Обнаружение и устранение вирусов на сайте в 3 шага. Проверить сайт на вирусы через ftp


Чем можно просканить ФТП на вирусы [Архив]

Просмотр полной версии : Чем можно просканить ФТП на вирусы

Boombato

21.07.2008, 13:43

Можно ли это сделать с помощью НОД32?

ммм можно конечно но все зависит от того какой доступ

обрисуйте ситуацию

Boombato

22.07.2008, 02:16

Собственно есть НОД 32 и есть доступ к фтп.

А как его заставить просканить ФТП?

Собственно есть НОД 32 и есть доступ к фтп.А как его заставить просканить ФТП?Я как-то пробовал не получилось. А сослуживец с помощью касперского как-то смог. Можно скачать сайт с фтп на комп и проверить - опасности для компьютера нет. Или залить на фтп чистую копию.

Поставь программу FtpDrive (создает виртуальный диск на базе подключения к ftp-серверу) и тогда можно проверять этот диск как любой локальный любыми антивирусами

Можно ли это сделать с помощью НОД32?- а чем вызвана необходимость проверять сайт на вирусы? Вирусы в HTML/PHP/GIF/PNG/ и т. п. ?

Boombato

22.07.2008, 13:59

7910, вирус то там точно есть его надо вылечить или же удалить.

Brim.ru, честно говоря не знаю в каком из файлов, грешу на пхп.

Boombato, А хостера попросить проверить на вирусы и шелл коды папку ?

7910, вирус то там точно есть его надо вылечить или же удалить, честно говоря не знаю в каком из файлов, грешу на пхп.- скопируйте по FTP на локальный компьютер и проверьте любым антивирусом :) но скорее всего вирус не у хостера и не на сайте, а в Вашем FTP-клиенте - многие "ломаные" FTP-клиенты доступные в сети содержат трояны для FTP-доступа к сайтам и после настроек FTP начинают модифицировать странцы сайта по FTP - попросите у хостера FTP-лог и возможно окажется что Ваш FTP-клиент живет "своей жизнью" ;)

Если речь идет про iframe, то антивирусы вам непомогут...

Boombato

23.07.2008, 16:42

JonnyB, а что за iframe???

Скопировал сайт на хард авп нашел Trojan-Clicker.HTML.Iframe.jb

Boombato, оно и есть. Это когда в вашу страницу встраивается тег iframe 1х1 пиксель, который фактически подгружает еще 1 страницу незаметно для вас. Чаще всего на этой странице эксплойты, цель - затроянить вашу тачку. И как, авп вылечил? У мну дрвеб и аваст, они ненаходят..

Avira и NOD на iframe кричат. Только почему - то предлагают только удалить файл и блокируют его, приходится вырубать антивирус и править блокнотом. Не понятно неужели разрабам так трудно было дописать чтобы антивирус просто удалил место в коде где ифрейм с трояном..

Boombato

23.07.2008, 19:00

Комп, просканировал.

А вот ФТП не пойму как может нужен Kaspersky Internet Security а не просто антивирус

Комп, просканировал.

А вот ФТП не пойму как может нужен Kaspersky Internet Security а не просто антивирус- на сайте проблему нашли, удалили- FTP-клиент проверили, проблем нет- смените для верности FTP-пароль (попросите хостера)- подумайте как еще кроме как через FTP мог вирусняк залезть к Вам в страницу, варианты:а) у Вас дырявые скрипты на сайте (если используете готовые поищите в сети аналогичные проблемы с этими скриптами)б) у хостера криво настроен хостинг (мало вероятно но бывает) и вирусняк гуляет по серверу

Boombato

23.07.2008, 19:48

На сайте проблема осталась в ифреймах,

Я хочу проверить ФТП на вирусы с помощью АВП, только не пойму как это сделать :(

На сайте проблема осталась в ифреймах - ну и перезалейте по FTP страницу, Вы же ее исправили?

Я хочу проверить ФТП на вирусы с помощью АВП, только не пойму как это сделать :(- а FTP это кто? FTP-клиента Вы проверили на локально компе, кого еще проверять? FTP-протокол? :)

Закройте доступ для всех кроме вас к вашему фтп. Большинство троянцев просто коммуниздят пароли из тотал коммандера и шлют на другую тачку, а оттуда уже входят на ваш фтп итдитп..

Вирусня на фтп вручную вычищается

vBulletin® v3.8.6, Copyright ©2000-2018, Jelsoft Enterprises Ltd. Перевод: zCarot

searchengines.guru

Лечение сайта от вирусов . Как самостоятельно бесплатно удалить вирус с сайта

Если у Вас возникнут какие-то дополнительные вопросы, пожалуйста, не стесняйтесь обратиться в нашу службу поддержки. Мы всегда рады Вам помочь!

Статья  актуальна для большинства систем управления сайтами (Joomla, Bitrix, DLE, Drupal, vbulletin, ipb, phpBB и т.д.). Перед тем как приступить к очистке сайта от вирусов, обязательно проверьте и очистьте свой компьютер от вирусов, а также все компьютеры с, которых вы имеете доступ к управлению сайтом. После очистки компьютера, нужно сменить все пароли доступа к сайту (ftp, баз данных mysql, пароли от административной части сайта и пароль от административного email ящика, указанного в настройках сайта, если такой имеется). Перед тем как начать работу с сайтом обязательно сделайте его резервную копию.

Внимание! Никогда не сохраняйте пароли в своих браузерах и настройках FTP клиентов!

Если Вы начинающий вебмастер, рекомендуем начать очистку с новой, упрощённой версии статьи: лечение сайта от вирусов бесплатно.

1. Диагностика.

Диагностика проводится по следующей схеме, от простого к сложному:

1.1 Ищем в исходных кодах файлов и/или html страницах сайта  вхождения слов "iframe" и "javascript". Анализируем найденные участки кода и внешние ява-скрипты на предмет чужеродности. Особое внимание стоит уделить iframe нулевой или малой высоты и ширины, а также запутанным ява-скриптам в одну строку с использованием функций unescape, eval, String.fromCharCode. Также в вредоносных скриптах не редко встречаются конструкции document.write со вставкой другого iframe или javascript, или вставкой meta тега (или ява-скрипта) с редиректом. Если в ява-скрипте, iframe или редиректе присутствует любой чужой домен (не Ваш и не размещенный там Вами) - это сигнал тревоги, даже если на домене пусто или там нормальный сайт. Вирусы чаще всего распространяются "каскадом", когда вирусный код оказывается только на третьем - пятом фрейме или редиректе.

1.2 Проводим аналогичный анализ по подгружаемым внешним ява-скриптам. Во внешних css ищем behavior, содержащие чужеродный код.

1.3 Если на сайте есть изображения, загружаемыес других сайтов - проверяем, что выдается при открытии браузером этих картинок. При этом referer и user-agent должны быть такими же, как при обычном открытии страницы Вашего сайта с этой картинкой. Если вместо картинки выдается редирект, запрос пароля или иное чужеродное содержимое - это как правило вирус.

1.4 Перечисленные в пп. 1.1-1.3 действия необходимо выполнить с запросом страницы и скриптов несколько раз, в идеале с разных ip, с разными cookies и разными user-agent (браузерами) поскольку вирусный кодможет выдаваться случайным образом либо только тем броузерам, которые уязвимы, либо только поисковику, либо по иному критерию.

1.5 Добавляем сайт в Яндекс-вебмастер и Google-вебмастер, в некоторых случаях эти сервисы дают указание конкретного вредоносного кода, либо доменов, с которых подгружается вирус.

1.6 Если Вы зашли на зараженный сайт с включенным javascript в браузере (чего вообще-то лучше не делать), то Ваша антивирусная программа может дать список угроз, которые были обнаружены при посещении сайта. Из этих данных также можно выделить список вирусных доменов.

1.7 Смотрим коды http-ответов сервера на предмет редиректов разными user-agent и с разных ip адресов, поскольку зачастую редирект выдается случайным образом либо используется клоакинг. Иногда вирус ведет дневники выдает редирект или попап только один раз каждому посетителю.

 

2. Удаление вируса.

Знание, какой именно код вирус выдает посетителям сайта, помогает найти на сервере источник проблемы. Если в ходе диагностики выдаваемый посетителю вредоносный код не был конкретизирован - не беда, очистка может быть успешно проведена и без этого, просто будет намного сложнее.

2.1 Скачиваем себе на локальный компьютер все файлы сайта, делаем резервную копию перед проведением очистки.

2.2 Проводим полнотекстовый поиск (по самим файлам, а не только по ихзаголовкам), ищем вхождения найденного в пп. 1.1-1.3 и найденных в пп. 1.5 и 1.6 вирусных доменов. Альтернативный вариант - вести поиск прямо на сервере специальным серверным скриптом.

2.3 С помощью ssh команд либо серверного скрипта находим на сервере все файлы сайта, которые были изменены в день заражения сайта и изучаем их на предмет внешних нежелательных дополнений. Это могут быть:

  • include файлов с вирусных доменов (не зависимо от того, разрешен ли удаленный include по данным phpinfo),
  • eval полученных с других сайтов данных,
  • eval декодированных функцией base64_decode данных,
  • обфусцированный php-код,
  • переопределенные функции,
  • include или eval внешних данных, передаваемых скрипту через глобальные массивы GET, POST, COOKIE, SERVER ('HTTP_REFERRER','HTTP_USER_AGENT' и др.), обычно являющееся backdoor,
  • посторонние коды ссылочных бирж (часто целью взлома сайта является продажа с него ссылок),
  • http-заголовки с редиректом на вирусные домены, отправляемые функцией header,
  • exec, system, popen, passthru и другие функции, выполняющие вызов программ, если их использование не предусмотрено cms. Если cms не задействует данные функции, а также функцию eval, то лучше вообще их отключить в php.ini,
  • бэкдоры в триггерах mysql,
  • auto_prepend_file или auto_append_file в php, с бэкдором или вирусным кодом,
  • в очень редких случаях команда запуска лежащего в tmp вирусного файла запускается пользовательским crontab.

 

При анализе нежелательных дополнений может помочь знание кода, выясненого в ходе диагностики (п.1).

Помимо выдачи посетителям вредоносного содержимого, перечисленные выше чужеродные вхождения могут представлять собой web shell или backdoor, с помощью которых злодей контролирует Ваш сайт.

2.4 Делаем дамп базы данных, и изучаем аналогично п.1.1, но с учетом того, что в базе код может быть преобразован в мнемоники и вместо <iframe> будет &lt;iframe&gt;

2.5 Удаляем все чужеродные вхождения, обнаруженные в ходе работы по перечисленным выше пунктам.

2.6 Проверяем работоспособность сайта, его функционал. Иногда вирус затирает собой важные файлы или нарушает их синтаксис, и после очистки обязательно надо все восстановить. В очень редких случаях вирус затираетвсе так, что файлы сайта уже невосстановимы. Хорошо, если есть копия у хостеров или подключена услуга резервное копирование.

2.7 Создаем резервную копию очищенного сайта. В случае повторного заражения можно будет восстановить сайт из этой резервной копии.

Если остановиться на этом, то на следующий день либо в пятницу вечером на этой же неделе произойдет повторное заражение сайта и все с начала. Поэтому необходимо двигаться дальше.

 

3. Выясняем и ликвидируем причину заражения.

3.1 В первую очередь необходимо проанализировать лог веб-сервера и лог ftp, найдя в них время, предшествовавшее заражению. Если имеется логошибок php и лог командного интерпретатора, они тоже могут оказаться полезны. Иногда в логах бывает достаточно данных, чтобы определить источник заражения сайта. Но нельзя ограничиваться только закрытием первоначальной проблемы, необходим комплексный подход.

Самые распространенные пути заражения:

  • похищение ftp паролей,
  • уязвимости в движке (cms),
  • заражение от соседних сайтов на том же сервере,
  • уязвимость утилит на сайте или на сервере.

 

3.2 Похищение ftp паролей. Причины бывают разные:

  • использование ftp через бесплатный wifi, зараженный похищающим пароли вирусом, или с компьютера в зараженной локальной сети. Чтобы избежать такой утечки паролей, целесообразно поверх бесплатного wifi илиподозрительной локальной сети использовать платный VPN с шифрованием.
  • похищение паролей из ftp-клиента (например, похищение файлa wcx_ftp.ini из Total Commander) с помощью сайтового вируса, вируса в пиратской программе или вируса на флешке.
  • pfishing ftp-паролей (при входе на сайт seo-утилит или иной подобный сервис предлагают ввести ftp логин и пароль, либо под видом представтелей хостера под разными предлогами просят посетить якобы страницу смены ftp-пароля).

 

3.3 Уязвимости в движке (CMS).

Многие CMS все ещё содержат уязвимости типа SQL injection, source include, xss и др. Обычно сообщения об обнаружении таких уязвимостей появляются на сайтах поддержки данных CMS, например, http://dle-news.ru/bags/.В ходе очистки сайта необходимо закрыть все уязвимости, описанные на сайте разработчика CMS, а также проверить движок на наличие уязвимостей,добавленных туда при установке модов или ином дополнении функционала. Как движок, не имеющий подобных явных проблем можно порекомендовать UMI CMS.

Помимо собственно дыр в движке бывают ещё уязвимости, связанные с сочетанием определенных настроек движка и/или определенных настроек сервера. Например, если настройки сайта позволяют посетителям постить насайт картинки с других сайтов, то это автоматически увеличивает риск проблемы, упомянутой в п.1.3. Некоторые CMS не имеют явных уязвимостей, но в случае несоответствия настроек сервера системным требованиям эти CMS могут быть очень уязвимы. В ходе очистки необходимо уточнить соответствие сервера требованиям безопасности конкретной CMS.

3.4 Заражение от соседних сайтов на том же сервере.

Если Вы подключаетесь к своему сайту по ftp и не видите других сайтов, кроме своего - это ещё не значит, что от Вас нет доступа к соседям и от них нет доступа к Вам. Необходимо подключиться по ssh (еслихостер дает такую возможность) и проверить, не видны ли файлы других пользователей. Также пробуем подняться выше своей директории php файл-менеджером, или perl, или программами на других языках, работающих на этом сервере. Если такая возможность подняться выше и перейти в папкидругих пользователей есть - необходимо сменить хостинг, так как очисткав рамках отдельно взятого сайта в таких условиях невозможна.

 

3.5 Движок сайта может быть хорошим, но при этом у хостера могут стоять утилиты управления базами данных или скрипты статистики, имеющие уязвимости или пригодные для брутфорса. Это может быть phpMyAdmin с единой авторизацией для всех клиентов, что в сочетании с короткими паролями может дать успешный взлом управления базами и как следствие - добавление вирусного кода в хранящиеся в базе статьи или шаблоны. По возможности необходимо закрыть эти пути проникновения вирусов. К сожалению, это зачастую также означает смену хостера.

 

4. Меняем все пароли: ftp, ssh, mysql, пароли на администрирование сайта (пароли cms).

 

Зачем все так сложно? Я вот просто убрал из шаблона сайта строчку с вирусом, и у меня теперь все хорошо.

Вам повезло. Но нельзя считать хакера глупышом. Обычно если вирус не дотерт, он возвращается. И возвращается в значительно более хитром и зашифрованном виде, и его удаление становится на порядок более сложной задачей.

 

Если самостоятельное удаление вируса не увенчалось успехом, значит заражение слишком серьёзное. К Вашим услугам очистка сайта от вирусов специалистами WebGuard.pro

Еще записи по теме

webguard.pro

Обнаружение и устранение вирусов на сайте в 3 шага

Довольно часто причиной некорректной работы сайта являются вирусы. Под вирусами подразумеваются вредоносные программы или включения вредоносного кода в файлы сайта, которые нарушают стандартное функционирование. Основной причиной заражения являются действия злоумышленников, желающих обогатиться за чужой счет, например, получая деньги за трафик, перенаправляемый со взломанных интернет-ресурсов.

Не все пользователи четко представляют, что необходимо делать, если в работе сайта замечены какие-то сбои. Timeweb публикует советы о том, как определить, заражен ли ваш сайт и какие действия необходимо осуществить для устранения проблемы.

Как обнаружить вирус?

Первым шагом в решении проблемы должна быть диагностика. Исследуйте свои файлы на содержание лишних элементов:

  • Установите антивирусную программу, если ее еще у вас нет. Современные программы умеют определять вирусы, и если при заходе на сайт появляется предупреждение, значит вирус там точно есть. Однако, если предупреждения нет, это не значит, что сайт чист и заражения не произошло.
  • Проверьте время последнего изменения индексного файла в FTP. Он может называться index.html, index.php, default.php и т.д. Если последнее изменение было совсем недавно, а вы не обновляли информацию на сайте в это время, возможно страница была заражена.
  • Посмотрите исходный код страницы в своем браузере. Чаще всего вирусы располагаются в тегах <script> и <iframe>. Если внутри этих тегов вы видите неизвестные адреса сайтов или зашифрованную мешанину из букв и цифр - вероятно это и есть код вируса.
  • Воспользуйтесь сервисом Яндекс.Вебмастер. Этот удобный инструмент автоматически проверяет сайт на наличие вирусов при каждом обновлении, и может оперативно присылать на e-mail предупреждения, если вредоносный код будет обнаружен.

Также, если вы обнаружили, что нагрузка на сервер внезапно возросла, или хостинг-провайдер пишет вам, что с сайта идёт рассылка спама - вероятно ваш сайт был взломан и стал площадкой для размещения вредоносных программ.

Какие действия предпринять при заражении сайта?

Если ваш сайт заражен, не стоит паниковать или обвинять хостинг-провайдера в возникновении  проблемы. В абсолютном большинстве случаев хостер не имеет отношения к появлению вирусов на вашем ресурсе. Более того, хостинг-провайдер заинтересован в их скорейшем устранении, так как это может затронуть интернет-ресурсы других клиентов компании. Однако, чтобы убедиться, на чьей стороне проблема, уточните у хостера, является ли она массовой, или возникла только на вашем сайте.

Если проблема обнаружена только на вашем сайте, нужно исследовать, при каких обстоятельствах она возникла, и начать ее решение самостоятельно.

  • Выполните полную проверку собственного компьютера на вирусы.
  • После сканирования смените все пароли доступа к электронной почте, аккаунту на хостинге, приложениям браузеров и FTP-клиентам
  • Если вы используете популярную CMS, то возможно злоумышленник воспользовался ее уязвимостью. В этом случае нужно обновить CMS и ее модули до последних стабильных версий из официальных источников и отключить неиспользуемые или подозрительные модули.
  • Попросите хостера проверить общую временную директорию сервера.

Как удалить вредоносные файлы?

После того, как вы определите причину некорректной работы и обнаружите вредоносные файлы, вам необходимо их удалить. Для этого вы можете использовать возможности консоли сервера (доступ по SSH). Большинство хостинг-провайдеров предоставляет клиентам доступ к их домашнему каталогу по SSH по умолчанию или же по обоснованному запросу.

Даже если вы успешно и “безболезненно” справились с проблемой, мы рекомендуем периодически проводить профилактические меры, повышающие защиту вашего сайта. Ниже несколько советов, о том, как защитить ваш проект:

  • Не используйте устаревшие версии CMS и плагинов к ним. Следите за обновлениями.
  • После определения причины заражения сайта не ограничивайтесь только одним лишь его лечением. Проверьте всё, что кажется вам подозрительным.
  • Лучшая схема восстановления сайта после взлома - закрыть к нему доступ посетителей, найти причину взлома, восстановить сайт из бекапа и далее устранить уязвимость.
  • После устранения проблемы обновите CMS и убедитесь, что уязвимый компонент также обновился.

Перечисленные рекомендации помогут вам в короткие сроки самостоятельно устранить или, как минимум, обнаружить причину некорректной работы сайта. Помните, что надежный хостинг-провайдер всегда будет готов помочь решить проблему или дать необходимые рекомендации.

Выбрать тарифы надежного хостинга с качественной технической поддержкой. 

timeweb.com

Как проверить сайт на вирусы? — Вопросы и ответы — Джино

Проверить сайт на вирусы можно прямо в контрольной панели хостинга «Джино».

  1. Авторизуйтесь в личном кабинете на jino.ru и перейдите в панель управления хостингом.

  2. В разделе «Управление» выберите «Антивирус».

  3. На странице «Антивирус» нажмите на кнопку «Новая проверка» и в открывшемся окне укажите путь к сайту, который необходимо проверить. Чтобы правильно указать путь, вы можете воспользоваться функцией «Обзор» и выбрать папку с доменом сайта.

    Пример указания пути к папке с файлами сайта, который нужно проверить:

    Таким же образом вы можете проверить не только весь сайт, но и отдельную папку или файл сайта.

  4. Когда путь к сайту будет указан, нажмите кнопку «Начать проверку».

    Когда проверка на вирусы начнется, вы увидите дату и время проверки, путь к проверяемому объекту, сколько объектов проверено и сколько заражено. Данные обновляются автоматически, и как только проверка будет завершена, вы увидите оповещение.

    При переходе по ссылке откроются подробные результаты:

    Проверка сайта на вирусы может производиться в течение длительного времени. На работоспособность сайта это не влияет, и во время проверки он может работать в штатном режиме.

Примечания: Если сайт содержит большое количество файлов и папок, его лучше проверять на вирусы по частям.

Если вирусы на проверяемом сайте были обнаружены, то необходимо не только удалить их из файлов сайта, но и обязательно проверить на вирусы компьютер, на котором создавался и редактировался данный сайт. Вирусы попадают на сайты не с хостинга, а с зараженных устройств, у которых есть доступ к файлам сайтов.

Помните: если ваш компьютер или мобильное устройство не защищены от вирусов, то и ваши сайты будут под угрозой заражения. Найденные и удаленные с сайта вирусы могут возвращаться снова. В разделе «Антивирус» можно не только проверить сайт на вирусы, но и приобрести антивирус от Dr.Web на выгодных условиях.

Материал подготовлен пользователем «Джино» в рамках программы обмена опытом. «Джино» не несет ответственности за его содержание и не гарантирует корректность и актуальность представленной информации.

www.jino.ru

Вирус на сайте | Wiki — PeterHost

Wiki Вирус на сайте

Категория:Виртуальный хостинг -> Панель управленияКатегория:Виртуальный хостинг -> Инструкции -> Панель управления

Содержание

Иногда при попытке зайти на сайт Вы получаете предупреждение от браузера либо антивируса о возможной небезопасности Вашего сайта для компьютера. Происходит это потому, что Ваш сайт был заражен вирусом.

Заражая страницы вашего сайта, вирус, обеспечивает себе дальнейшее распространение. Обычно, он просто дописывает в конец индексных файлов тег <iframe>, но иногда шифрует код с помощью JavaScript и может помещать себя в самые разные участки страницы.

Иногда злоумышленники изменяют содержимое конфигурационных файлов .htaccess, вследствие чего с Вашего сайта происходит перенаправление на вредоносные или нежелательные страницы. В случае такого заражения обновляется дата последнего редактирования файла, что позволяет предположить, что Ваш сайт инфицирован.

Как вирус проникает на Ваш сайт

В большинстве случаев заражение происходит через FTP.

Компьютер, с которого Вы обращались к серверу по протоколу FTP, был заражён вирусом. Попадая на Ваш компьютер, вирус может легко найти данные авторизации для соединения в случае сохранения паролей доступа в FTP-клиенте. Также вирус может прослушать текущие подключения по FTP, что позволяет ему соединиться с сервером и произвести вставки вредоносного кода в страницы вашего сайта.

Что делать в данной ситуации:

  1. Тщательно проверить компьютеры, с которых ведётся работа с сайтом по FTP антивирусными программами с актуальными базами;
  2. Поменять пароли доступа к FTP (через Вашу панель управления, раздел «Настройки» пункт Аккаунт или к конкретному FTP-аккаунту в разделе FTP-аккаунты) и далее не сохранять пароль в FTP-клиенте;
  3. Очистить зараженные странички от вредоносного кода.

При условии, что заражение сайта произошло не более чем неделю назад, Вы можете восстановить сайт из резервной копии через панель управления.

Заражение через уязвимость в скриптах сайта

Обычно, вирус самостоятельно не использует уязвимость скриптов для распространения, а потому, в большинстве случаев, за заражением сайта стоит злоумышленник.Для того чтобы устранить уязвимости скриптов, необходимо обращаться к разработчикам скриптов за поддержкой.Регулярная установка обновлений безопасности CMS решает данную проблему.

Как определить источник заражения

Чтобы выяснить, каким путём произошло заражение Вашего сайта, можно проанализировать логи доступа.

Если Ваш сайт был заражён по FTP, то в логах Вы сможете обнаружить подозрительные соединения с сайтом, что позволит выяснить, какие именно действия производились с Вашим сайтом (файл xferlog в папке logs в корне Вашего домашнего каталога). Если в FTP-логах не обнаружено подозрительных соединений,то можно сделать вывод, что вирус попал на сайт через уязвимости скриптов. В этом случае информацию о пути заражения сайта можно получить из access логов.

Общие рекомендации для профилактики

  1. Отказ от сохранения паролей в FTP-клиентах.
  2. Использование SFTP соединения.Наши тарифные планы (исключая ТП Диоген, SINGLE и FAT) включают в себя возможность соединения по SSH, что позволяет шифровать передаваемую на сервер информацию, в том числе и Ваши пароли доступа.
  3. Использование антивируса с актуальными вирусными базами.
  4. Использование .ftpaccess позволяет ограничить доступ к FTP по IP адресам.

Для того чтобы создать ограничение, Вам необходимо создать файл .ftpaccess и добавить в него следующую директиву: <Limit ALL>Allow ваш_IPDenyAll</Limit>

Категории:

peterhost.ru

Как проверить сайт на вирусы

Как удалить вирусы с сайта?Проблема защиты сайта на WordPress очень актуальна. Так как эта CMS используется очень широко, то и вирусов для нее создается много. Наверное, каждый блоггер в какой-то момент попадает в ситуацию, когда его блог подвергается заражению.

Проще всего описать ситуацию на собственном примере. Как я проверил сайт на вирусы, обнаружил присутствие вредоносного кода и как удалил эти вирусы со своего сайта?

От своего хостинг-провайдера я регулярно, раз в сутки, получаю информацию о нагрузке на сервер. К сожалению, я не всегда открывал эти письма. Первое время в этих сообщениях не было ничего особенного, нагрузка была далека от лимита, и я перестал открывать письма.  А зря. В один прекрасный день мой сайт оказался заблокирован.

Кроме нагрузки на сервер, сообщения хостера содержат и информацию о процессах, на которые приходится максимальная нагрузка. Здесь я увидел странные ссылки: на инструкции к лекарственным препаратам, должностные инструкции и т. д.

Сообщение

Сообщение

Сообщение

Ничего подобного на моем блоге не было и нет. Но стало ясно , что на нем появился вредоносный код, от которого нужно срочно избавляться.

Как же проверить сайт на вирусы и удалить их?

Варианты следующие:

  1. Восстановление сайта из резервной копии. Это надежный способ, но он не всегда удобен. Конечно, для этого нужна копия незараженного сайта. Для этого необходимо выработать привычку регулярно делать бэкап. Кроме того, заражение можно обнаружить не сразу, поэтому трудно определить какую версию копии следует использовать. Да и делать откат далеко назад не хочется.
  2. Можно обратиться к специалистам, которые смогут удалить вирус с Вашего сайта. Но такие услуги платные и их стоимость может быть достаточно высокой.
  3. Можно попробовать сделать эту работу самостоятельно. Но как? Можно искать вредоносный код вручную. Для этого нужно сравнивать файлы Вашего сайта с аналогичными файлами такой же версии движка WordPress и соответствующей темы. Но этих файлов сотни, поэтому такая работа сложна и утомительна. Вряд ли такой метод кому-то понравится.

В Интернете я нашел и другое предложение. Скачать весь сайт на свой компьютер и проверить все файлы и папки с помощью антивирусной программы. Действительно, антивирус нашел один файл, содержащий вредоносный код. Кстати, на рисунке ниже можно увидеть, что он собой представляет.

Вирус на сайте

Сразу можно понять, что это что-то нехорошее.

Я заменил этот файл, но последующие сообщения о нагрузке показали, что не все вирусы удалены с сайта. Нужно было искать дальше.

Но все оказалось гораздо проще. Я приобрел курс А. Борисова «Как стать блоггером-тысячником 3.0» и, изучая его, узнал о плагине WordFence Security. Это уникальный плагин, который выявляет зараженные места и другие угрозы на вашем сайте.

Делает он это путем сравнения файлов сайта с такими же файлами, взятыми за эталон. То есть он делает то, что предлагалось выше, но выполняет это в автоматическом режиме.

Установив этот плагин, я быстро нашел зараженные файлы на своем сайте.

Итак, как проверить сайт на вирусы с помощью плагина WordFence Security?

Сначала скачиваем плагин по этой ссылке и устанавливаем на свой блог. Сделать это можно и через консоль управления и с помощью FTP-клиента. После установки активируем плагин и, он готов к работе. Настройки, используемые по умолчанию, можно не изменять. В меню панели управления у вас появится раздел WordFence Security.WordFence Security

Выбираем пункт Scan и запускаем сканирование. Через некоторое время вы получите результаты. Если на вашем сайте есть зараженные файлы, то они будут отображаться в списке ошибок.Возможные угрозы

Избавиться от зараженного файла можно в автоматическом режиме, нажав Restore the original version of this file, но я предпочитаю заменять его вручную. Для этого нужно иметь папку с чистым движком WordPress, его можно скачать на официальном сайте WordPress.org.

Так как плагин ищет ошибки путем сравнения файлов с эталоном, то в список ошибок могут попадать и не зараженные файлы. Например, у меня он показал ошибку, так как была установлена не последняя версия WordPress.  Могут регистрироваться ошибки в результате расхождений в файлах типа readme.txt, например, добавлен новый разработчик и т. д. Каждую ошибку нужно анализировать индивидуально.

Если возможная угроза не влияет на работу сайта, то можно нажать Always ignore this file, и при следующей проверке эта угроза показана не будет.

Кроме поиска зараженных файлов плагин имеет еще несколько интересных функций. Например, просматривать активность посетителей на сайте. Вкладка All hits в разделе Live Traffic отображает историю посещений и позволяет забанить посетителя, который пытается попасть туда, куда нельзя, например, в папки wp-admin или wp-content.

Вкладка Logins and Logouts показывает историю входа в админ-панель. Если здесь Вы увидите много попыток входа с ошибкой, то это значит, что кто-то, кроме Вас, пытается попасть туда без разрешения.

Плагин WordFence Security имеет достаточно большие возможности для защиты сайта на WordPress, но у него есть один серьезный недостаток. Он сам создает большую нагрузку на сервер. Поэтому, при большой посещаемости может произойти превышение лимита нагрузки. Что же делать? Я предлагаю не использовать этот плагин для постоянной защиты сайта, а активировать его для периодического сканирования и проверки на наличие угроз. Для постоянной защиты можно использовать другие средства, например, плагин iThemes Security, о котором я уже писал.

И так, как Вы уже поняли, плагин WordFence Security отличное средство для того, чтобы проверить сайт на вирусы.

А теперь попробую сформулировать основные действия, необходимые для защиты сайта на WordPress:

  1. Регулярно делаем резервные копии файлов сайта и БД.
  2. Не забываем анализировать информацию от хостинг-провайдера.
  3. Изменяем страницу входа на сайт.
  4. Создаем новое, отличное от «admin» имя пользователя и сложный пароль.
  5. Выполняем обновление движка до последней версии.
  6. Используем плагины защиты от взлома (например, iThemes Security), от спама (например, Antispam Bee).
  7. Используем плагин WordFence Security для периодического сканирования на наличие заражений.

Еще раз хочу сказать, что тема защиты сайта очень актуальна, поэтому прошу в комментариях поделиться своими методами защиты и борьбы с вирусами на сайте.

ПРОГОЛОСУЙТЕ ЗА СТАТЬЮ, НАЖМИТЕ КНОПКУ СОЦИАЛЬНОЙ СЕТИ.

Адаптивная, SEO подготовленная WordPress тема

kviter.ru