Как избавиться от script

Бортовой журнал

Полет нормальный. Без происшествий.

Как удалить вредоносные скрипты с сайта и предотвратить повторный взлом

Задачу по удалению вредоносных скриптов с сайта и задачу по устранению причин взлома необходимо выполнять совместно. Если устранить первоначальную причину взлома (например, уязвимость в расширении CMS), но не удалить все вредоносные файлы, злоумышленник сможет снова получить доступ к сайту, воспользовавшись одним из своих скриптов. Если же удалить все загруженные вредоносные скрипты, но не устранить причину взлома, злоумышленник сможет повторно взломать сайт и снова загрузить на него скрипты.

Выполнять работу по удалению вредоносных скриптов и проводить анализ причин взлома должен специалист с соответствующими знаниями и опытом:

• Для удаления вредоносных скриптов необходимо знание языка программирования PHP, а также знание «изнутри» популярных CMS (Joomla, WordPress и т. п.) и расширений для них. Эти знания требуются, чтобы отличить скрипты непосредственно CMS и ее расширений от посторонних файлов, а также чтобы при встрече с сомнительными скриптами иметь возможность однозначно определить, какие действия они выполняют.
• Для анализа причин взлома требуется опыт администрирования сервера. Это необходимо для анализа состояния файлов на аккаунте, времени их изменения, а также для сопоставления этих данных с журналами сервера для определения, какие именно действия злоумышленника привели к взлому сайтов.

Поэтому если ваш сайт оказался взломан, рекомендуется во избежание повторных взломов не выполнять работу самостоятельно, а обратиться к специалисту, который произведет необходимую диагностику и порекомендует или выполнит необходимые действия для решения проблемы, и который сможет дать гарантию качества полученного результата.

Тем не менее, существует ряд мер, которые в некоторых случаях помогают возобновить безопасную работу сайта без наличия специальных знаний. Ограничением приведенного ниже способа является то, что для возобновления работы сайта требуется наличие его резервной копии, созданной на момент до взлома. Если дата взлома неизвестна, можно попробовать применить этот способ, используя самую раннюю резервную копию из имеющихся. Вторым ограничением, как следствие из первого, является то, что после восстановления сайта будут потеряны данные, добавленные на сайт после создания восстанавливаемой резервной копии (например, новые статьи, изображения или документы). Если требуется восстановить работу сайта, сохранив при этом новые данные, необходимо обратиться к специалисту.

Эти меры не позволяют установить причину взлома сайта, однако каждая из них направлена на устранение одной из потенциальных причин проникновения. Так как точная причина взлома неизвестна, необходимо выполнить их все. Действия расположены в таком порядке, чтобы сначала полностью исключить возможность продолжения деятельности злоумышленника на сайте или аккаунте хостинга в настоящий момент, после чего предупредить проникновение злоумышленника на сайт в будущем.

Приведенные ниже действия предполагают, что на вашем аккаунте хостинга располагается только один сайт. Если на аккаунте располагается несколько сайтов, то они также могли подвергнуться взлому, и сайт мог быть взломан через них. Необходимо либо перенести сайт, с которым проводятся восстановительные работы, на отдельный аккаунт, либо проводить восстановление для всех сайтов, размещенных на аккаунте, одновременно.

Очередность действий важна, поэтому необходимо выполнять их именно в том порядке, в котором они расположены ниже.

1. Сразу после обнаружения взлома сайта необходимо полностью заблокировать к нему доступ посетителей. Это, во-первых, помешает злоумышленнику вести вредоносную деятельность на сайте, а во-вторых, не позволит ему препятствовать проведению восстановительных работ. Этот шаг очень важен, так как удаление вредоносных скриптов и устранение причины взлома не происходит одномоментно — как правило, на это требуется несколько часов. Если сайт останется доступным извне, злоумышленник сможет произвести повторную загрузку скриптов в тот раздел сайта, который уже был очищен. При этом злоумышленник может использовать различные IP-адреса для подключения, поэтому запрет доступа только для списка IP-адресов не даст результата. Чтобы гарантированно очистить сайт от найденных вредоносных скриптов, необходимо полностью закрыть для злоумышленника возможность обращения к сайту, что можно сделать только с помощью полной блокировки сайта для любых посетителей. Обратитесь в службу технической поддержки хостинга, на котором размещается ваш сайт, чтобы произвести блокировку.
2. После блокировки сайта необходимо проверить компьютеры, с которых производилась работа с сайтом, современным антивирусом с обновленными вирусными базами. Если сайт был взломан путем кражи паролей от аккаунта с помощью вируса, необходимо убедиться, что дальнейшая работа со взломанным сайтом ведется с компьютера, на котором вирусы отсутствуют, иначе после смены паролей доступа они снова могут быть украдены.
3. После блокировки сайта и проверки на вирусы необходимо изменить все пароли доступа к аккаунту: доступы через FTP, через SSH, а также доступы к панели управления хостингом. Если злоумышленник получал доступ к файлам аккаунта одним из этих способов, после смены паролей он больше не сможет сделать это.
4. После смены паролей необходимо уничтожить все процессы сервера, работающие от имени аккаунта, на котором обслуживается сайт. Запущенные злоумышленником в фоновом режиме процессы, не будучи уничтожены, смогут после проведения восстановительных работ повторно разместить вредоносные скрипты на сайте. Чтобы этого не произошло, все процессы, запущенные до блокировки сайта, должны быть уничтожены. Сайт в этот момент уже должен быть заблокирован, чтобы злоумышленник не смог запустить новые процессы, обратившись к одному из своих скриптов на сайте. Для уничтожения запущенных на аккаунте процессов обратитесь в службу технической поддержки хостинга, на котором размещается ваш сайт.
5. Теперь проникновение на сайт извне невозможно и можно приступать к его восстановлению.
6. Перед дальнейшими действиями удалите все существующие файлы сайта, чтобы среди них гарантированно не осталось вредоносных скриптов, или скриптов CMS, в которые злоумышленник внедрил вредоносный код. Этот шаг также важен, так как при восстановлении сайта из резервной копии не всегда удаляются файлы, которые существовали до восстановления. Если после восстановления из резервной копии на сайте останутся старые вредоносные скрипты, злоумышленник сможет повторно проникнуть на сайт. Избежать этого можно, удалив все файлы сайта перед проведением восстановления.
7. После удаления всех файлов сайта восстановите сайт из резервной копии, созданной до его взлома. Часто достаточно восстановить только файлы сайта, однако если после их восстановления в работе сайта наблюдаются ошибки, необходимо восстановить сайт полностью: и файлы и базу данных.
8. После восстановления из резервной копии обновите используемые версии системы управления сайтом(CMS) и ее расширений до последних. Это необходимо, чтобы исключить присутствие на сайте известных уязвимостей, через которые он может быть взломан. Как правило, обновление можно произвести через раздел администрирования CMS. Для получения полных инструкций по обновлению CMS необходимо обратиться на сайт разработчика системы. Важно обновить не только саму CMS, но и все ее расширения, так как часто взлом происходит через уязвимость, присутствующую в одном из расширений CMS (например, плагины, темы оформления, виджеты и пр.). В этот момент еще нельзя снимать блокировку сайта для посетителей, так как он может быть еще уязвим. Чтобы получить доступ к сайту для обновления, обратитесь в техническую поддержку хостинга, на котором размещается ваш сайт, и попросите разрешить доступ к сайту только с IP-адреса вашего компьютера. Узнать ваш IP-адрес вы можете, например, на inet.yandex.ru.
9. После обновления системы управления сайтом и ее расширений зайдите в раздел администрирования сайта и измените пароль доступа администратора к нему. Убедитесь, что среди пользователей сайта нет других пользователей с административными привилегиями (они могли быть добавлены злоумышленником), а если таковые обнаружатся — удалите их.
10. Теперь, когда сайт восстановлен из резервной копии и не содержит вредоносных скриптов, CMS и ее расширения обновлены до последних версий, в которых отсутствуют уязвимости, а пароли доступа к сайту и аккаунту хостинга изменены, можно вновь открыть сайт для посетителей.

Все указанные выше действия необходимо выполнять в соответствии с указанной очередностью, без пропусков и каких-либо изменений. Если действия выполнены неточно, на сайте могут остаться вредоносные скрипты или уязвимости, в результате чего через короткое время он может быть снова взломан злоумышленником. Если по каким-либо причинам выполнить перечисленные выше действия в том виде, в котором они указаны, возможности нет, обратитесь к специалисту для проведения работ по восстановлению сайта после взлома.

Источник

Как удалить скрипт из WEB-страницы?

Есть один сайт (точнее даже далеко не один), с которым нужно работать, но который решил проводить агрессивную политику по показу рекламы. В теле страницы вставлен скрипт (тег script с указанным в src путем на внутреннюю js-страничку), который при загрузке страницы с помощью document.write открывает в нем страницу ad.yandex.ru с указанием текущей локации для редиректа. Если бы я был рядовым жителем РФ или БР, то и проблем не было. Но я живу в Украине, где все IP яндекса заблокированы всеми провайдерами.

Отключение выполнения всех скриптов приводит к неработоспособности сайта (авторизация и все такое). Если в исходнике увидеть адрес конкретного «рекламного скрипта» и заблокировать его чем-то типа adBlock, то можно некоторое время пользоваться сайтом. Но при создании новой сессии (а так же через некоторое время хождения по страницам) адрес «рекламного скрипта» изменяется и сайт снова бросает на заглушку невозможности открытия Яндекса в Украине.

Прошу помощи в написании скрипта для Tampermonkey/Greasemonkey. Суть идеи в том, что бы из структуры DOM вырезать запуск «рекламного скрипта» — в хедере он будет вторым.

• Вопрос задан более трёх лет назад
• 2825 просмотров

Я уже даже попробовал такой вариант:

(function() <
‘use strict’;
window.document.write = function() ;
alert(‘test’);
for (obj in window.document.scripts) <
obj.remove();
>;
>)();

Если алерт поместить после цикла удаления скриптов, то он не сработает. Т.е. этот код удаляет все скрипты включая самого себя. Блин, какие-то они там больно умные 🙁

Можете тоже попробовать: https://www.liveinternet.ru — тут вообще караул с рекламой. Если этот сайт будет адекватно работать, то далее просто включу этот скрипт и для остальных.

Возможно, придётся этот код запускать по таймеру, если скрипты будут динамически восстанавливать удалённые ноды.

Спасибо. Ваш скрипт помог!

Правильно ли я понял: скрипт, который я видел в консоли и успешно (но разово) лочил адблоком — это был скрипт не с главной страницы (поэтому у меня ничего не получилось), а именно с фрейма adfoxHtml5_iframe, который в вашем коде удаляется?

Источник

«Windows Script Host» и как его исправить быстро и легко

Ошибка «Windows Script Host» часто встречается на Windows 10, 8, 7. Причиной их возникновения нередко служат регулярные обновления от компании Майкрософт. И при чем не важно: официальная у вас «винда», или пиратская.

Далее разберем подробно основные причины данной ошибки и как его исправить.

Сбои могут появиться в самое неожиданное время при установке различных ПО, игр и т.д. Сопровождается такая ошибка определенным кодом и сообщением «не удаётся найти указанный файл сценария».

«Windows Script Host» что это такое

Наиболее часто встречающаяся — ошибка 80070002. Как бы ни существовал длинный список различных кодов, их решение почти одинаковое.

Решение подобных конфликтов в большинстве случаев займет не больше 5 минут. Мы рассмотрим самые проверенные методы, которые помогут вам избавиться от данной ошибки. Эти способы признаны оптимальными на официальном сайте сообщества Майкрософт и получили одобрение большинства пользователей Виндовс.

Выделим наиболее распространенные причины возникновения конфликта «Виндовс Скрипт Хост»:

• Не точное системное время.
• Неполадки в работе службы обновлений.
• Загрузка очередного обновления со сбоями.
• Пиратская копия «винды».

«Windows Script Host» исправить быстро и легко

Способ 1: Настройка корректного времени на компьютере

Системное время, которое отображается в области уведомлений, выполняет ряд задач. Одни программы, при обращении к серверам разработчиков или к другим подобным ресурсам, могут выдавать сбои из-за расхождений в дате и времени.

Так что всегда проверяем правильность времени ПК.

1. Кликаем на часы в панели задач рабочего стола и открываем настройки;
2. Затем переходим на вкладку «Время по интернету»и заходим в параметры. Важно учесть, что ваша учетная запись обязана иметь права администратора.
3. В открывшемся окне ставим галочку перед «Синхронизировать с сервером времени в Интернет», далее из имеющегося списка «Сервер»выбираем windows.com и кликаем «Обновить сейчас».
4. Об успешном завершении настройки вас уведомит соответствующая надпись. Если возникнет ошибка из-за превышенного времени ожидания пробуем обновить время еще раз.

С этих пор время вашего ПК будет периодически синхронизироваться с сервером времени Microsoft и проблем с расхождением не возникнет.

Способ 2: Отключение Центра обновлений

Одним из частых причин является неудачное обновление системы.

Чему могут способствовать загруженность системы, а также сбои в сети интернет.

• Щелкните на «Пуск» и откройте «Панель управления».
• Зайдите в «Администрирование».
• Откройте «Службы».
• Затем выберите «Центр обновления Windows».
• Щелкните ПКМ. Далее выберите «Остановить».
• Перезагрузите вашу ОС.

С помощью таких простых действий отключаем попытки системы получить свежие обновления, послужившие причиной возникновения конфликта «Виндовс Скрипт Хост».

Способ 3: Удаление некорректно установленных обновлений

Этот способ представляет собой удаление тех обновлений, после установления которых начались неполадки в Windows Script Host. Устранить это можно двумя способами: вручную и через восстановление системы.

На заметку! Какой бы вариант вы ни выбрали, важно помнить хотя бы примерную дату, после которой начались неполадки.

Метод вручную

1. Заходим в «Панель управления»и открываем «Программы и компоненты».
2. Далее смотрим, какие обновления установлены, нажав соответствующую кнопку.
3. Появится весь список обновлений. Для удобства отсортируем их по дате установки, нажав по шапке столбца «Установлено».
4. И удаляем все обновления, которые установлены после появления неполадок (смотрим дату).
5. Далее перезагружаем ПК.

Утилита восстановления

1. Чтобы перейти к данной утилите открываем «Свойства»компьютера.
2. Далее заходим в «Защиту системы».
3. Кликаем по кнопке «Восстановление».
4. В окне программы нажимаем«Далее».
5. Ставим галочку, чтобы отобразить дополнительные точки восстановления. Нам нужны позиции «Автоматически созданная точка». Из них выбираем ту, что подходит дате последнего обновления.
6. Жмем «Далее», дожидаемся, когда система предложит перезагрузить ПК и совершит процедуру по восстановлению к выбранному состоянию.

Полезно: Важно помнить, что такой процесс может повлечь за собой удаление программ и драйверов, установленные после выбранной даты. Для того, чтобы узнать коснется это вас или нет смотрим список затрагиваемых программ, нажав соответствующую кнопку.

Способ 4: Установка лицензионной Windows

Единственный плюс пиратской версии Виндовс – это то, что они бесплатны. Намного больше от них неудобств, в том числе, некорректную работу важных компонентов.

В данном случае советы по устранению ошибки, указанные выше, могут не решить проблему: исходники файлов уже были сбойными. Здесь остается порекомендовать поискать другой дистрибутив, но желательно, конечно, установить лицензионную версию Windows.

Вывод

Приведенные выше советы помогут вам устранить системную ошибку «Виндовс Скрипт Хост» наиболее простым и доступным образом. Но в случае, если проблема все же не решилась, тогда единственным решением остается переустановка системы, тем более если у вас пиратская версия Виндовс.

Источник