Как удалить вирус на сайте?

Инструкция по удалению вируса с сайта актуальна для большинства популярных движков. После того, как мониторинг обнаружил вирус на вашем сайте, необходимо выполнить следующие шаги:

Предварительная подготовка:

  • Проверьте компьютер (а заодно и другие ПК, с которых вы заходили в админпанель сайта) на вирусы.
  • Поменяйте пароли к FTP, баз данных mysql, админпанели сайта.
  • Сделайте резервную копию сайта.

Основные работы:

  • Поиск проблемы.
  • Удаление вируса.
  • Ликвидация источника заражения.

Поиск проблемы

Поиск проблемы состоит из нескольких этапов:

  1. Что ищем: слова «iframe» и «javascript». Где ищем: в исходных кодах файлов и/или html страницах сайта. Что делать: анализировать обнаруженные участки кода, искать iframe с небольшой или нулевой высотой и шириной, запутанные фрагменты javascript одной строкой в сочетании с такими функциями как unescape, eval, String.fromCharCode, document.write, а также вставкой метатега с редиректом. Присутствие любого доменного имени, роме вашего, должно вызывать подозрение. На что обратит внимание: зачастую вирусы обнаруживаются на 3-5 редиректе или фрейме.
  2. Аналогичным способом анализируем подгружаемые javascript; ищем behavior с посторонним кодом во внешних CSS.
  3. Что ищем: картинки, подгружаеміе с других сайтов. Что делать с найденными картинками: проверить, что происходит с изображениями при открытии в браузере. Что должно вызвать подозрение: referer и user-agent, отличные от обычной загрузки страницы сайта с этим изображением; редирект на сторонний сайт, запрос данных для авторизации или другое подозрительное содержимое.
  4. Добавьте сайт в Google и Яндекс-вебмастер, если это не было сделано раньше. Оба сервиса могут “подсказать”, где искать вредоносный код или укажут на то, с каких доменов подгружается вирус.
  5. Обратите внимание на то, что при заходе на “инфицированный” сайт с включенным javascript в браузере, антивирус может сигнализировать об угрозах — в этом списке можно найти ряд вирусных доменов.
  6. Что ищем: редиректы разными user-agent и с разных ip. Где ищем: в кодах http-ответов сервера.

Удаление вируса

Первое, что нужно сделать — скачать на локальный компьютер все файлы сайта (не забудьте сделать резервную копию). После этого пройдите по файлам в поисках вхождений, о которых говорилось в разделе “Поиск проблемы”.

Далее необходимо использовать ssh-команды (или серверный скрипт) для поиска файлов, измененных при заражен веб-ресурса. Проанализируйте файлы на наличие внешних дополнений как то: include файлы с “зараженных” доменов, eval с функцией ase64_decode, обфусцированный php, коды с бирж ссылок, функции exec, system, popen, passthru (если это не предусмотрено движком), auto_prepend_file или auto_append_file в php (с backdoor или зараженным кодом).

Теперь скачайте базу данных и изучите ее по аналогии с пунктом 1 в разделе “Поиск проблемы”. Важно! В базе данных код может выглядеть иначе, например, &lt;iframe&gt; — вместо <iframe>.

Удалите все “чужеродные” элементы, загрузите файлы сайта и базу данных на хостинг и проверьте, как он работает. Рекомендуется: сделайте бэкап веб-ресурса сразу после очистки, что в будущем, если проблема повторится, вы могли восстановить рабочую копию.

Ликвидация источника заражения

Чтобы повторить повторное заражение (оно произойдет обязательно, если вы не устраните источник вируса), необходимо обнаружить и убрать первопричину.

Украдены пароли от FTP

Кража паролей от FTP может произойти, например, через зараженный публичный WI-FI или через ПК в зараженной локальной сети. Также пароли могут быть похищены из FTP-клиента (речь идет файле wcx_ftp.ini) при помощи вируса.

Еще один способ похищения паролей — pfishing ftp-паролей, когда на том или ином сервисе (например, хостинг) предлагается ввести данные для входа в FTP, якобы для смены пароля.

Соседи по серверу

Чтобы проверить, не видны ли вам файлы других пользователей (а им ваши) хостинга, подключитесь по SSH. Если вы все же “соприкасаетесь” с соседями, есть риск, что заражение вашего сайта произошло из-за них. Приготовьтесь к тому, что, возможно, в ближайшее время вам понадобится новый хостинг.

Уязвимости в CMS

На сайтах разработчиков движков собрана вся информация об уязвимостях. Рекомендуется свериться с этим списком на предмет “брешей” на вашем сайте. Кроме того, поиск уязвимостей в движке необходимо выполнить после установки приложений и модулей.

Кроме того, необходимо обратить внимание на настройки сервера и движка, поскольку их несочетаемость может привести к проблемам.

  • facebook share icon
  • twitter share icon
  • google plus share icon
Оцените статью:
Оставаться на связи
Подпишитесь и получайте первым все новые материалы
Выберите reCAPTCHA

Читайте также

Как исправить ошибку 404 Not Found
Система Revalin
Влияние на показатели сайта ошибки 404 Not Found
Система Revalin
Как исправить ошибку 401 Unauthorized
Система Revalin
Ошибка 400 Bad Request
Система Revalin
Как исправить ошибку 504 Gateway Timeout
Система Revalin
Ошибки 503 и 504 на сайте: как решить проблему
Система Revalin
Как продлить домен
Система Revalin
Срок домена истек — влияние на показатели сайта
Система Revalin
Как влияет на показатели вирус на сайте
Система Revalin
Влияние на показатели сайта некорректного SSL-сертификата
Система Revalin

Похожие записи

Влияние на показатели сайта некорректного SSL-сертификата
Система Revalin