 0666) failed:[Wed Aug 07 15:58:27 2013] [error] [client …….] File does not exist: ………../public_html/wp-includes/js/tinymce/langs/wp-langs-ru.js, referer: http:мой сайт //?p=3993
     
    Дело в том, что мне недавно пришлось поменять все картинки на сайте, так как вся графика после некотрых манипуляций исчезла, может это с этим и связано.  Я знаю что tinymce это встроенный редактор,я зашла на указанную страницу  http:english-from-england.ru //?p=3993
     и посмотрела код страницы и действительно нашла не работающую ссылку 
    <script type=’text/javascript’ src=’мой сайт/wp-includes/js/tinymce/langs/wp-langs-ru.js?ver=20081129′></script>  
    Но визуально это никак не отображается, тоесть если просматривать визульно то все ссылки работают. Плагин который исчет битые  ссылки  ничего тоже не показывает.
    Может быть xcache это кеш страницы со старыми картинками, которая сохранилась в разных браузерах и заходя на страницу роботы не могут найти эти картинки? Одним словом я окончательно запуталась, и уже который день так и хожу вокруг да около, 
    Заранее вам спасибо
     

    • Ну во-первых, наличие файла error_log это явление нормальное. Система протоколирует все ошибки, но это вовсе не означает, что ошибки эти критические. Тут пугаться тоже как-бы и не надо. Я вот у себя периодически вообще удаляю эти логи, но они тут-же появляются снова. И это совсем не говорит, вернее, далеко не всегда говорит о том, что надо что-то предпринимать.

      Обычно, конкретные действия с разбором лога проводят тогда, когда что-то действительно перестало работать и вот по логу можно выяснить причину.

      Конкретно о Ваших ошибках (ну не о Ваших лично:)…)

      xc_fcntl_create: open(/tmp/.xcache.0.12.1743912641.lock, O_RDWR|O_CREAT, 0666) 

      Система не может создать файл… Смущают права доступа (последние 4 цифры — 0666). Вообще у меня на папки выставлены права 0755, а на файлы 0644. Попробуйте присвоить права аналогичные моим. Т.е. на папку tmp должно быть 0755, а на все файлы в ней — 0644. Если не знаете как — я подскажу.

      Вторая ошибка…

      File does not exist: ………../public_html/wp-includes/js/tinymce/langs/wp-langs-ru.js

      А есть ли на самом деле этот файл? У меня его нет. Правда я пользуюсь другим редактором (TinyMce Advanced) и для него русификация стоит. Если это критично, то могу завтра поискать wp-langs-ru.js в Сети и отправить Вам. Положите его в соответствующую папку.

      После всех этих манипуляций надо будет очистить или вообще удалить файл error_log и посмотреть — появятся ли эти-же ошибки снова.

    • Да, и еще забыл сказать — очистите кэш, просто удалите все файлы из этой папки… В Вашем случае из папки tmp/

  4. Здраствуйте!
    Я посмотрела информацию об плагинах на вашем сайте и вспомнила что у меня на сайте стоит плагин Hyper Cache, я вчера его отключила совсем,но к сожалению отчеты об ошибке все равно приходят.
    Я окрыла папку tmp с помощью программы WIN SCP по вашей рекомендации но в этой папке так много файлов, их что все надо удалять? Вот некоторые из большого списка
    wp-load.php , wp-login.php, wp-blog.php, wp-config.php, wp-activate.php, wp-trackback.php…..
    Права на папки посмотрю тоже…
    Спасибо Вам.
     

    • Здравствуйте Алла! Статья о плагинах уже немного устарела. Некоторые плагины я отключил, некоторые заменил на другие. В частности плагин Hyper Cache я больше не использую — с ним возникли проблемы после импорта ранее сохранённых данных. Вместо него я использую не столь пропиаренный, но не менее функциональный и более легкий плагин Ivan Gospodinow Cache.
      Теперь про папку tmp… Алла, это же корневая папка домена? В этом-же корне лежит и папка public_html? Вот как на картинке?
      Корень домена
      Не надо оттуда ничего удалять. Если это так, то это служебная папка сервера, а не блога. Можете только выставить на неё права, как я говорил выше. Служебные папки сервера лучше вообще не трогать. У меня как-то был такой печальный опыт — я посмотрел, что папка tmp занимает очень много места и, подумав, что в ней ничего не может быть важного (временная-же) удалил все из неё. А оказалось, что кроме всего прочего, сервер хранил там статистику awstats по сайту (по корпоративному!) ну и я её лишился. Хотя ничего работать не перестало. Позже хостеры сказали мне, что можно вроде всё оттуда удалить, но статистику оставлять, если нужна или оставлять что-то ещё по необходимости. Но я с тех пор её не трогаю. Мне сейчас сложно сказать что-то конкретное по Вашему хостингу, как там всё организовано — у всех по разному может быть. Поэтому тут надо руководствоваться принципом «Не навреди«. Если что-то Вас в этой или подобной папке смущает, то самое правильное будет обратится в службу поддержки Вашего хостинга.
      С уверенностью могу сказать одно — плагин Hyper Cache никакого отношения к этой папке не имеет! Свой кэш он хранит в /wp-content/cache/hyper-cache. Вот эту папку можете смело очистить, тем более, что плагин Вы отключили.
      Вот вопрос: Вы файл error_log где именно смотрите? В какой папке? Честно говоря, я бы не стал переживать из-за этих ошибок, если все работает нормально. У меня, такого умного, в этом файле сейчас более 3000 строк, и это при том, что я позавчера вообще этот файл удалял. В основном, там один плагин мне эти ошибки даёт, но сам при этом функционирует нормально. Есть ли у Вас какие-либо отклонения в работе блога? Если нет, то и причин для беспокойства тоже нет.

  5. Спасибо за такой подробный ответ, да еще из графикой!  Файл error_log , вернее файлы, их уже там 8 штук смотрю в файловом менеджере на хостинге. Хотела прикрепить скриншот для наглядности но так и не поняла как это сделать, нажала кнопочку с деревом а дальше как загрузить картинку? Простите, я » кофейник».
    Сайт вроде бы работает в нормальном режиме, но это со стороны администратора.
    Я бы Вас хотела попросить, если вам не трудно,  заглянуть снова на мой сайт и немного походить, понажимать ссылки, может вы что нибудь заметите. Если вы откроете какую нибудь запись для просмотра кода, то обратите внимание на 28 строку:
    http://мой сайт/wp-includes/js/tinymce/langs/wp-langs-ru.js?ver=20081129
    Ссылка не работающая,на одну из этих ошибок и указывает error_log 
    Спасибо.
     

    • Алла, я Вам отправил письмо, к нему приложил wp-langs-ru.js, который вчера специально нашёл в Сети. Там-же написал куда его надо положить. Потом хотел вставить картинку вот в этот самый комментарий и вдруг обнаружил, что мне он тоже нужен, так-как окно вставки изображения выходит с абракадаброй. Что для меня было неожиданностью… Видимо поэтому и Вы не разобрались что да как. Вспомнил, что полностью переустанавливал свой блог, а про этот файл забыл совсем! Хотя сам-же писал про это целую статью! И, кстати говоря, тот файл, что я отправил Вам по почте, мне не подошёл. Поэтому предлагаю почитать вот эту статью Плагин MCEComments, улучшения и нюансы, там есть ссылка на скачивание wp-langs-ru.js, который я восстановил на своем блоге, и описано куда его надо закачать.
      Что касается вставки изображений…
      Вставка изображения
      Думаю, что с этим окошком все понятно. Сама картинка должна быть предварительно размещена на каком-нибудь ресурсе. Обычно я выгружаю изображения на http://radikal.cc/ и потом уже вставляю ссылки на изображения. Это удобно ещё и тем, что не надо хранить кучу графики на своем сервере — экономия места!
      По Вашему блогу походил, побродил… кнопочки и ссылки понажимал… вроде всё нормально работает. Немного раздражает выезжающее слева окно с доп. информацией, может лучше сделать, чтобы оно выезжало только тогда, когда пользователь кликнет по вкладке? Но это дело сугубо личных предпочтений. По работе функционала блога ничего нерабочего не заметил.
      Если что, обязательно пишите.
      Удачи!

  6. Здраствуйте!
    Огромное спасибо вам за подробную информацию. Я вначале прочитала ваше письмо, отправленное по почте, поэтому закачала и распаковала предложенный вами архив. Я думаю  мне стоит понаблюдать за результатом, если я увижу снова сообщения об ошибках то воспользуюсь вторым вариантом.
    Как хорошо что моя проблема с ошибками на моем сайте указала на ошибку на вашем сайте.
    Я хочу тоже установить плагин MCE Comments по вашей рекомендации, и не только это.
    На вашем сайте я нашла действительно много интересной информации. Вот например, мне нравится ваша идея выводить анонси записей после статьи без плагина, надо будет попробывать, только вот к сожалению моя тема не всегда «дает мне развернуться». Некоторые плагины или скрипты что я ставила на сайт или не работают совсем, или работают не корректно.
    Еще раз Вам спасибо.
    Но это не последний вопрос …. 

    • Думаю, Вы приняли правильное решение — понаблюдайте. Возможно и будет все нормально. Если нет — тогда второй вариант.

      Как хорошо что моя проблема с ошибками на моем сайте указала на ошибку на вашем сайте.

      Вот за это Вам отдельное спасибо!

      Алла, конечно-же обращайтесь, я всегда с удовольствием постараюсь Вам помочь.

      Удачи!

  7. Здраствуйте!
    Пришлось воспользоваться вторым вартиантом, к сожалению сообщения об ошибке продолжали приходить.Надеюсь второй файл решит эту проблему.
    И я бы хотела больше информации узнать  об сервисе, который вы упомянули в своем комментарии, radical. Я заходила на этот сервис, немного посмотрела информацию, но хотелось бы больше узнать, как это все работает, на сколько это надежно, а если сервис
    перестанет работать то тогда и картинки исчезнут из сайта ? Вообще заманчиво, картинки действительно занимают очень много места. Заранее вам спасибо.  

    • Алла, конечно-же никаких гарантий насчёт радикал я Вам дать не могу. В жизни вообще глупо что-либо гарантировать. Но я этим сервисом пользуюсь несколько лет — это специальный сервис для хранения изображений. Радикал не стоит на месте он улучшается и развивается. С чего-бы он вдруг должен перестать работать? Ну… как-бы Вам объяснить… миллионы людей выкладывают свои видеоролики на ютуб и у них не болит голова, что этот сервис вдруг перестанет работать. Радикал почти такой-же популярный сервис рунета, только не для видео, а для изображений. У меня там фото не только для блога, но и для форума, и для портала корпоративного…
      Однако, если у Вас есть сомнения, то можете хранить свои картинки в вебальбомах пикаса (picasaweb.google.com). Этот сервис под Гуглом, а Гугл, как мне кажется, не собирается прекращать свою работу… Пикаса я тоже частенько пользуюсь…
      Так, что думаю — волноваться не стоит и можно смело использовать любой из этих сервисов.

  8. Здраствуйте!
    Прошу вашей помощи я наверное удалила случайно файл встроенного редактора из директории public-html/wp-includes/js/tinymce   Панель настроек не отображается, просто пустое поле. Я вам отправила так же письмо с детальними обьяснениями . Спасибо

    • Алла, я ответил Вам на письмо и отправил недостающие файлы. Попробуйте сделать то, о чем я написал — должно сработать.

      Но если что, то скажите, придумаем что-либо другое. Не переживайте — один на один с проблемой не останетесь.

  9. Здраствуйте!
    Спасибо вам огромное за файлы, все теперь работает! Я думаю мне необходимо прислушаться вашего совета и установить локальный хостер, чтобы проводить эксперименты не опасаясь что то поламать на сайте.
    К сожалению сообщения об ошибках продолжают приходить. В одном из комментариев вы мне посоветовали удалить папку в /wp-content/cache/hyper-cache. что создает  плагин Hyper Cache , зайдя на хостинг через FTP я не нашла такую папку,там была только папка
    hookd. А сегодня я нашла эту папку зайдя просто в файловый менеджер на хостинге, пыталась удалить. почему то не удаляется. 
    Дело в том что в ошибках указаны адреса картинок которые я удалила, а так же адрес фавикона, котрый я не удаляла но он исчез после обновления вордпрес. Может виной всему эта папка, хотя я плагин Hyper Cache и отключила. Вот некоторые ошибки за сегодняшний день.
     
    [Mon Aug 12 06:28:27 2013] [error] [client………. ] File does not exist: ……./public_html/wp-content/uploads/2011/08/boss-and-secretary3.jpg
    boss-and-secretary3.jpg     это адрес картинки что я давно удалила 
     
    Aug 12 06:28:28 2013] [error] [client ……] File does not exist: ……./public_html/wp-content/uploads/2011/08/beans1.jpg
    beans1.jpg   тоже самое
     
    [Mon Aug 12 07:28:14 2013] [error] [client ……] File does not exist: ………/public_html/favicon.ico
    Помогите пожалуйста разобраться.
    Спасибо
     
     
     
     

    • Ну вот видите, потихоньку двигаемся вперед.
      Теперь о других ошибках…

      К сожалению сообщения об ошибках продолжают приходить.

      Я и не говорил, что должны исчезнуть все ошибки. Если Вы помните, конкретные меры мы принимали по поводу ошибки

      File does not exist: ………../public_html/wp-includes/js/tinymce/langs/wp-langs-ru.js

      Вот скажите, после подгрузки wp-langs-ru.js эта ошибка осталась? Или больше не проявляется?
      И ещё, я никогда не советовал Вам

      удалить папку в /wp-content/cache/hyper-cache

      Я советовал удалить все файлы из этой папки. А это не одно и то-же. Пожалуйста перечитайте комментарии, я там говорил о правах на папки и файлы… Вы их проверили? Какие у Вас сейчас установлены права?
      Вообще надо сказать, что плагин hyper-cache устроен таким образом, что кэш грузится только для пользователя. Для администратора, каковым Вы и являетесь, каждый раз подгружается вновь созданная страница, а не из кэша… Но все-же попробуйте выставить права, как я говорил ранее и удалить из папки кэша все файлы.

      File does not exist: ……./public_html/wp-content/uploads/2011/08/boss-and-secretary3.jpg
      boss-and-secretary3.jpg это адрес картинки что я давно удалила

      Картинку Вы удалили, но может быть какая-либо статья блога на неё всё ещё ссылается? Проверьте материал, где Вы её вставляли… Это-же относится и к beans1.jpg…
      Что-же касется

      File does not exist: ………/public_html/favicon.ico

      Ну… это иконка блога. Возможно, что после восстановления блога её просто нет. Создайте её заново, это не сложно. Можно воспользоваться онлайн-сервисами для этого… Просто наберите в поисковике favicon и увидите множество таких ресурсов.
      Вот так постепенно мы с Вами всё и переборем…

  10. Здраствуйте Александр!
    Спасибо вам огромное за помощь и внимание что вы уделяете мой персоне.
    По поводу плагина hyper-cache  я его удалила вообще на время, файлы из папки 

     /wp-content/cache/hyper-cache удалила тоже, права на саму папку стояли 0755, на все файлы тоже 0755.Я не нашла ни одной папки или файла с правами 0666, очень странно, в сообщения указываются действительно 0666 …
    Сообщения об ошибках продолжают приходить но немного другого значения.Вот некоторые:
    xc_fcntl_create: open(/tmp/.xcache……lock, O_RDWR|O_CREAT, 0666) failed:[Tue Aug 13 11:45:23 2013] [error] [client….] File does not exist:……../public_html/wp-includes/js/tinymce/wordpress.css, referer: http://english-from-england.ru/?p=3438
    У меня в браузере гугла css почему то отображается не нормально в XML фомате , а в браузере IE нормально. Может это  что то неправильно с настройками браузера гугла  на локальном хосте.
    Tue Aug 13 14:35:19 2013] [error] [client ……] File does not exist: ……/public_html/apple-touch-icon-precomposed.png
    [Tue Aug 13 15:57:14 2013] [error] [client …] File does not exist: …/public_html/forum
    У меня нет вообще никакого форума на сайте.
    [Tue Aug 13 16:32:13 2013] [error] [client ……] File does not exist: ……../public_html/mc.yandex.ru
    И еще много чего в сообщениях, длинный список….
    Фавикон, а именно мой профиль , у меня стоял, вы можете посмотреть на мои предыдущие сообщения, но он не отражался в браузере IE, об этом есть сообщение в настройках плагина, я поменяла на другую картинку, посмотрим.
    Вы пишете: Ну вот видите, потихоньку двигаемся вперед.
    Это точно , чем дальше в лес …… 
    Заранее спасибо за ответ.

    • Здравствуйте, Алла! ну давайте по-порядку.

      xc_fcntl_create: open(/tmp/.xcache……lock, O_RDWR|O_CREAT, 0666) failed:[Tue Aug 13 11:45:23 2013] [error] [client….] File does not exist:……../public_html/wp-includes/js/tinymce/wordpress.css, referer: http://english-from-england.ru/?p=3438

      Первое, что мне здесь совершенно непонятно — это папка /tmp/. Откуда она? Ну вот нет такой папки в WordPress! Вы можете показать мне её иерархию? Проверьте пожалуйста, кроме hyper-cache установлен ли еще какой либо плагин для работы с кэшем? Я Вам как-то на скриншоте показывал где у меня такая папка расположена — это временная папка сервера, а не WordPress. Но судя по всему у Вас это другая папка…
      В сообщении об этой ошибке указано, что на файл wordpress.css ссылается Ваша статья «Поздравь молодоженов со свадьбой на английском языке.» Посмотрел код статьи, вроде ссылки там такой не нашёл. Да и файла wordpress.css никак не должно быть в папке /wp-includes/js/tinymce/
      Проверьте что это /tmp/.xcache… Вот именно xcache — это папка? Ну и статью указанную проверьте из-под админки, нет ли там действительно такой ссылки… Пересохраните эту статью.

      У меня в браузере гугла css почему то отображается не нормально в XML фомате , а в браузере IE нормально. Может это что то неправильно с настройками браузера гугла на локальном хосте.

      Как-то Вы мудрено написали… css … в XML фомате. XML вообще нормально отображается только в IE. Так, что насчет этого не переживайте.

      [Tue Aug 13 15:57:14 2013] [error] [client …] File does not exist: …/public_html/forum

      Пришла в голову одна мысль… Проверьте пожалуйста лог ошибок, не появилась-ли там запись с ошибкой открытия forum22 ?
      Если появилась, то я скажу Вам причину цитируемой ошибки…

  11. Здраствуйте Александр!
    А мне в голову не приходят никакие мысли. Поэтому послала вам письмо на почту.
    Спасибо 

  12. Очень нужна помощь. Взломали сайт (или хостинг).
    Получила такое сообщение:
    «Целостность файлов нарушена. Изменены файлы:
    1. /.htaccess @ 01.10.2013 18:41:08
    2. /wp-includes/js/tinymce/langs/en/.htaccess новый файл
    3. /wp-includes/js/tinymce/langs/en/index.php новыйфайл«
    1. /.htaccess  — Был  переход на чужой сайт, удалиларедирект.
    2. В файле /wp-includes/js/tinymce/langs/en/.htaccess удалила переход. Но может этот файл вообще не нужен? Может мне его приписали?
     
    3. файл index.php закодирован, не могу его посмотреть. Как посмотреть файл, подскажите? И вообще, что это за файлы? Если они новые, то может они и не нужны?
    Проверка на вирусы на хостинге  отсутствует. 

  13. Ох, на сколько все серьезно! Даже не представляю, как бы я решала подобную задачу со своими мозгами! Для меня всегда технические вопросы представляют сложность…

    • Елена, да нормально-бы решали… знаете, как говорят — глазки боятся, а ручки делают. Кроме того, всегда можно обратиться к знакомым, которые в этом разбираются или к тем-же хостерам. Помогут.
      А проблема эта действительно серьёзная. Причём неважно — начинающий-ли Вы блогер, или мировая знаменитость. Программа тупо перебирает адреса и пытается внедрить свой код…

  14. Стала читать статью и стало страшно.. потом прочитала решение проблемы —  стало еще страшнее.. Но потом вспомнила, что есть такие люди как Вы, Александр, и поняла, что бояться нечего — в случае чего — спасууут! smile
     

    • Спасибо, Анжелика! Я думаю, случись что, спасателей у Вас будет много… И, конечно-же я в их числе… Если что-то будет в моих силах, то сделаю всё возможное. Но всё-же надеюсь такой ситуации не произойдёт…

      А вот у меня на хостинге, кстати, та антивирусная программа, о которой я писал, перестала работать.  Показывает:

      Сканирование:
      … connecting to clamd service …

      И на этом всё… Я писал хостерам, они говорят, что что-то там с сервисом и они его вообще собираются отключить… А жаль. Теперь даже и не знаю, чем лечить, если что…

  15. Мда.. Александр, для блоггера вирусы на блоге это целая проблема. Я постоянно нахожу какие то вирусы у себя, в основном мобильный редирект, приходится держать как говориться руку на пульсе. Постоянно контролировать этот момент нужно. Даже Яндекс и Гугл не всегда показывают, что сайт заражен вирусом. 
    С этим текстом: 

     Не все методы и способы борьбы с вредоносным кодом, описанные в Сети действенные. Они лишь описывают либо чей-то опыт, либо общие правила. Но у каждого может сложиться своя исключительная ситуация. 

     я согласна с Вами на 100%. Вот и мне пришлось все методом тыка изучать. 

    •  Вот и мне пришлось все методом тыка изучать.

       Так ведь мы как… Пока не клюнет кое куда и не беспокоимся… А когда клюнет, начинаем этот «самый действенный» метод применять.

      Я вот, после отключения антивирусной программы на хостинге, даже в некотором замешательстве, а теперь-то мне как с вирусами бороться? Онлайн сервисы не всё могут найти, да и то, только показывают, что, мол, есть что-то, а уж удалять самому… А нормальный антивирус-то должен найти и обезвредить.

  16. Вот и у меня, наверное, где-то вирус сидит. Другого объяснения я найти не могу, т.к. внезапно увеличилось количество запросов к сайту, следовательно — перегруз, на сайт невозможно зайти((

    Ищу по разный он-лайн сайтам по поиску вирусов — все чисто, только один выдал — На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.

    Пытаюсь разобраться… 

     

     

    • А на хостинге антивирусной программы нет? Просто iframe-вставка ведь не сама по себе появилась. Это какой-то код ей вставил. Даже если найти и удалить  iframe, то код, если его не обезвредить, воткнёт её снова, возможно уже в другое место…

      • Сама я проверить не могу. Попросила в поддержке это сделать. Сказали, что 

        В ходе проверки файлов Вашего аккаунта на наиболее распространенные образцы вредоносного кода нами был обнаружен следующий подозрительный файл: ./domains/orangefamily.ru/public_html/wp-content/plugins/backupwordpress/vendor/symfony/finder/Symfony/Component/Finder/Iterator/RecursiveDirectoryIterator.php

        Учитывая, что этим плагином я давно не пользуюсь, то я его вообще удалила.

        Правда, легче не стало. Проверила по графикам, такая проблема началась у меня после  16 апреля. К сожалению, у меня почти месяц не было ноутбука, и я только недавно заметила, что у меня с сайтом что-то не так. Резервные копии на хостинге только за последние 6 дней.

        Признаться, руки опускаются(((

        Наверное, придется сносить сайт и устанавливать все заново. Но я пока не готово ни морально, ни интеллектуально.

        Может подскажите, как сделать правильно резервные копии?

        • Марина, может быть не обязательно решать столь радикальным способом, как снос блога.

          Плагин Вы удалили, но вполне вероятно, что он оставил свои записи в базе данных. Просто почистите базу от неиспользуемых данных. И для этой цели применяю плагин WP-Cleanup, он хоть и предупреждает, что не обнавлялся уже более 2-х лет, но работает исправно. Там как раз есть такая опция.

          Потом очистите кеш на блоге и в браузере и проверьте работу блога. Мне кажется — всё будет нормально.

          Если всё-же придётся переустанавливать всё с нуля, то в этой статье под заголовком "Зачистка" я описал принцип. Некоторые плагины умеют сохранять свои настройки — скачайте эти сохранёнки на компьютер. Для остальных, если там сложные настройки, то сделайте скрины. То-же и с темой….

          Но будем надеяться, что этого не понадобится… Я вот зашёл сейчас к Вам, вроде всё нормально — никаких странностей не заметил…

          • Внешне оно вроде все в порядке. Но очень часто недоступен из-за перегруза какого-то.

            И понято в чем дело — не могу. Писала в поддержку, но там ничего определенного не ответили и сказать, что такого случилось они не могут

            Откуда столько запросов??? В чем может быть причина?

          • РЗ — это что?)) blush

          • Марина, я Вам выше рекомендовал почистить Базу данных, Вы это сделали? А то Вы всё новые и новые вопросы задаёте, а я и не знаю, что сделано, а что нет.

            P3 — это P3 (Plugin Performance Profiler), он показывает какие плагины замедляют сайт. Создаёт отчёт производительности плагинов для WordPress путем измерения их влияния на время загрузки вашего сайта. Очень хорошая, кстати, штука…

            Вирусов у Вас нет, я смотрел онлайн DrWeb-сканнером…

  17. О. у меня тоже. как и у Марины хостинг показывает перегрузку сайта. С хостинга посоветовали поставить плагин супер кэш, и  сказали, что атака ботов mail.ru, Обратилась к разработчикам шаблона, те проверяли. сказали что все должно работать нормально, хостинг слабый. Пока что поставила плагин Супер Кэш. Вроде блог работатет нормально. а вирус был полгода назад. При заходе на блог со смартфона, перебрасывало на порносайт, а на обычном компьютере все открывалось нормально. Да, попереживала я тогда, тем более, что в кодах ничего не понимаю. И тему поменяла, и откат делала. Поставила платный шаблон, разработчики помогли брать вирус, он сидел в коневой папке на хостинге. Потом еще плагины защиты установила, и на компе антивирус обновила. Брр, неприятная штука эти вирусы.

  18. Как все страшно на самом деле… сделала бэкап вручную всего контента, разложила по папкам и закинула в облако. В случае чего думаю просто взять другую тему и закачать все по новой, вручную, тк гаджет мобильный, обычные проги недоступны. Шок и трепет вообщем:)

    • Елена, в админке, в инструментах, есть встроенный экспорт всего контента. И не надо вручную ничего делать. Там всё просто и удобно, практически в один клик. Так же есть плагин WordPress Importer, он осуществляет импорт записей, страниц, комментариев, произвольных полей, рубрик, меток и многого другого из файла экспорта WordPress.

      Таким образом, за статьи, комментарии, рубрики и т.д. вообще переживать не стоит. Кроме того, процесс сохранения данных можно вообще автоматизировать и забыть.

      Для этой цели я использую плагин BackWPup, настроил его так, что контент от мне сохраняет каждый день, а полную копию блога, включая, плагины, MySQL-файл для создания таблиц и заполнения их моими данными и т.д. — еженедельно. При этом все копии у меня сохраняются на Dropbox.

      В результате, могу полностью снести блог и через пол-часика он снова будет работать, как ни в чём ни бывало — полностью будет восстановлен. И пока, на мой взгляд — это самая действенная защита.

  19. Александр, спасибо Вам за подсказку!

    Если в вордпрессе есть встроенная функция одним кликом, то для чего тогда плагины? У меня один стоял, на электронку копии отправлял, но я его снесла, тк  файл был маленький: 200 кб всего. Понимаю, что заархивированный, но я даже открыть не могу такой файл с расширением gz:( Поставила второй плагин, который Вы рекомендуете, он в дропбокс скачал мне все, но тоже в нечитаемом формате tar.  Моя проблема в том, что компа нет, а для мобильного гаджета ipad многое не доступно. В Эппсторе нет архиваторов соответстветствующих. И все же не пойму: зачем эти муки, если есть, оказывается, в вордпресс функция встроенная?

    • Ну вот, отвечаю уже в Новом году…

      Если в вордпрессе есть встроенная функция одним кликом, то для чего тогда плагины?

      Это не совсем равноценно. даже совсем не равноценно. В один клик можно скачать только контент, то есть записи, страницы, комментарии, рубрики, метки…

      BackWPup позволяет делать полную копию блога, другими словами, вообще все файлы. В том числе и то, что делается в один клик. При этом сохраняется структура папок. Я считаю, что такую копию очень полезно иметь.

      gz и tar — архивы, которые открываются практически любым современным архиватором. В таких архивах просто больше степень сжатия. Я их открывал бесплатным 7-zip. Но в настройках BackWPup можно выставить упаковку в привычный zip, что я кстати и сделал…

      В повседневной жизни, конечно, такие полные архивы вроде и не нужны, но бывают и различные форс-мажорные ситуации, в том числе и на хостинге, и вот тогда, не имея подобной сохранёнки приходится локти кусать. И времени на восстановление будет затрачено неизмеримо больше.

  20. Александр, спасибище Вам за дельные советы, за то, что помогаете таким, как я, чайникам:) новичкам то бишь! 

    Видимо, в настройках плагина полного бэкапа я не нашла функции запаковки в обычный архив, а современный архиватор не нашла в Эппсторе для моего гаджета. Был бы у меня комп — меньше было бы проблем, но кочевой образ жизни:) не позволяет иметь даже ноут! 

    Мой личный вес составляет 40 кг, вес самого легкого ноута 1 кг, что тяжеловато для меня в путешествиях, вот ipad незаменим оказался по соотношению веса, размера экрана и зарядки. Только производительности и функционала маловато:( Но компания Эппл не стоит на месте и я надеюсь в скором времени обзавестись каким-нить суперлегким макбуком:) 

    С Рождеством! 

    Храни Вас Бог!

  21. Интересная и полезная статья! Мне также пришлось помучится с вирусом насколько я помню в Функции темы (functions.php), удаляю вирус, а он появляется и так несколько раз, что я только не пробовал, пока я не заметил, что когда Яндекс бот сканирует мой сайт, у меня появляется вирус на сайте. Только после письменного обращения в Яндекс, эта ерунда с вирусом прекратилось.

    • Странно, что Яндекс вообще отреагировал на Ваше обращение… Обычно они так неповоротливы в этом плане…

      А вообще, на мой взгляд, нормальный хостинг должен как минимум предоставлять пользователю антивирусный инструмент.

      • Как ни странно, ответ от Яндекса был на следующий день после запроса.

        Обращался в хостинг, они рекомендовали обратится к платным специалистам, или скачать через FTP все файлы сайта и по работать над ними, я конечно же пошёл по третьему пути, нашёл в интернете похожую ситуацию и по ихним советам начал её исправлять и всё получилось, не считая проблемы с Яндексом.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *