1. Як діє SoakSoak?
2. Якої шкоди приносить SoakSoak?
3. Як перевірити, чи не заражений ваш сайт?
4. Як видалити вірус?

Новий підступний вірус російського походження атакує сайти під управлінням CMS WordPress. Зараза отримала назву SoakSoak, і масштаби її поширення такі, що 11 000 доменів вже заблоковано Google.

Ймовірно, це тільки початок. За словами фахівців з інформаційної безпеки компанії Sucuri, заражено вже більше 100 000 сайтів, причому вірус активно еволюціонує, змінюючи свою поведінку.

Як діє SoakSoak?

Вірус використовує уразливість плагіна RevSlider (Slider Revolution), яка дозволяє отримати доступ до будь-якого файлу сайту, потім до бази даних, а далі зловмисники можуть робити з сайтом що завгодно.

Технічно ось що відбувається з атакується сайтом:

• вірус додає до файлу wp-includes / js / swfobject.js свій зашифрований код, який викачує шкідливий скрипт з сайту soaksoak.ru (звідси й ім'я вірусу).
• вірус змінює файл wp-includes / template-loader.php таким чином, що заражений swfobject.js починає завантажуватися на кожній сторінці сайту.

Спочатку вірус атакував тільки 2 файли, але, за останніми даними, тепер він заражає також файл swfobjct.swf.

Є інформація про те, що вірус не тільки змінює вищевказані файли, але і робить інші дії, наприклад, додає користувача з правами адміністратора і вбудовує нові бекдори для майбутніх атак сайту.

А далі вірус поширює сам себе по Мережі, переадресовуючи будь-якого, хто намагається увійти на заражений домен, на сайт soaksoak.ru.

Навіть якщо на вашому сайті не встановлено уразливий RevSlider, він все одно може піддатися атаці: проникнувши на сервер через один домен, вірус поширюється по всій доступній директорії.

Більш того, фахівці вважають, що під загрозою не тільки власники сайтів на WordPress, вірус буде розвиватися далі і почне заражати інші системи.

Якої шкоди приносить SoakSoak?

По-перше, хакери отримують доступ до всіх даних інфікованого ресурсу.

По-друге, на сайт більше неможливо увійти, будь-якого користувача вірус переадресовує на домен зловмисників (soaksoak.ru).

По-третє, домен ризикує потрапити в чорні списки пошукових систем і хостинг-провайдерів. І навіть після видалення вірусу доведеться докласти чимало зусиль для відновлення повноцінної роботи.

Як перевірити, чи не заражений ваш сайт?

Все та ж компанія Sucuri, фахівці якої перші вказали на вразливість з RevSlider, надала всім бажаючим можливість перевірити, чи не заражений сайт і не внесений він в чорні списки пошукових систем. Зробити це можна тут: http://sitecheck.sucuri.net/

Як видалити вірус?

Позбутися від вірусу непросто. По-перше, у вас повинна бути резервна копія сайту. Якщо її немає, то запросите її у свого хостинг-провайдера. Далі знайдіть наступні файли і видаліть їх, замінивши файлами з копії:

• template-loader.php
• swfobject.js
• swfobjct.swf

Після цього поміняйте ВСЕ ПАРОЛІ: до панелі управління CMS, панелі хостингу, FTP, базі даних.

І все одно це буде тільки тимчасовим вирішенням проблеми, оскільки ймовірно, що незабаром сайт буде заражений знову. Потрібно не тільки усунути вірус з сайту, але і закрити всі лазівки, через які він може повернутися.

Для цього не забувайте постійно оновлювати до останніх версій всі плагіни і компоненти свого сайту, особливо плагін Slider Revolution.

Важливо розуміти, що SoakSoak - це тільки один з тисяч існуючих вірусів. У недавній статті про віруси ми докладно розповіли про те, як не допустити зараження вашого сайту, як визначити наявність вірусу і позбутися від нього.

Наші фахівці завжди готові надати вам професійну допомогу: перевірити сайт на віруси, вилікувати його і захистити від проникнення шкідливих програм в подальшому.

Отримати консультацію та вирішити будь-які проблеми з вашим сайтом можна, заповнивши форму за адресою: http://1ps.ru/cost/maintenance/

PS При підготовці статті використано матеріали сайту blog.sucuri.net

© 1PS.RU, при повному або частковому копіюванні матеріалу посилання на першоджерело обов'язкове.