Что делать если сайт заражен вирусом? Заражен сайт


Зараженный сайт:очистка с Web Security Tools от JS:Redirector-MR

Описано очищение зараженных сайтов с помощью плагина Web Security Tools на примере избавления от вредоносного скрипта  JS:Redirector-MR

Подчеркну, что в данной статье JS:Redirector-MR был взят только в качестве примера. Метод хорошо работает и с другими вредоносными кодами.

В конце декабря 2011, когда разработчики Avast внесли в свои базы сигнатуру JS:Redirector-MR, была первая волна борьбы с JS:Redirector-MR. Сейчас, три месяца спустя,  подобному примеру, похоже, последовали сотрудники Лаборатории Касперского. И теперь уже некоторые обладатели Касперских, проснувшись по утру, не могут попасть на свой  родной сайт, заблокированный их любимым антивирусом. Тогда я описывал, как можно избавиться от проблемы, удалив код JS:Redirector-MR из файла function.php. Для многих после такого удаления проблемы кончались. Но не для всех. Появлялись комментарии, в которых люди сообщали, что со временем вредоносный код появлялся на том же самом месте, что свидетельствовало о более глубоком заражении.

Когда-то мне очень понравился антивирусный  вордпресс плагин Web Security Tools за его умение не только выявлять вредоносные скрипты, но и самостоятельно вычищать их. Единственной ложкой дегтя в бочке меда было то, что данный плагин ставит в футтер внешнюю ссылку, которую, за неимением временни я до сих пор не знаю как отключить. Подозреваю, что плагин по этой причине был изгнан из репозитория wordpress.org :). Но данный плагин обладает одним замечательным качеством. Если плагин не знаком с каким-то зловредом, то достаточно создать для него файл определения , чтобы Web Security Tools начал бороться с ним. То есть плагин хорош как для первичного удаления кода, так и для борьбы с рецидивами заболевания.

Скачать  Web Security Tools можно здесь

Установите и активируйте плагин. Web Security Tools удаляет не все вредоносные коды. Если после сканирования плагином Вы обнаружите, что Ваш вредоносный код не уничтожен, то значит плагин просто его не знает и дя него нужно создать файл определения с расширением static. Как это сделать, поясню на примере JS:Redirector-MR

Итак, код JS:Redirector-MR имеет вид:

Обнаружив такой код в файле function.php,  скопируйте его в блокнот и сохраните как redirector.txt, например. Но не удаляйте вручную. Затем переименуйте этот файл в redirector.static и поместите на хостинге в папку

wp-content/plugins/web-security-tools/phpwebsectools/modules/virus_clean/definitions

Теперь можно начинать охоту. Пройдя: Панель инструментов?Инструменты?WebSec Scan запустите сканирование плагином и дождитесь окончания. После чего плагин можно отключать. Если кода  JS:Redirector-MR на том месте, где Вы его нашли не осталось, то Вы все сделали правильно. Если код сидит на своем месте, то вы что-то намудрили с файлом определения и работу по его созданию нужно аккуратно и внимательно проделать заново. Если плагин не отключить, то у Вас появится неприкрытая внешняя ссылка, но зато при повторном заражении данным кодом, плагин незамедлительно ликвидирует его. Я проверял плагин, взяв из папки definitions безобидный файл example.static, имеющий вид:

При добавлении этого кода к файлам темы, плагин реагировал незамедлительно, удаляя .

Все действия, совершенные плагином по очистке можно посмотреть в файле websec.log, который располагается в корне папки public_html.

После завершения очистки инфицированного сайта разработчик рекомендует удалить плагин и установить его заново из чистой копии.

Более подробную информацию о работе плагина можно получить на форуме.

 

bezopasnostpc.ru

Что делать если сайт заражен вирусом?

Разработка и продвижение сайтов не первый год являются основным направлением деятельности нашей компании. И мы с уверенностью можем констатировать что заражение сайта вирусами - настоящая пандемия.

Заражение может произойти путем внедрения вредоносных кодов через различные скрипты на сайте, через взлом доступа к админке, через кражу логина и пароля к FTP, через дыры и т.п.

Это приводит к плачевным результатам:

  • заражение посетителей;
  • нарушение работы сайта;
  • и самое, пожалуй, страшное – сайт попадает в БлэкЛист поисковых роботов, таких как Гугл или Яндекс, что в свою очередь ведет к потере посетителей, а в случае бизнес – сайта к потере прибыли и репутации.

Заражен ли сайт можно узнать следующими путями:

  • при помощи антивируса;
  • можно определить заражение, проверив исходный код, например, в браузере нажав одновременно клавиши Ctrl+U;
  • гляньте на индексный файл – когда вносились изменения последний раз, если в это время Вы не обновляли информацию, тогда…
  • воспользуйтесь услугами Яндекс-Вебмастер или Google-Webmasters.

Ваш сайт подвергся заражению, что можно сделать?

Здесь все будет зависеть от степени заражения, от Вашего хостинг провайдера и т.д.

Первым способом решения этой проблемы будет обращения за помощью к специалистам, это особенно актуально для новичков. Так что ждем Вашего звонка!

Второй способ зависит от Вашего хостинга и аккаунта, доступен ли Вам бэкап сайта и делали ли Вы его регулярно. Если ответ положительный – смело «откатывайтесь» назад до заражения. Если бэкап делался хостингом, изложите ему свою проблему и просьбу «откатить» Ваш сайт на дату до заражения. Но здесь есть одно но – как давно сайт заражен? Если давно, очень большая вероятность что и бэкапы содержат вирус.

Если два предыдущих решения не доступны – придётся Вам заниматься этим вручную. Возможно, вирус не нанес существенного вреда и заражены всего несколько файлов, обычно это index.php и index.html. Но может быть, что заражению подверглись и другие файлы. Заблокируйте доступ на сайт, положив в корень сайта файл “.htaccess” – это для того что бы ни портить себе рейтинг в поисковиках. Далее скачивайте содержимое Вашего сайта на свой компьютер, желательно архивом и запускайте антивирус, как минимум половину работы он сделает. Чего не сделает он – придётся в ручную. Но все же это лучше, нежели заново начинать создание сайта. Постоянно следите за безопасностью Вашего ПК.

Проблема заражения может быть и в Вашем компьютере, не забывайте о достойной антивирусной программе на нем.Если заражение есть – обязательно поменяйте все пароли от сайта, как для доступа к «админке», так и для доступа к FTP, пароль к Вашему аккаунту на хостинге и т.д. Поскольку никто Вам не скажет, какую информацию получили злоумышленники.

Помните о безопасности, как ПК, так и сайта, соблюдайте все предосторожности и рекомендации. И надеемся, что Ваш опыт не будет печальным, успехов Вам!

www.it-puzzle.ru

Ваш сайт заражён вирусами | ATLEX.Ru

В данном случае есть два варианта:

1. Злоумышленники получили доступ к сайту посредством уязвимостей Вашего контента, и, в данном случае, Вам необходимо проанализировать все свои скрипты на предмет наличия эксплойтов, либо уязвимостей, через которые могли взломать Ваш сайт.

Обычно самыми уязвимыми являются движки сайтов, форума и гостевые книги (галереи), но уязвим может быть вообще любой скрипт, к примеру, если в скрипте не делается проверка передаваемых ему параметров.

Вам необходимо обновить все используемое программное обеспечение и в дальнейшем постоянно следить за выходящими обновлениями к Вашему ПО, используемому на сайте.

Здесь Вам помогут в разбирательстве логи http-доступа, доступные Вам в панели управления. Перейдите в панель управления аккаунтом Cpanel в раздел "Журналы" - "Необработанные журналы доступа" - нажмите на архив журнала, чтобы скачать его.

Но, в подавляющем большинстве случаев, Ваш контент никаких вирусов не содержит, чаще же всего в контент включается (через взлом скриптов или увод реквизитов) ссылка на внешний ресурс, на котором и размещён вирус.

2. Ваши учетные данные стали доступны злоумышленникам, и в этом случае Вам необходимо отключить все Ваши компьютеры от Интернета (физически вытащить разъем подключения) и проверить локальный компьютер, как минимум, 2-мя различными антивирусными программами, обновив перед этим их антивирусные базы.

Также проверить, установлены ли на Вашей системе все обновления безопасности от Microsoft: http://www.update.microsoft.com/

После проверки и подключения войти в панель управления Вашего хостинга CPanel, сменить ВСЕ пароли, в том числе от почтовых ящиков и ftp-аккаунтов.

Зайти по ftp на свой сайт и удалить код вируса из всех страниц Вашего сайта.

Провести полный анализ контента и удалить чужие файлы и скрипты.

Здесь Вам помогут в разбирательстве логи ftp-доступа, доступные Вам в панели управления Cpanel, в разделе меню "Файлы" - "FTP-аккаунты" - "Скачивание необработанных журналов доступа при помощи FTP" (в самом низу).

И, если в логе подтверждается авторизованный вход, то Вам необходимо обратить внимание на неспособность Вашего антивируса обнаруживать данный класс вирусов/троянских программ, либо на не вирусный уход учетных данных (человеческий фактор).

ПРИМЕЧАНИЕ: скачать логи http- и ftp- доступа можно зайдя по ftp с имеющимися у Вас реквизитами доступа в корневую папку. Логи лежат в access-logs.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

www.atlex.ru

Что делать, если сайт заражен вирусом

Создано: 20 июля 2014

Как правило, в большинстве случаев, зараза подхватывается автоматом, то есть никто не ставил себе цель заразить конкретно ваш сайт. Обычно происходит это из-за того, что была найдена какая-либо новая уязвимость в скриптах и был запущен массовый прогон по большому числу сайтов на предмет эту уязвимость использовать. Чтобы не попадать в число счастливчиков настоятельно рекомендуется устанавливать все выходящие обновления вашей CMS.

Если все же избежать заражения не удалось, то вот план действий:

  • в яндекс-вебмастере смотрим, какой именно вирус подхвачен;
  • действенная штука - сервис "AI-Bolit - антивирус для сайта" - разворачиваем сайт на локальном диске, запускаем сканирование по инструкции;
  • поискать в сети конкретные истории "успеха" а также лекарства от указанного вируса;
  • если лекарств не нашлось или они не спасли, то в помощь нам придут резервные копии, сделанные в предыдущие периоды:
    • схема такова: специальной программой (WinMerge, Beyond Compare) сличаем все файлы и папки на предмет изменений, отслеживаем все измененные файлы и внимательно их просматриваем;
    • как правило, код вируса будет зашифрован чем-то вроде [eval + много цифр/букв];
    • скорее всего зараженный файл будет типа .php или .js;
    • файлов может быть и несколько и находиться они могут в соседних директориях, поэтому следует внимательно изучить их содержимое.

После успешного лечения обязательно стоит предпринять шаги по предотвращению повторного заражения. Т.к. если вы ничего не измените, то с большой вероятностью в течение 1-2 дней поймаете эту же заразу снова.

Рецептом может быть установка последних обновлений CMS, обновление модулей и компонентов, отказ от использования "дырявых" расширений, а также расширений, которые не обновлялись в течение долгого периода времени. В некоторых случаях потребуется смена всех паролей доступа к сайту.

P.S. Стоит отметить, что в некоторых случаях уязвимость вовсе не связана с системой защиты сайта, а элементарно ломается почтовый ящик, где хранятся все пароли-явки.

way-on-top.ru

Сайт на WP заражен вирусом — что делать?

data-ad-client="ca-pub-9038233983914754"data-ad-slot="5706208564">

Продолжая тему  защиты сайта,  хочу поделиться с вами, что нужно сделать в первую очередь, если доступ к вашему сайту блокирует антивирус или чего хуже, поисковики предупреждают посетителей о том, что на вашем сайте находится вредоносное ПО. Поверьте, что никто от этого не застрахован на 100% и подобная информация неопытного блогера выбивает из равновесия моментально.

Наипервейшая мысль, которая посещает наше перепуганное сознание, это то, что сайт взломан, к нам пробрался злоумышленник, он же конкурент или завистник, и специально все нам тут перегадил.

Но это только первая мысль и она должна вас благополучно покинуть, так как сайт сам по себе не может быть «заразным» если не подпитывается от какого либо источника.

Плохо, когда источником является сторонний ресурс. В таком случае нужно будет обратиться за помощью к специалистам, чтобы они помогли вычислить источник поступления вредоносного кода.

Но чаще всего проблема обнаруживается гораздо проще. Есть такая хорошая поговорка, что 99% проблем с компьютером находятся в 50 см от него. Не будем показывать пальцем, думаю, вы уже догадались кто это.

Вот именно! Источником вредоносного кода, часто, является ваш собственный ноутбук или ПК. Конечно, я знаю, что у вас установлен антивирус, и вы абсолютно спокойны в этом направлении. Но и на старуху бывает проруха. Поэтому...

Первое

Ставим компьютер на сканирование антивирусом и ждем результата. Если результат положительный, удаляем все найденные зараженные файлы. Если результат отрицательный читаем дальше.

Второе

Заходим на хостинг и меняем пароли к FTP и базе данных.

Третье

Устанавливаем на сайт плагин Wordfence Security. С помощью данного Плагина мы сможем сканировать наш сайт на наличие вредоносного кода и узнать в каком, именно, месте он располагается, чтобы затем можно было бы его удалить. Суть работы Плагина заключается в том, что он сравнивает оригинальные файлы WP с существующими на вашем сайте и выявляет те, в которых есть изменения.

data-ad-client="ca-pub-9038233983914754"data-ad-slot="5706208564">

Настроек у Плагина много, потому что он не только сканирует сайт на наличие вируса, но и в полной мере может защитить ваш сайта от подобных сюрпризов. Настройки не сложные, нужно только проставить галочки в соответствующих местах (указать параметры защиты, которые вы считаете необходимыми). В этим вы справитесь, без сомнения.

Для того, чтобы начать сканирование сайта, никаких дополнительных настроек делать не нужно. Просто заходите в появившийся на панели раздел Wordfence-Scan и нажимаете кнопку Начать сканирование.

Рис.1 (красная стрелка)

Плагин как очистить сайт от вирус а

Через несколько минут ниже будут отображены все результаты сканирования и предложены варианты решения проблемы. Здесь будут и нуждающиеся в обновлении темы или плагины и различные измененные фалы, которые отличаются от первоначальных.

Например, если ваша Тема была переведена на русский язык, то в сравнении вы увидите два одинаковых файла, с той лишь разницей, что один из них будет на английском языке, а другой на русском. Хотя в результатах сканирования плагин и показывает изменения в этом файле, но считать его вирусом, конечно же нельзя.  

К сожалению, я не сделал скриншотов, когда пришлось решать одну из подобных проблем, но Плагин, на мой взгляд, замечательно справился со своей задачей и мне было очень легко разобраться что к чему. Если обнаружен вредоносный код в найденных файлах, вы увидите сообщение об этом выделенное красным цветом.

Что нужно сделать

Открыть ссылку  в новом окне и посмотреть, как изменен файл в отличие от базовой версии.

Рис.2

Плагин как очистить сайт от вируса 1

 

Здесь же можно будет восстановить оригинальную версию зараженного файла или удалить вирус. Но не торопитесь это делать с помощью Плагина. Если вы вносили какие-то изменения в дизайн темы, то лучше будет удалить код вручную. В моем случае, через Плагин был заменен весь файл, что повлекло за собой некорректное отображение темы. Поэтому, я предпочел отыскать в расположении темы (путь к файлу указан в результатах сканирования) зараженный файл и в ручном режиме удалить вредоносный код.

У меня вредоносный код располагался в заголовке, в файле header.php (кстати, как правило, код внедряется именно туда), поэтому замена всего файла в моем случае, была не желательна. Ниже вы видите пример вредоносного кода, внедренного в файл header.php, его мы и должны удалить.

 

Вредоносный код

 

Если зараженных файлов будет несколько, то нужно будет удалить вредоносный код со всех файлов, аналогично.

Так как наш сайт рассчитан на начинающих  вебмастеров, я привел самый простой вариант заражения и очистки сайта от  вредоносного кода.  В этом случае, почистить сайт от вирусов, как видите, оказалось делом не сложным.

При более серьезных проблемах, советую обратиться с специалистам.

 

Присоединяйся к обсуждению на форуме 

data-ad-client="ca-pub-9038233983914754"data-ad-slot="5706208564">

www.zhakanov.com