Как удалить вирус на сайте?
Инструкция по удалению вируса с сайта актуальна для большинства популярных движков. После того, как мониторинг обнаружил вирус на вашем сайте, необходимо выполнить следующие шаги:
Предварительная подготовка:
- Проверьте компьютер (а заодно и другие ПК, с которых вы заходили в админпанель сайта) на вирусы.
- Поменяйте пароли к FTP, баз данных mysql, админпанели сайта.
- Сделайте резервную копию сайта.
Основные работы:
- Поиск проблемы.
- Удаление вируса.
- Ликвидация источника заражения.
Поиск проблемы
Поиск проблемы состоит из нескольких этапов:
- Что ищем: слова «iframe» и «javascript». Где ищем: в исходных кодах файлов и/или html страницах сайта. Что делать: анализировать обнаруженные участки кода, искать iframe с небольшой или нулевой высотой и шириной, запутанные фрагменты javascript одной строкой в сочетании с такими функциями как unescape, eval, String.fromCharCode, document.write, а также вставкой метатега с редиректом. Присутствие любого доменного имени, роме вашего, должно вызывать подозрение. На что обратит внимание: зачастую вирусы обнаруживаются на 3-5 редиректе или фрейме.
- Аналогичным способом анализируем подгружаемые javascript; ищем behavior с посторонним кодом во внешних CSS.
- Что ищем: картинки, подгружаеміе с других сайтов. Что делать с найденными картинками: проверить, что происходит с изображениями при открытии в браузере. Что должно вызвать подозрение: referer и user-agent, отличные от обычной загрузки страницы сайта с этим изображением; редирект на сторонний сайт, запрос данных для авторизации или другое подозрительное содержимое.
- Добавьте сайт в Google и Яндекс-вебмастер, если это не было сделано раньше. Оба сервиса могут “подсказать”, где искать вредоносный код или укажут на то, с каких доменов подгружается вирус.
- Обратите внимание на то, что при заходе на “инфицированный” сайт с включенным javascript в браузере, антивирус может сигнализировать об угрозах — в этом списке можно найти ряд вирусных доменов.
- Что ищем: редиректы разными user-agent и с разных ip. Где ищем: в кодах http-ответов сервера.
Удаление вируса
Первое, что нужно сделать — скачать на локальный компьютер все файлы сайта (не забудьте сделать резервную копию). После этого пройдите по файлам в поисках вхождений, о которых говорилось в разделе “Поиск проблемы”.
Далее необходимо использовать ssh-команды (или серверный скрипт) для поиска файлов, измененных при заражен веб-ресурса. Проанализируйте файлы на наличие внешних дополнений как то: include файлы с “зараженных” доменов, eval с функцией ase64_decode, обфусцированный php, коды с бирж ссылок, функции exec, system, popen, passthru (если это не предусмотрено движком), auto_prepend_file или auto_append_file в php (с backdoor или зараженным кодом).
Теперь скачайте базу данных и изучите ее по аналогии с пунктом 1 в разделе “Поиск проблемы”. Важно! В базе данных код может выглядеть иначе, например, <iframe> — вместо <iframe>.
Удалите все “чужеродные” элементы, загрузите файлы сайта и базу данных на хостинг и проверьте, как он работает. Рекомендуется: сделайте бэкап веб-ресурса сразу после очистки, что в будущем, если проблема повторится, вы могли восстановить рабочую копию.
Ликвидация источника заражения
Чтобы повторить повторное заражение (оно произойдет обязательно, если вы не устраните источник вируса), необходимо обнаружить и убрать первопричину.
Украдены пароли от FTP
Кража паролей от FTP может произойти, например, через зараженный публичный WI-FI или через ПК в зараженной локальной сети. Также пароли могут быть похищены из FTP-клиента (речь идет файле wcx_ftp.ini) при помощи вируса.
Еще один способ похищения паролей — pfishing ftp-паролей, когда на том или ином сервисе (например, хостинг) предлагается ввести данные для входа в FTP, якобы для смены пароля.
Соседи по серверу
Чтобы проверить, не видны ли вам файлы других пользователей (а им ваши) хостинга, подключитесь по SSH. Если вы все же “соприкасаетесь” с соседями, есть риск, что заражение вашего сайта произошло из-за них. Приготовьтесь к тому, что, возможно, в ближайшее время вам понадобится новый хостинг.
Уязвимости в CMS
На сайтах разработчиков движков собрана вся информация об уязвимостях. Рекомендуется свериться с этим списком на предмет “брешей” на вашем сайте. Кроме того, поиск уязвимостей в движке необходимо выполнить после установки приложений и модулей.
Кроме того, необходимо обратить внимание на настройки сервера и движка, поскольку их несочетаемость может привести к проблемам.
Читайте также
Похожие записи