Relacja usuwania malware z WordPress oraz platformy Moodle

usuwania malware ze strony internetowej

Do serwisu Robofix wpłynęło zlecenie oczyszczenia z malware strony internetowej opartej na WordPress oraz działającej w tej samej domenie strony e-learningowej bazującej na platformie Moodle.

Klient o zainfekowaniu stron internetowych dowiedział się z komunikatu programu antywirusowego Avast, zainstalowanego na jego komputerze. Program zablokował strony i uniemożliwił połączenie przez jakąkolwiek przeglądarkę. Avast wyświetlił komunikat, mówiący o tym, że dostęp do tych stron ze względów bezpieczeństwa został zablokowany, ponieważ są zainfekowane przez malware.

Właściciel stron postanowił na własną rękę wykonać backup plików przez DirectAdmin. Przy próbie zapisu na dysku lokalnym skompresowanej paczki z plikami, program antywirusowy wykonał skanowanie w locie, ujawniając kilka zainfekowanych plików związanych z CMS WodrPress i jeden w plikach platformy Moodle.

Klient zwrócił się do dostawcy hostingu o pomoc w wyeliminowaniu wirusów ze stron internetowych. Hostingodawca jedynie przekazał mu raport z przeprowadzonego skanowania konta hostingowego programem antywirusowym, z którego wynikało, że zainfekowanych plików jest jeszcze więcej niż wykazał to Avast w spakowanym pliku z backup'em strony. Helpdesk firmy hostingowej polecił zlecić oczyszczenie stron z malware wyspecjalizowanej firmie.

Następnie klient skontaktował się z serwisem Robofix, po czym błyskawicznie przekazał mi dane dostępowe do DirectAdmin. Z poziomu DA wykonałem pełny backup stron (pliki + bazy danych), zapisując go w wyizolowanym środowisku, na specjalnie przygotowanej maszynie wirtualnej.

W kolejnym etapie pliki i bazy danych zostały poddane szeregowi procesów, mających na celu wykrycie i usunięcie nowo wygenerowanych i zainfekowanych plików, nie będących częścią składową systemu zarządzania treścią. Zainfekowane pliki, które były składnikami CMS WordPress, częściowo zostały automatycznie oczyszczone, a częściowo trzeba było poddać je ręcznej analizie i obróbce - głównie chodziło tutaj o pliki szablonu. Część plików WordPress'a, po upewnieniu się, że nie były modyfikowane przez twórców tej strony, podmieniłem na pochodzące z czystej paczki instalacyjnej.
W przypadku platformy Moodle skanery nie wykryły zawirusowania, jednak dla pewności podmieniłem pliki (tam gdzie istniała taka możliwość) na pochodzące ze świeżej paczki pobranej od producenta tej platformy.
Pozostała jeszcze kwestia potencjalnie niebezpiecznego pliku tej platformy, wykrytego przez program Avast. Po poddaniu go skanowaniu przez kilkadziesiąt silników programów antywirusowych, okazało się, że plik jest błędnie interpretowany jako niebezpieczny.

Kolejnym krokiem było przetestowanie poprawności działania stron. W tym celu zostały uruchomione na sandbox'owym serwerze www. Po drobnych korekcjach ustawień została im przywrócona pełna sprawność działania. Później wykonałem szereg operacji tj. aktualizacje systemów i wtyczek, instalacja plugin'ów / modułów zabezpieczających stronę przed ponownymi atakami. Na koniec wykonałem przegląd struktury plików i katalogów, pod kątem uprawnień, jednocześnie je korygując.

W ostatnim etapie, w docelowej lokalizacji strony zostały podmienione na oczyszczone z wirusów.
Na koniec upewniłem się, że adresy domenowe stron nie znalazły się na żadnych blacklistach. Po sporządzeniu raportu z przeprowadzonych prac, przywrócenie stron do życia zostało zgłoszone ich właścicielowi, który w odpowiedzi poinformował mnie, że jego program antywirusowy nadal blokuje ich adresy przy próbie wywołania w przeglądarkach. Poleciłem opróżnienie pamięci podręcznej (cache) przeglądarek, zakładając, że może tam być przetrzymywana stara wersja stron, przed ich oczyszczenie. Nie przyniosło to oczekiwanego rezultatu - strony dalej były blokowane. Ostatecznie okazało się, że adresy stron zostały wpisane na lokalną, czarną listę (tylko na komputerze klienta) i po ich usunięciu, strony można było już swobodnie przeglądać.

Oto w czym mogę Ci pomóc:

Usuwanie szkodliwego oprogramowania ze strony internetowej opartej o na CMS WodPress, Joomla, Drupal i innych.
Przeniesienie strony internetowej na korzystniejszy tj. wydajniejszy i tańszy hosting. Przejście witryny pod inną domenę.
Aktualizacja rdzeni, modułów, rozszerzeń systemów zarządzania treścią Drupal, Wordpress, Joomla i innych CMS.
Wykonanie kopii bezpieczeństwa strony internetowej (pełna struktura plików, katalogów oraz bazy danych) oraz jej archiwizacja.
Działania mające na celu zapewnienie ochrony strony internetowej przed wirusami i atakami hakerskimi.
Dostosowanie strony internetowej do poprawnego wyświetlania na różnych urządzeniach.
Wykonanie napraw stron internetowych opartych na CMS oraz poprawek poprawiających jej estetykę lub funkcjonalność.
Szkolenia i pomoc w obsłudze systemów zarządzania treścią Joomla, Wordpress, Drupal i innych.
Przyspieszenie działania strony internetowej opartej na CMS Drupal, WordPress oraz Joomla, w celu zwiększenia liczby odwiedzin.
Przywracanie / resetowanie haseł dostępu, niezbędnych do pełnej kontroli stron internetowych opartych na CMS.
Projektowanie logo dla stron internetowych, wizytówek, folderów, banerów itp.

Copyright © robofix.eu