Новый коварный вирус российского происхождения атакует сайты под управлением CMS WordPress. Зараза получила название SoakSoak, и масштабы ее распространения таковы, что 11 000 доменов уже заблокировано Google.
Вероятно, это только начало. По словам специалистов по информационной безопасности компании Sucuri, заражено уже более 100 000 сайтов, причем вирус активно эволюционирует, меняя свое поведение.
Как действует SoakSoak?
Вирус использует уязвимость плагина RevSlider (Slider Revolution), которая позволяет получить доступ к любому файлу сайта, затем к базе данных, а дальше злоумышленники могут делать с сайтом что угодно.
Технически вот что происходит с атакуемым сайтом:
- вирус добавляет к файлу wp-includes/js/swfobject.js свой зашифрованный код, который скачивает вредоносный скрипт с сайта soaksoak.ru (отсюда и имя вируса).
- вирус изменяет файл wp-includes/template-loader.php таким образом, что зараженный swfobject.js начинает загружаться на каждой странице сайта.
Первоначально вирус атаковал только 2 файла, но, по последним данным, теперь он заражает также файл swfobjct.swf.
Есть информация о том, что вирус не только изменяет вышеуказанные файлы, но и совершает другие действия, например, добавляет пользователя с правами администратора и встраивает новые бэкдоры для будущих атак сайта.
А дальше вирус распространяет сам себя по Сети, переадресовывая любого, кто пытается войти на зараженный домен, на сайт soaksoak.ru.
Даже если на вашем сайте не установлен уязвимый RevSlider, он все равно может подвергнуться атаке: проникнув на сервер через один домен, вирус распространяется по всей доступной директории.
Более того, специалисты считают, что под угрозой не только владельцы сайтов на WordPress, вирус будет развиваться дальше и начнет заражать другие системы.
Какой вред приносит SoakSoak?
Во-первых, хакеры получают доступ ко всем данным инфицированного ресурса.
Во-вторых, на сайт больше невозможно войти, любого посетителя вирус переадресовывает на домен злоумышленников (soaksoak.ru).
В-третьих, домен рискует попасть в черные списки поисковых систем и хостинг-провайдеров. И даже после удаления вируса придется приложить немало усилий для восстановления полноценной работы.
Как проверить, не заражен ли ваш сайт?
Все та же компания Sucuri, специалисты которой первые указали на уязвимость с RevSlider, предоставила всем желающим возможность проверить, не заражен ли сайт и не внесен ли он в черные списки поисковиков. Сделать это можно здесь: http://sitecheck.sucuri.net/
Как удалить вирус?
Избавиться от вируса непросто. Во-первых, у вас должна быть резервная копия сайта. Если ее нет, то запросите ее у своего хостинг-провайдера. Далее найдите следующие файлы и удалите их, заменив файлами из копии:
- template-loader.php
- swfobject.js
- swfobjct.swf
После этого поменяйте ВСЕ ПАРОЛИ: к панели управления CMS, панели хостинга, FTP, базе данных.
И все равно это будет только временным решением проблемы, поскольку вероятно, что вскоре сайт будет заражен снова. Нужно не только устранить вирус с сайта, но и закрыть все лазейки, через которые он может вернуться.
Для этого не забывайте постоянно обновлять до последних версий все плагины и компоненты своего сайта, особенно плагин Slider Revolution.
Важно понимать, что SoakSoak – это только один из тысяч существующих вирусов. В недавней статье о вирусах мы подробно рассказали о том, как не допустить заражения вашего сайта, как определить наличие вируса и избавиться от него.
Наши специалисты всегда готовы оказать вам профессиональную помощь: проверить сайт на вирусы, вылечить его и защитить от проникновения вредоносных программ в дальнейшем.
Получить консультацию и решить любые проблемы с вашим сайтом можно, заполнив форму по адресу: http://1ps.ru/cost/maintenance/
P.S. При подготовке статьи использованы материалы сайта blog.sucuri.net
