Вирус на сайте — что делать и наша история. Вирус на сайте


Вирусы на сайте и позиции сайта в Яндексе / Хабр

Недавно мы столкнулись с весьма неожиданным и даже опасным явлением, о котором пойдет речь далее. Этот пост заинтересует всех, кого волнуют позиции собственного сайта в поисковой системе Яндекс. Возможно, наш опыт позволит кому-то не повторить чужих ошибок, а также оперативно исправить их. А также мы немного расскажем о нашем антивирусе для сайтов (а точнее, о целой системе защиты сайтов) — SiteGuard, который поможет максимально снизить риск заражения сайта. А значит — избежать потери клиентов, нервов, времени, денег.

Вирус попадает на сайт
На один из сайтов клиентов нашей Студии недавно под покровом ночи пробрался вирус, разместил в конце файла index.php незатейливый javascript-код с эксплоитом для IE 6-7 и FF 1-2 (сценарий довольно обычный). Вирус на сайт пробрался, вероятно, потому, что наш коллега, от которого нам «в наследство» перешел данный сайт для части работ, сохранял пароли прямо в FTP-клиенте (этого делать не надо ни в коем случае). Далее имеем зараженный локальный компьютер — воровство паролей из FTP — зараженный сайт. Все сайты клиентов подключены к нашему же антивирусу, который оповестил нас, как только нашел вирус, поэтому уже через три часа после заражения последний был удален, все пароли сменены, но… по роковой случайности в эти часы на сайт «наведался в гости» робот Яндекса, переиндексировал сайт, и вирус вместе с ним. Вот тут-то и началось самое интересное.
Сайт выпадает из Яндекса
Надо сказать, сайт клиента весьма неплохо чувствовал себя в поисковых системах. Отлично, прямо скажем, чувствовал — первые места по интересующим запросам. И тут, просматривая утром ежедневную статистику позиций подотчетных сайтов в поисковиках, замечаем, что упомянутый ранее сайт потерял все свои позиции. Совсем. Нет его в Яндексе, даже на 500-й позиции, даже в провинциальных городах, не говоря уж о московской выдаче. Надо заметить, что апдейта в этот день не было (стандартное колебание, не превышающее полпроцента). Добавляем сайт в Яндекс.Вебмастер (по старинной примете сайты, у которых все хорошо, туда не добавляем просто так), видим, что Яндекс нашел вирус на сайте. Для ускорения ситуации идем на страницу безопасности и жмем кнопку, мол, удалили все давно, промодерируйте скорее. К концу дня Яндекс снимает с сайта статус «заражен вирусом» (в Вебмастере), но позиции не возвращает. При этом в индексе находится много провирусованных сайтов, не потерявших позиции, но с пометкой «этот сайт может угрожать безопасности компьютера». Почему выкинули именно наш — непонятно (любопытно было бы увидеть тут ответ Яндекса). Ну ничего, вернется: Яндекс же дал знать, что все в порядке. Письмо даже прислал.
Дальнейшее развитие событий
Не обнаружив на следующее утро сайт на привычных позициях (а, по-правде сказать, вообще ни на каких не обнаружив), пишем письмо уважаемому «Платону Щукину», прямо из панели Яндекс.Вебмастер. Получаем ответ о том, что все в порядке, все скоро будет, ждите. Ждем, ждем, ждем. Клиент беспокоится – сезон в разгаре, покупатели не находят сайт, уходят к конкурентам. Проходят дни.
Возвращение в индекс
Спустя две недели переживаний, сомнений, переписок, танцев с бубном, наращивания ссылочной массы, сайт стал постепенно возвращаться в выдачу, причем независимо от апдейтов Яндекса. Так, 7-го апреля (апдейт был) в индексе «проклюнулся» на 19 место один маленький запрос. По своему опыту вытаскивания сайтов из-под вирусов мы знали: это хороший знак. Уже на следующий день (апдйта не было) в индексе Яндекса показалось абсолютное большинство запросов, но на позициях с 10 по 20. А вчерашнее 19-е место подросло до 18-го. Неплохо, но до прежнего ТОП-1 ой как далеко! И вот сегодня, 9-го апреля (апдейт был) сайт вернулся в выдачу. Почти все прежние запросы вернулись на 1-е места, кроме одного, который поднялся лишь до второго (что, впрочем, тоже хороший результат, и мы уверены, что он тоже попадет на 1-е место, сайт-то хороший). Все счастливы, всем спасибо.
Выводы, коротко и по делу
  • Вирусы на сайте губительно влияют на позиции сайта в поисковых системах, необходимо следить за безопасностью сайта, уязвимостями, а также запрещать сотрудникам сохранять пароли в ftp/sftp/ssh клиентах и браузерах.
  • В алгоритмах построения выдачи Яндекса существует внешний фильтр «ой, вирус» (мы конечно не знаем названия фильтра, но пусть так будет). Фильтр «ой, вирус» в зависимости от неустановленных причин может просто пометить сайт как «угрожающий безопасности», а может и полностью исключить из выдачи. При этом все манипуляции с выдачей (исключение, восстановление) происходят независимо от «апдейтов» поисковой базы, в так называемое «междуапье», и апдейты этого фильтра происходят ежесуточно (эдакий «быстробот»).
  • В посте описана ситуация с Яндексом, но вполне могла произойти и с Google. Алгоритм действий – аналогичен, только ждать, придется еще дольше.
  • Используйте современные средства наблюдения за сайтом — антивирусы для сайтов. В посте упоминается бесплатный антивирус для сайтов SiteGuard, это наша секретная разработка, которую мы можем смело рекомендовать к использованию, и сами пользуемся именно ей уже полтора года. Кроме информирования о вирусах (e-mail, SMS, ICQ), есть и еще приятные плюшки, например, наблюдение за доменами. На сайте имеется также обширная база знаний по проблемам безопасности сайтов и вирусах на сайтах.

Если тема окажется востребована, мы постараемся провести сравнение доступных антивирусов для сайтов, и опубликовать результаты тестирования на Хабре.

habr.com

Вирус на сайте - что делать и наша история

19 января мы получили сообщение от Яндекса: «Яндекс обнаружил на сайте life-trip.ru вредоносный код». После чего в Яндекс.вебмастер появилась пометка: «В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера». В течении 3-4 дней сайт так и висел помеченным, как опасный, хотя все было исправлено пару часов спустя. Некоторые бразузеры так же используют информацию от Яндекса, поэтому они тоже заблокировали наш сайт. Трафик упал в несколько раз и доход соответственно тоже. В эти минуты понимаешь, как плохо, когда завязка идет на один сайт и на поисковой трафик. Чуть что поисковикам не понравилось и все…

Но сейчас уже все в порядке!

Содержание статьи

Проверка сайта на вирусы онлайн

Немного ссылок в помощь, хотя ни один из антивирусов ничего не показал. И только те сайты, что проверяют наличия сайта в базах опасных сайтов, показали, что Яндекс нас отметил.

http://webmaster.yandex.ru — Яндекс.вебмастер показывает какие страницы зараженыhttps://www.google.com/webmasters/tools/ — панель вебмастера от Google (в разделе Диагностика/Вредоносные программыhttps://www.virustotal.com/ — проверяет, что говорят поисковики и другие системыhttp://2ip.ru/site-virus-scaner/ — тоже самое, но проверка только по Гуглу и Яндексуhttps://www.stopbadware.org/clearinghouse/search — этот сервис информирует google и mozilla о вирусахhttp://vms.drweb.com/online/ — антивирус доктор web, онлайн проверкаhttp://sitecheck.sucuri.net/scanner/# — проверка на вирусы, в отличии от предыдущего вирус показалhttp://antivirus-alarm.ru/proverka/ — проверка по нескольким базам анитивирусовhttp://virusscan.jotti.org/ru — проверят только файлы (можно сохранить страницу сайта как html и загрузить ее) по различным антивирусамhttp://www.bertal.ru/ — можно посмотреть код страницы вашего сайта, как он видится поисковиками, полезная вещь

А лучше всего написать хостеру, у нас этот вопрос именно так решился. Самостоятельно найти вредоносный код не удалось. Руководства писать никакого не буду, вот здесь неплохо написано об этом.

Основной метод — это просмотреть код страницы на наличие там всякой ерунды, а после проверить все подгружаемые скрипты js и php файлы вашей темы, не изменилось ли внутри них чего, проще всего по размеру файлов смотреть, если добавился туда код, то размер будет больше ,чем у оригиналов. В идеале, нужно проверять вообще все файлы на хостинге, на предмет их изменения, а также появления новых левых файлов. Как вариант, скачать все файлы вашего хостинг-аккаунта себе на комп и проверить несколькими антивирусами, но не факт, что они что-то найдут.

Вирус на сайте - что делать

Вирус на сайте - что делать

Наша история с вирусом

Каким-то образом был изменен jquery.cycle.js в нашем wordpress шаблоне. После его удаления и закачки из бекапа, хостер сказал, что вредоносных кодов больше нет. Достаточно оперативно все произошло. Проблема скорее всего была не серьезная, скорее это не вирус, а просто вредительство, иначе бы пришлось бы дольше возиться. Начитался разных историй, как народ вычищает вирус, а он опять появляется.

Как это произошло с нашим блогом, осталось загадкой. Если бы я сохранял пароли для ftp Total Commander, было бы понятно откуда ноги растут, но я знаю, что этого делать нельзя.

В тот же день я сменил пароли на всех блогах, на ftp-аккаунте и хостинге, у sql- баз сайтов и прогнал ноутбук двумя антивирусами. Надеюсь, что больше не проскочит ничего. Но нужно будет еще почитать на эту тему.

Вполне может быть, что проблема была и в том, что у нас в шаблоне загрузка jquery идет с ajax.googleapis.com, даже на хабре эта тема всплыла, причем почти в тот же день, что наводит на размышления. Скачал на всякий случай jquery на хостинг, чтобы он подгружался оттуда.

Перепроверка сайта Яндексом

Подал на перепроверку в Яндекс.вебмастер: «Оставлена заявка (19.03.2012 00:00) на перепроверку сайта, она займет несколько дней.» И только на 4-й день произошла эта долгожданная перепровека. У кого-то, судя по форумам, она может и через месяц произойти, а у кого-то и через 2 часа.

Что советуют для ускорения:

— Написал в техподдержку в тот же день, но ответили они только через 4 дня, как раз вместе со снятием блокировки.— Нужно привлечь внимание ботов, поэтому я выпустил две статьи на этой неделе.— Еще внимание ботов можно привлечь через этот сервис http://www.imtalk.org/ или по каким-нибудь соц закладкам прогнать, но этого сделать не успел.

Вот как-то так. Надеюсь что-то из написанного поможет в борьбе с вирусами. Что-то в последнее время атаки стали более частными явлениями :(

life-trip.ru

Вирус на сайте? Удаление вредоносного кода » Блог. ArtKiev Design Studio

Все наверняка слышали о вирусах, которые "магическим образом" проникают на сайт. Веб-мастер может и не подозревать, что на одном из его проектов завелся вредоносный код. За нашу практику такой код нам приходилось удалять десятки раз. Как же вирус проникает на сайт, чем это вредит сайту и что делать если вирус уже испортил файлы? Способов решения этих вопросов не мало но и не много.

Как вирусы проникают на сайт?

Как уже говорилось, способов несколько, вот одни из них:

  • Украден или подобран пароль от сервера FTP или SSH
  • Украден или подобран пароль от панели администратора сайта
  • Сайт банально взломан (найдена уязвимость, туда залит шел или другие скрипты для удаленного эксплуатирования сайта)
  • Неопытный веб-мастер загрузил сам того не зная вредоносный код.
  • Неправильно настроенный хостинг. На хостинге, как правило, размещаются десятки сайтов - один из них мог подвергнуться одному из вышеперечисленных пунктов и посредством листинга директорий был залит вредоносный код на каждый сайт на уязвимом сервере

Если на сайте вирус - как это вредит сайту?

Негативным влиянием на сайт будет то, что у массы пользователей (у которых стоят антивирусные программы), которые зайдут на него, выскочит окно в котором будет предупреждение, что на сайте вирус (поверте, многие из них не вернуться больше на сайт и один из важнейших поведенческих факторов будет сильно страдать от этого). Самое плохое - то, что поисковики начнут в поисковой выдаче писать, что сайт может нанести вред компьютеру и львиная доля поискового трафика (а ведь это потенциальные клиенты на товар, который вы продаете через сайт или услуги) просто потеряется. Так же - существуют базы, в которых заносятся сайты, на которых когда-либо были найдены вирусы. Эти базы так же влияют на позиции сайта.

Что же делать? Как удалить вирус с сайта?

На самом деле лучше всего не допускать проникновения вредоносного кода на сайт. Если же это произошло - то необходимо очень оперативно реагировать на этот факт и принимать действия для очистки сайта. Если знаний или времени не хватает - можно обратиться к специалистам. Очень важно понять откуда именно на сайте появился вирус. Если "дырку" не закрыть - он будет появляться там еще много раз. Нужно проанализировать лог-файлы сервера и нужно проанализировать лог-файлы сайта и исходя из анализа - приступить к восстановлению первозданного вида веб-ресурса. На сегодня есть десятки разновидностей вирусов, которые живут на сайтах (это и ботнеты и трояны и разные мелвари и брутеры и логеры и т.д.) - если вовремя не навести порядок - то труды и финансы, потраченные на разработку и раскрутку сайта - могут улетучится.

Рекомендации

1. Всегда делайте бекап (резервную копию) сайта. Желательно делать ежедневный бекап основных скриптов сайта и базы данных и еженедельный бекап файлов и изображений. Также, желательно хранить бекапы несколько недель. Бекапы нужно стараться не держать на хостинге, а копировать на другой сервер или же к себе на компьютер. Бекапы можно делать разными способами - все зависит от возможностей хостинга и свободного времени.2. Старайтесь хоть раз в неделю анализировать свой сайт на предмет вредоносного кода3. Максимально ограничивайте доступ к фтп, ссш и административной панеле сайта. Способов для этого - масса.

artkiev.com