Инструкция Как проверить сайт на вирусы и шеллы. Чем проверить архив сайта на shell вирус


Чем проверить архив сайта на shell вирус

Из своего названия – shell – оболочка позволяющая получить несанкционированный доступ к файлам и базам данных на хостинге. Как правило написаны на языке программирования php или asp.

Изначально созданные авторами в благих намерениях используются хакерами и недобросовестными вебмастерами в корыстных целях. Сами по себе вирусом не являются, но из за массового распространения сайты с обнаруженными “шеллами” часто блокируются хостингом.

Для проверки не рекомендуется использовать обычный антивирус установленный на вашем компьютере. По причине того что классические антивирусы просто удалят подозрительный файл целиком, что может навредить работоспособности вашего сайта в дальнейшем. Поэтому существует ряд специализированного программного обеспечения, которое выдаст список подозрительных файлов.

Этот список в дальнейшем надо просмотреть вручную и принять решение об удалении или исправлении, что потребует определенных знаний.

Под операционную систему Windows:Самое известное и распространенное решение сканер Ai-bolit . В отличие от различных поделок вебмастеров, постоянно развивающийся и обновляемая программа. Отчет может получиться довольно обширный. Проверка осуществляется не только на shell вирусы, мобильные редиректы но и другой вредоносный код. Инструкцию можно найти на сайте автора.

Чем проверить архив сайта на shell вирус

Чем проверить архив сайта на shell вирус

Под операционную систему Linux:ClamAv – самое известное и распространенное решение. Проверка осуществляется на основе базы собственных сигнатур. Может быть запущен от имени любого пользователя. Не требует права root.

Пример запуска:clamscan -i -r -l /tmp/clamscan_log --remove=no /путь_к_файлам/В файле /tmp/clamscan_log – можно посмотреть результаты – список подозрительных файлов.

Maldet – еще одно решение, использующее как свои базы так и базы Clamav.

Пример запуска:maldet -a /путь_к_файлам/После проверки запуститьmaldet --report

www.secbot.org

Как узнать есть ли вирус на сайте?

Многие вебмастера и владельцы сайтов сталкивались с предупреждением антивируса или браузера о том, что сайт содержит вредоносный код. Посещение таких сайтов может причинить вред вашему компьютеру. В случае если это ваш сайт, дело усугубляется оттоком посетителей, а значит клиентов, заявок и в конечном счете денег.

Как узнать есть ли вирус на сайте. Какие существуют сервисы для проверки сайтов на вирусы.

В каком случае следует проверять сайт:

  • Вы открываете сайт, а ваш антивирус блокирует доступ к сайту.
  • Ваши посетители жалуются на предупреждения антивирусов и/или перенаправление с вашего сайта на какой то другой.
  • Вы получили предупреждение от Yandex/Google или от вашей хостинговой компании.

Как проверить?

Специально для вас мы создали сервис, позволяющий проверить сайт на вирусы в более 25 базах антивирусных компаний. Проверить можно перейдя по ссылке. Проверка позволит узнать какие антивирусы распознают на вашем сайте вирусы.

Что делать дальше.Если проверка сайта дала положительные результаты, в первую очередь необходимо:

  • Поменять все пароли и доступы на сайт.
  • Проверить свои компьютеры и компьютеры людей имеющих доступы на сайт антивирусом.
  • Обратиться к специалистам или своему вебмастеру для устранения проблем на сайте.

Если у вас нет такого специалиста, мы можем выполнить эту работу. Для связи с нами, заполните форму обратной связи и мы сами вам перезвоним.В случае если ваш сайт был помечен Гугл или Яндекс как вредоносный, после проведения работ по поиску и удалению вирусов с сайта, необходимо оправить заявку на пересмотр сайта в результатах поисковой выдачи через панель Вебмастера. Через несколько дней пометка с сайта пропадет.

В данном обзоре рассматриваются веб-сервисы для обнаружения последствий взлома и заражения (вирусных вставок, редиректов, несанкционированного рекламного кода и т.п.), то есть сервисы, которые выполняют веб-сканирование сайта «снаружи», без доступа к файловой системе.Данные сервисы также не являются инструментами пентестера (то есть не ищут уязвимости или ошибки конфигурации). У них немного другое назначение: веб-сканерами могут воспользоваться веб-мастера или владельцы сайта, получившие уведомление со стороны хостинга, панели веб-мастера или жалобы от посетителей на несанкционированную рекламу, и выяснить, что является источником данной проблемы.

www.secbot.org

Инструкция - Как проверить сайт на вирусы и шеллы

Для того-чтобы проверить сайт на вирусы, можно сделать следующее:

1)Скопировать файлы своего сайта на диск и проверить штатным антивирусом;

2)Установить на сервер ClamAV и проверить им;

3)Есть специализированные программы, которые нужно скопировать и запустить на вашем сервере, а именно:

http://www.yandex.ru/promo/manul#howtouse

https://revisium.com/ai/

4)Так-же есть онлайн сервисы (Слабенькие, но можно тоже проверять):

http://antivirus-alarm.ru/

Что делать если был найден вирус на сайте:

1.Удалить его путём удаления файла вируса на сервере (Обычно это php или JS, часто это указывается сканером АВ), или правки как правило индексного файла (Index.php, Index.html, обычно кусок кода потенциального вируса указывает сканер АВ после проверки), также нужно проверить файл .htaccess на подозрительные записи;

2.Обязательно проанализировать и устранить причины появления вируса на сайте, причины могут-быть следующие:

- Брут пароля к ftp, ssh, админки... В этом случае все пароли нужно сменить.

- Уязвимость на сервере, плагинах CMS, в самом CMS... В этом случае нужно обновлять плагины, движки и т.д.

- Уязвимость на сервере. В этом случае нужно обновить ПО на сервере.

- Также нужно проверить из каких источников вы брали скрипты, плагины и прочий софт, устанавливайте скрипты и софт только с офф. сайтов или лично проверенных сайтов...

Вроде всё, не попадайтесь !

ru-sfera.org

что это такое, чем и как проверить и как удалить зловреды

Есть проблемы с ранжированием, проект не растет, хотите проверить работу своих специалистов по продвижению? Закажите профессиональный аудит в Семантике

Мы выпустили новую книгу «Контент-маркетинг в социальных сетях: Как засесть в голову подписчиков и влюбить их в свой бренд».

Подпишись на рассылку и получи книгу в подарок!

Вирус на сайте – это вредоносное программное обеспечение, внедряющееся в код сайта и заражающее его посетителей.

В код вашей страницы внедряется вредоносный отрезок стороннего кода, который стремится заразить посетителей сайта. В итоге клиенты больше не заходят к вам, а поисковые системы и антивирусы включают вас в черные списки. SEO-катастрофа.

Какие бывают вирусы на сайте

Все вирусы, заражающие веб-ресурсы можно разделить на виды:

Дорвеи

При попадании на сайт вирус создаёт внутри вашего портала свои полноценные дочерние сайты на поддоменах или отдельных папках. Дорвей размещает на них рекламу своих услуг и вредоносный код. Последствия заражения дорвеем:

  • появление неизвестных папок и поддоменов на вашем сайте;
  • постоянная нехватка трафика и ресурсов;резкое снижение рейтинга сайта в поисковой выдаче вплоть до блокировки.

Прокси и ботнеты

Ресурсы вашего сервера начинают тратиться на обработку и проксирование чужого трафика, от обычного прокси до распределенных DDOS-атак по всему миру, спам-рассылок и майнинга.

IFRAME-вирус

Может атаковать целевой компьютер практически всеми типами угроз:

  • мошенничество;
  • угрозы;
  • сбор конфиденциальной информации, логинов, паролей;
  • внедрение троянов на компьютер клиента;
  • кража номеров кредитных карт.

SHELL

Вирус, обычно загружаемый на удалённый сервер сайта с помощью специально подготовленного файла. Он может внедряться в исходный код и производить несанкционированные изменения файловой системы вплоть до полного контроля над сайтом.

Как узнать, есть ли вирус на сайте

Если вы подозреваете свой сайт в заражении, внимательно присмотритесь к первым признакам нахождения вируса на сайте:

  • Возможные письма-предупреждения со стороны хостинга о подозрительной активности.
  • Странные показатели активности сервера: аномально большой трафик, постоянная полная загрузка процессора и памяти, множество исходящих соединений.
  • Без причины меняются даты изменения файлов сайта, их размер. Появляются и исчезают директории и виртуальные хосты.
  • Сайт начал тормозить, долго обрабатывать запросы, перенаправлять на неизвестные ресурсы или выдавать ошибки.
  • Вы попали в бан-листы поисковых систем Google или Яндекс. При запросе домен вашего сайта помечается, как «сайт, который может угрожать вашему компьютеру» или вовсе исчезает из выдачи
  • Когда вы посещаете свой сайт, антивирус начинает выдавать предупреждения о вирусной опасности.

Способы заражения ресурса

После того, как сайт был заражен, администраторы задаются вопросами, как это могло произойти, как хакер получил доступ к файлам. Выделяют несколько путей атаки.

Уязвимости в программном обеспечении и операционной системе

От вас это никак не зависит. Иногда в программах и операционных системах обнаруживаются null-day уязвимости, которыми мгновенно пытаются воспользоваться хакеры со всего мира. Все что можно предпринять – всегда ставить самые последние обновления и микропатчи ко всем утилитам сервера.

Критические уязвимости в популярных CMS, плагинах и скриптах

Если уязвимости существуют даже в программах, которыми пользуется каждый второй сайт, то они безусловно будут и в любой CMS. Обновляйте движок и следите за подключаемыми модулями.

Вирусы на компьютерах разработчиков

Всегда проверяйте антивирусом компьютер, с которого у вас есть доступ к сайту по ftp или SSH. Возможно, на вашем устройстве завелся keylogger или троянский зловред, похищающий учетные данные.

Уязвимый к атакам исходный код сайта

SQL-injection, XSS – всем этим атакам так или иначе подвержены порядка 30% сайтов в интернете. Сотрудничайте с опытными программистами и заказывайте периодический аудит безопасности проекта.

Ошибки настройки прав доступа сервера

Неверно настроенные группы прав, пресловутые 777 права на корневые каталоги могут привести к страшным последствиям, вплоть до получения вирусом полного контроля над ресурсом и сервером.

Брутфорс-атака

Атака «в лоб». Хакер перебирает пароли к вашему серверу, рано или поздно находя подходящий. Регулярно меняйте ваш пароль, и ставьте защиту входа по количеству попыток, например fail2ban.

Проверка сайта на вирусы

Прежде чем переходить по опасным ссылкам, имеет смысл проверить сайт на вирусы с помощью различных сервисов. Так вы точно детектируете угрозу и сможете её обезвредить

  • Штатный антивирус. Если у вас есть устойчивое соединение с сайтом, и вы имеете надёжный антивирус на текущем устройстве, попробуйте выгрузить папку с файлами сайта к себе на компьютер и запустить её полную проверку. Комплексные антивирусы, такие как Kaspersky, NOD32 или Dr.Web умеют находить вредоносный код среди безопасных скриптов
  • QUTTERA. Бесплатный безсигнатурный сканер сайтов, имеет эвристические инструменты анализа, поэтому иногда находит даже 0-day проблемы. Ищет трояны, зараженные файлы и фишинг. Проверка долгая, но эффективная.
  • VirusTotal. Бесплатный и легендарный сервис, собравший в себе несколько десятков различных баз и антивирусов, которые выполняют максимально широкую и разностороннюю проверку ресурса на наличие вредоносного кода. Результат выдаётся в виде отчета.

Что делать при заражении и как удалить вирусы на сайте

Нельзя недооценивать хакера. Всегда доводите процесс очистки сайтов до конца. В противном случае злоумышленник воспользуется уязвимостью повторно, но уже нанесет уже более серьезный и продуманный удар по безопасности

  • Сделайте локальную копию всех файлов вашего сайта себе на компьютер.
  • Запустите сканирование папки с максимальным уровнем детектирования угроз при помощи антивируса.
  • При появлении сообщений о лечении выбирайте этот вариант. Программа удалит зловредные строчки кода, не повредив исходные файлы.
  • Все, что не лечится, придется редактировать вручную или удалять.
  • После завершения процесса сканирования пройдитесь вручную по всем файлам и папкам. Проверьте код, не осталось ли подозрительных включений.
  • Обязательно найдите причину взлома вашего сайта – место, где хакер пробил брешь в защите. Закройте все уязвимости и обновите программное обеспечение. Поменяйте пароли и авторизационные SSH ключи.
  • Замените зараженную папку сайта на очищенную.

Для уверенности в правильной настройке сайта рекомендуется обращаться к специалистам для аудита информационной безопасности. Такие услуги предоставляются крупными компаниями и могут существенно повысить степень защищенности ресурса.

semantica.in

Лечение сайта от вирусов: чистим код вручную и автоматически

Никто не хочет, чтобы с его сайта пропали данные или ресурс стал источником заражения других устройств. Но такое случается, когда на сайт попадает вредоносный код, или, проще говоря, вирус.

Практика показывает, что в основном заражение сайта происходит через системы управления контентом (CMS) и плагины к ним. Вы либо скачиваете из неофициального источника уже зараженный файл. Либо скачиваете из официального, но продукт с ошибкой, о которой пока никто кроме хакеров не знает. Такие ошибки называют уязвимостями.

Хакеры постоянно сканируют интернет в поисках уязвимых сайтов. Когда находят — загружают в файлы сайта вредоносный код. Он-то и рассылает спам, перенаправляет пользователей на зараженные страницы или крадет данные.

Бывает и по-другому, но редко.

Как понять, что сайт заражен

Обычно о заражении сообщает браузер, настольный антивирус или панель веб-мастера. Чтобы удостовериться, проверьте с помощью бесплатных сервисов:

Что делать, если сайт заражен

Обновите программное обеспечение. Как только об уязвимостях становится известно, их исправляют и выпускают обновления. Устанавливайте обновления только с официальных сайтов: WordPress, Joomla!, Drupal.

Удалите пиратские плагины.Устанавливайте плагины только от официальных разработчиков. Если на каком-то сайте размещен бесплатный аналог платного плагина, то скорее всего он уже содержит вирус. Лучше заплатить за оригинальное ПО, чем лечить зараженный сайт.

Поменяйте пароли. Часто вирус попадает на сайт используя пароль от админских панелей FTP или CMS, которые крадет во взломанной почте или компьютере. Смените пароли доступа к панели управления сервером, FTP/SSH-аккаунтам, MySQL, CMS. Используйте сложные пароли: не менее 10 символов, заглавные и строчные буквы, цифры и специальные символы. Для быстрой генерации используйте бесплатные сервисы: 1, 2.

Настройте права доступа к файлам. Через FTP или ISPmanager установите права доступа к файлам сайта. Права определяют, кто может просматривать, записывать и исполнять код. Для файлов сайта подходит значение 644 (изменять содержимое может только администратор, читать и исполнять код — любой посетитель сайта), для директорий лучше установить 755 (администратор может читать и редактировать, все остальные — только читать содержимое).

Восстановите резервную копию. Если вы знаете, когда произошло заражение сайта, восстановите созданную до заражения резервную копию. Это избавит от необходимости «лечить» ресурс.

Заблокируйте неиспользуемые функции в файлах конфигурации PHP. В файле конфигурации PHP (php.ini) добавьте disable_functions к неиспользуемым функциям из вот этого списка: passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source.

Лечим сайт вручную

Лечить сайт можно вручную и с помощью антивирусов.

Если вы умеете работать с консолью сервера, очистите код сайта вручную. Для начала найдите чужеродный код: проверьте зараженные файлы, сравните их с незараженными из резервной копии. После, используя тип файла и фрагмент кода, найдите все зараженные файлы и удалите вредоносный код.

Пример команды для поиска паттернов вирусов в файлах php* и htm* директории /var/www/*/data/www/.

grep -Rils --include=\.{php,htm*} -e 'b=4594' -e 'e2aa4e' -e 'v58f57b98 = 0' -e 'forexam\@pandion.im' -e 'pathToDomains' -e 'if(navigator.userAgent.match(' -e 'var vst = String.fromCharCode' -e 'Menu\files\/jquery.js' -e 'i5463 == null' -e 'r57.gen.tr' -e '\/rsize.js' -e 'feelthesame.changeip.name' -e '40,101,115,110,98,114,105,110' -e 'c99sh' -e 'Shell by' -e ' sh_ver' -e '\.tcpflood' -e 'c999sh' -e 'Array(base64_decode' -e 'Attacker Perl File' -e 'bogel = ' -e '(\!function_exists(\"getmicrotime\"))' -e'\$d=substr' -e 'WSO ' -e 'r57shell' -e '[email protected](@base64_decode(@str_replace' -e '6POkiojiO7iY3ns1rn8' -e ' mysql_safe' -e 'sql2_safe' -e 'aHR0cDovLzE3OC4yMTEu' -e 'php function _' -e 'encodeURIComponent(document.URL)' -e '\; if(isset(\$_REQUEST' -e 'UdpFlood' -e 'udp\:\/\/1.1.1.1' -e '\ (md5(\$_POST\[' -e 'header(\"Location\: http' -e 'fx29sh' -e 'c999sh_surl' -e 'c99sh' -e '\/request12.php' -e 'NlOThmMjgyODM0NjkyODdiYT' -e 'semi-priv8' -e 'JHNoX25hbWUgPSAiIj' -e '$shell_name' -e 'UvUbjYh5eJNgF4E1fedl' -e 'killall \-9' -e 'Angel Shell' -e 'c100.php' -e 'c2007.php' -e 'c99 mod Captain Crunch' -e '\$c99sh_updatefurl' -e 'C99 Modified By Psych0' -e 'php-backdoor' -e 'r577.php' -e 'wso shell' -e 'backdoor' -e 'eval(stripslashes(' -e 'Backdoor' -e 'Set WSHshell' -e 'WSHshell.Run DropPath' -e /var/www/*/data/www/

Лечим с помощью антивирусов

Если вы не умеете работать с консолью сервера, используйте готовые решения. Самые большие базы паттернов вирусов, распространенных в рунете, содержат два антивируса: Virusdie и AI-Bolit.

Virusdie

Платный инструмент. Автоматически находит вредоносный код и удаляет его. Помогает снять санкции браузера. С Virusdie работать просто, так как антивирус интегрирован с панелью управления веб-сервером ISPmanager.

На всю весну — с 1 марта до 31 мая — снижаем цену на антивирус для сайта Virusdie в ISPmanager. Он будет стоить 5€ вместо 13€.

AI-Bolit

Бесплатный сканер вирусов. Проверяет сайт на взлом, вирусы и хакерские скрипты. Анализировать отчет можно самостоятельно. Помощь от специалистов компании-разработчика AI-Bolit — за отдельную плату.

Как предотвратить заражение

  1. Используйте программное обеспечение только из проверенных источников.
  2. Генерируйте сложные пароли и не храните их в браузере.
  3. Настройте создание резервных копий.
  4. Изолируете сайты друг от друга, для этого создавайте каждый сайт на отдельном пользователе.
  5. Используйте Virusdie постоянно.
  6. Используйте ISPmanager для единовременного обновления всех установленных скриптов, или модуль интеграции ISPmanager с Softaculous.

www.ispsystem.ru

Удалить вирус с сайта самостоятельно

Курсы

Инструкция подходит для DLE, Bitrix, Drupal, Joomla, Ipb, Vbulletin, PhpBB, Ucoz и других cms. В инструкции делается упор на очистку сайтов на LAMP (как наиболее распространенная технология), но работа с сайтами на ASP.NET и других технологиях, в основном, аналогична. Предполагается, что ваш собственный компьютер полностью чист от вирусов и локальная сеть, в которой вы находитесь, безопасна. Иначе необходимо сначала очистить от вирусов свой компьютер. Также предполагается владение языком программирования, на котором написан сайт, так как без этого нет смысла браться за очистку.

Перед началом работы по очистке сразу же ставим фильтр входящих данных. Иначе новое заражение может произойти ещё до того, как вы закончите лечить старое.

1. Диагностика

Диагностика проводится по следующей схеме, от простого к сложному:

1.1 Скачайте файлы сайта к себе на компьютер, и проверьте их своим обычным локальным антивирусом. Удалите подозрительный код и тех файлов, на которые антивирус сработает. Обязательно сделайте резервные копии любых изменяемых вами файлов и всего сайта!

1.2 В исходном коде html страницы ищем вхождения слов "iframe" и "javascript". Исследуем найденные фреймы и внешние скрипты на предмет чужеродности, не принадлежности к нашему сайту. Особенно подозрительными являются iframe малой или нулевой ширины и высоты, а javascript – с использованием eval, unescape, String.fromCharCode, а также подвергнутый обфускации. В javascript особое внимание надо обратить на document.write с вписанием другого javascript или iframe, либо вписанием meta-редиректа, а также javascript-редирект. В некоторых случаях вирусный код маскируется под счетчики посещаемости. Иногда производится полная замена обфусцированной javascript библиотеки наподобие jquery на такую же, но содержащую вирус. В таких случаях необходимо сверить размеры активной библиотеки с размерами того же файла в имеющейся у Вас резервной копии сайта.

Если в iframe, javascript или в редиректе фигурирует любой чужой домен (не Ваш и не размещенный там Вами) – это сигнал тревоги, даже если на домене пусто или там нормальный сайт. Вирусы очень часто идут "матрешкой", когда реальное вредоносное содержимое выскакивает только на третьем или пятом редиректе или фрейме.

1.3 Проводим такое же исследование по подгружаемым внешним javascript файлам. Во внешних css проводим поиск behavior, содержащих чужеродный код.

1.4 Если на сайте есть картинки, подгружаемые с других сайтов – проверяем, что выдается при запросе броузером этих картинок. При этом реферрер и агент должны быть как при обычном открытии страницы Вашего сайта с этой картинкой. Если вместо картинки выдается редирект, запрос пароля или иное чужеродное содержимое – это как правило вирус.

1.5 Перечисленные в пп. 1.1-1.3 действия необходимо выполнить с запросом страницы и скриптов несколько раз, в идеале с разных ip, с разными cookies и разными user-agent (браузерами) поскольку вирусный код может выдаваться случайным образом либо только тем броузерам, которые уязвимы, либо только поисковику, либо по иному критерию.

1.6 Добавляем сайт в Яндекс-вебмастер и Google-вебмастер, в некоторых случаях эти сервисы дают указание конкретного вредоносного кода, либо доменов, с которых подгружается вирус.

1.7 Если Вы зашли на зараженный сайт с включенным javascript в браузере (чего вообще-то лучше не делать), то Ваша антивирусная программа может дать список угроз, которые были обнаружены при посещении сайта. Из этих данных также можно выделить список вирусных доменов.

1.8 Смотрим коды http-ответов сервера на предмет редиректов разными user-agent и с разных ip адресов, поскольку зачастую редирект выдается случайным образом либо используется клоакинг. Иногда вирус ведет дневник и выдает редирект или попап только один раз каждому посетителю.

2. Удаление вируса

Знание, какой именно код вирус выдает посетителям сайта, помогает найти на сервере источник проблемы. Если в ходе диагностики выдаваемый посетителю вредоносный код не был конкретизирован – не беда, очистка может быть успешно проведена и без этого, просто будет намного сложнее.

2.1 Скачиваем себе на локальный компьютер все файлы сайта, делаем резервную копию перед проведением очистки.

2.2 Проводим полнотекстовый поиск (по самим файлам, а не только по их заголовкам), ищем вхождения найденного в пп. 1.1-1.3 и найденных в пп. 1.5 и 1.6 вирусных доменов. Альтернативный вариант – вести поиск прямо на сервере специальным серверным скриптом.

2.3 С помощью ssh команд либо серверного скрипта находим на сервере все файлы сайта, которые были изменены в день заражения сайта и изучаем их на предмет внешних нежелательных дополнений. Это могут быть:

  • include файлов с вирусных доменов (не зависимо от того, разрешен ли удаленный include по данным phpinfo),
  • eval полученных с других сайтов данных,
  • eval декодированных функцией base64_decode данных,
  • обфусцированный php-код,
  • переопределенные функции,
  • include или eval внешних данных, передаваемых скрипту через глобальные массивы GET, POST, COOKIE, SERVER ('HTTP_REFERRER','HTTP_USER_AGENT' и др.), обычно являющееся backdoor,
  • посторонние коды ссылочных бирж (часто целью взлома сайта является продажа с него ссылок),
  • http-заголовки с редиректом на вирусные домены, отправляемые функцией header,
  • exec, system, popen, passthru и другие функции, выполняющие вызов программ, если их использование не предусмотрено cms. Если cms не задействует данные функции, а также функцию eval, то лучше вообще их отключить в php.ini,
  • бэкдоры в триггерах mysql,
  • auto_prepend_file или auto_append_file в php, с бэкдором или вирусным кодом,
  • в очень редких случаях команда запуска лежащего в tmp вирусного файла запускается пользовательским crontab.

При анализе нежелательных дополнений может помочь знание кода, выясненого в ходе диагностики (п.1).

Помимо выдачи посетителям вредоносного содержимого, перечисленные выше чужеродные вхождения могут представлять собой web shell или backdoor, с помощью которых злодей контролирует Ваш сайт.

2.4 Делаем дамп базы данных, и изучаем аналогично п.1.1, но с учетом того, что в базе код может быть преобразован в мнемоники и вместо <iframe> будет &lt;iframe&gt;

2.5 Удаляем все чужеродные вхождения, обнаруженные в ходе работы по перечисленным выше пунктам.

2.6 Проверяем работоспособность сайта, его функционал. Иногда вирус затирает собой важные файлы или нарушает их синтаксис, и после очистки обязательно надо все восстановить. В очень редких случаях вирус затирает все так, что файлы сайта уже невосстановимы. Хорошо, если есть копия у хостеров или подключена услуга резервное копирование.

2.7 Создаем резервную копию очищенного сайта. В случае повторного заражения можно будет восстановить сайт из этой резервной копии.

Если остановиться на этом, то на следующий день либо в пятницу вечером на этой же неделе произойдет повторное заражение сайта и все с начала. Поэтому необходимо двигаться дальше.

3. Выясняем и ликвидируем причину заражения

3.1 В первую очередь необходимо проанализировать лог веб-сервера и лог ftp, найдя в них время, предшествовавшее заражению. Если имеется лог ошибок php и лог командного интерпретатора, они тоже могут оказаться полезны. Иногда в логах бывает достаточно данных, чтобы определить источник заражения сайта. Но нельзя ограничиваться только закрытием первоначальной проблемы, необходим комплексный подход.

Самые распространенные пути заражения:

  • похищение ftp паролей,
  • уязвимости в движке (cms),
  • заражение от соседних сайтов на том же сервере,
  • уязвимость утилит на сайте или на сервере.

3.2 Похищение ftp паролей. Причины бывают разные:

  • использование ftp через бесплатный wifi, зараженный похищающим пароли вирусом, или с компьютера в зараженной локальной сети. Чтобы избежать такой утечки паролей, целесообразно поверх бесплатного wifi или подозрительной локальной сети использовать платный VPN с шифрованием.
  • похищение паролей из ftp-клиента (например, похищение файлa wcx_ftp.ini из Total Commander) с помощью сайтового вируса, вируса в пиратской программе или вируса на флешке.
  • fishing ftp-паролей (при входе на сайт seo-утилит или иной подобный сервис предлагают ввести ftp логин и пароль, либо под видом представтелей хостера под разными предлогами просят посетить якобы страницу смены ftp-пароля).

3.3 Уязвимости в движке (CMS).

Многие CMS все ещё содержат уязвимости типа SQL injection, source include, xss и др. Обычно сообщения об обнаружении таких уязвимостей появляются на сайтах поддержки CMS. В ходе очистки сайта необходимо закрыть все уязвимости, описанные на сайте разработчика CMS, а также проверить движок на наличие уязвимостей, добавленных туда при установке модов или ином дополнении функционала. Как движок, не имеющий подобных явных проблем можно порекомендовать UMICMS.

Помимо собственно дыр в движке бывают ещё уязвимости, связанные с сочетанием определенных настроек движка и/или определенных настроек сервера. Например, если настройки сайта позволяют посетителям постить на сайт картинки с других сайтов, то это автоматически увеличивает риск проблемы, упомянутой в п.1.3. Некоторые CMS не имеют явных уязвимостей, но в случае несоответствия настроек сервера системным требованиям эти CMS могут быть очень уязвимы. В ходе очистки необходимо уточнить соответствие сервера требованиям безопасности конкретной CMS.

3.4 Заражение от соседних сайтов на том же сервере.

Если Вы подключаетесь к своему сайту по ftp и не видите других сайтов, кроме своего – это ещё не значит, что от Вас нет доступа к соседям и от них нет доступа к Вам. Необходимо подключиться по ssh (если хостер дает такую возможность) и проверить, не видны ли файлы других пользователей. Также пробуем подняться выше своей директории php файл-менеджером, или perl, или программами на других языках, работающих на этом сервере. Если такая возможность подняться выше и перейти в папки других пользователей есть – необходимо сменить хостинг, так как очистка в рамках отдельно взятого сайта в таких условиях невозможна.

3.5 Движок сайта может быть хорошим, но при этом у хостера могут стоять утилиты управления базами данных или скрипты статистики, имеющие уязвимости или пригодные для брутфорса. Это может быть phpMyAdmin с единой авторизацией для всех клиентов, что в сочетании с короткими паролями может дать успешный взлом управления базами и как следствие – добавление вирусного кода в хранящиеся в базе статьи или шаблоны. По возможности необходимо закрыть эти пути проникновения вирусов. К сожалению, это зачастую также означает смену хостера.

4. Меняем все пароли: ftp, ssh, mysql, пароли на администрирование сайта (пароли cms)

— "Зачем все так сложно? Я вот просто убрал из шаблона сайта строчку с вирусом, и у меня теперь все хорошо."

Вам повезло. Но нельзя считать хакера глупышом. Обычно если вирус не дотерт, он возвращается. И возвращается в значительно более хитром и зашифрованном виде, и его удаление становится на порядок более сложной задачей.

+ ⇥ Сканер AI-Bolit

+ ⇥ Антивирус Manul от Яндекса

+ ⇥ Смотрим видео от Yandex школы вебмастеров №9 и файлы/ссылки к видео.

 Источник 

coderhs.com

Что делать если взломали сайт

Если ваш сайт взломали, самое простое решение – обратиться к специалистам. Но если вы чувствуете в себе силы и у вас достаточно свободного времени можно восстановить работу сайта самостоятельно.Ниже мы попытались максимально описать последовательность действий при взломе сайта.

Итак — “Путь настоящего ниндзя” или какие меры можно принять самостоятельно.

1. Сохраняйте спокойствие2. Проверьте свой компьютер и компьютеры людей работающих с сайтом3. Поменяйте пароли к сайту4. Сделайте резервную копию5. Свяжитесь с хостинговой компанией6. “Простой вариант”7. Проверка файлов на содержание вредоносного кода8. Сделайте резервную копию9. Обновляемся10. Опять меняем пароли11. Установите защиту вашего сайтаНекоторые рекомендации

1. Сохраняйте спокойствие.

broken-shieldВам необходимо сохранять спокойствие, чтобы не наделать ошибок и исправить последствия взлома. Ваш сайт уже взломали. Смиритесь. Необходимо починить сайт и предотвратить взлом в дальнейшем.Мы серьезно. Глубоко вздохните и приступайте к работе.

2. Проверьте свой компьютер и компьютеры людей работающих с сайтом.

Часто причиной взлома являются троянские программы на вашем компьютере ворующие пароли от FTP/WEB/SSH доступа от вашего сайта.Установите антивирус на компьютер. Скачайте последние обновления и проведите ПОЛНУЮ проверку вашей системы.Если у вас нет антивируса, можно воспользоваться любой бесплатной версией (к примеру, DrWeb CureIt).

3. Поменяйте пароли к сайту.

pass_renewНеобходимо поменять все пароли доступа к сайту. Хостинг, FTP, SSH, База данных – абсолютно все. Выбирайте сложные пароли. Избегайте паролей типа: 12345, qwery, 01011980. Лучше если ваши пароли будут содержать прописные, заглавные буквы и цифры.Запишите их. Не давайте никому без необходимости.

4. Сделайте резервную копию.

Если база данных и файлы сайта все еще на месте, сохраните их. Они вам могут понадобится для: выяснения причин, поиска зараженных и поврежденных файлов или в случае неудачной попытки восстановить работу сайта.Пометьте копию как “Копия взломанного сайта”.

5. Свяжитесь с хостинговой компанией.

Обычно хостинг компании сами делают резервные копии сайтов клиентов. Не стоит сильно надеяться, но в вашем случае все меры хороши. Попытка не пытка.Спросите у них за какие даты у них есть копии вашего сайта и если у них есть датой МЕНЬШЕ даты взлома, попросите восстановить.Если сайт восстановил работу, принимайте наши поздравления, вы отделались легким испугом. Но работа еще не закончена переходите сразу к пункту 8.

6. “Простой вариант”.

Если вы знаете какая версия CMS, плагинов, модулей и тем использовалась у вас на сайте можно сделать следующее:

  • Удалите все файлы из директории вашего сайта. Вы ведь сделали резервную копию?
  • Возьмите дистрибутив вашей CMS и запишите в директорию сайта. Скачать дистрибутив обязательно с официального сайта разработчиков.
  • Восстановите конфигурационные файлы из резервной копии.Для WordPress это файл wp-settings.phpДля Joomla это файл configuration.phpА так же файл .htaccess
  • Проверьте файл .htaccess на предмет взлома. Часто этот файл используют хакеры для перенаправления заходов с поисковых систем или мобильных устройств на другие сайты. Проверки “дописки” в начале и конце файла на наличие redirect’ов на неизвестные вам сайты.

Проверьте открывается ли сайт. Если открывается, примите поздравления. Теперь можно зайти в “админку” и установить недостающие плагины и модули необходимые для нормальной работы сайта. Но работа еще не закончена переходите сразу к пункту 8.

7. Проверка файлов на содержание вредоносного кода.

Теперь начинается основная часть работы. Вам предстоит найти и удалить весь вредоносный код.Вы можете воспользоваться нашими услугами или сделать это самостоятельно, но это может занять ДЛИТЕЛЬНОЕ время.Основная проблема в том, что для этой работы не подойдут обычнее антивирусы. Принцип их работы максимально обеспечить безопасность посетителя вашего сайта. Поэтому зараженный файл они просто “бьют” на этапе загрузки страницы.Вам же необходимо найти “врезки” вредоносного кода. Аккуратно, как хирург, вырезать вставленный хакером код, сохранив при этом функциональность скриптов.Быстрее проверить наличие кода в резервной копии, которую вы создали. А уже обнаружив поврежденные файлы исправить их непосредственно на хостинге.Для поиска кода можно воспользоваться программой aibolit. Но она вам только подскажет подозрительные участки кода ничего сама не исправив. Решать вредоносный код или нормальный придется вам.Если текст на этой картинке для вас непонятен, даже не пытайтесь сделать это сами.

Troj/JSRedir-LH

Troj/JSRedir-LH

Заказать удаление вирусов с сайта и защиту от взлома вы можете у нас, заполнив форму заявки справа на этой странице.

8. Сделайте резервную копию.

Не надейтесь на хостинг. В нужный момент резервной копии может не оказаться.Перед дальнейшей действиями необходимо сделать резервную копию файлов и базы данных.Назовите копию “Рабочий сайт”.

9. Обновляемся.

ru_programs_trustТеперь когда ваш сайт восстановлен необходимо обновить все используемое программное обеспечение. Саму систему управления, темы, плагины, модули – все по максимуму.Дело в том, что система управления сайтом это такое же программное обеспечение как и Windows на вашем компьютере.Рано или поздно в программном обеспечении находят уязвимости, которые используются хакерами для распространения вирусов и подобной гадости.Выполнить обновление можно через “админку” сайта предварительно прочитав инструкцию по установке на сайте производителя.В случае неудачи у вас же есть резервная копия?Запомните, что за обновлениями надо постоянно следить.

10. Опять меняем пароли.

Вам необходимо поменять пароли после того как ваш сайт очищен. Так что если вы поменяли пароли при обнаружении взлома, поменяйте еще раз.

11. Установите защиту вашего сайта.

Мы предлагаем установить защиту от взлома на Ваш сайт. Это не дорогая услуга позволит вам забыть о проблемах взломов и заниматься бизнесом.Просто заполните заявку на сайте и мы с вами свяжемся.

Некоторые рекомендации:

  • Устанавливайте программное обеспечение для вашего сайта только с официальных сайтов.
  • Следите за обновлениями используемого программного обеспечения.
  • Не раздавайте пароли доступа к сайту без необходимости.

www.secbot.org