Как вылечить сайт бесплатно

397

Вылечить сайт от вирусов еще совсем недавно можно было только на платной основе и совсем не дешево. Прежде всего, мало кто на первых порах создания своего сайта, задумывается о его безопасности. А в случае заражения, желательно кого-нибудь обвинить, но только не себя. А между тем, в большинстве случаев, скажем прямо, мы сами виноваты в этом, «что тут петли-то крутить!»

Но и установкой одного антивируса здесь тоже не обойтись. Я не буду перечислять причины, а сразу перейду к главному вопросу. Если уж так случилось, что вы сами обнаружили или инструменты веб-мастера яндекса и гугла вам подсказали о присутствии вредоносного кода или вируса на вашем сайте, необходимо сразу принять меры, иначе о последствиях просто подумать страшно. Простой бан поисковиков вам покажется сказкой.

Если у вас статичный сайт-визитка созданный на простом html-шаблоне или сверстан вами самостоятельно, то вылечить такой сайт от вирусов покажется простым баловством. Ведь наверняка всегда есть копия такого сайта на локальной машине, старый удалил, новый закачал на хостинг и все готово. Но если вы используете cms-системы, здесь проблема посерьезней и решить ее на раз-два не получиться.

Конечно очень желательно иметь в запасе резервную копию сайта, но как всегда об этом можно и «позже» подумать.

Как вылечить сайт от вирусов созданный на cms

В любой cms-системе очень много различных папок и файлов необходимых для работы сайта. Отыскать в них зараженные файлы в ручном режиме, просто не реально. И здесь многим бесстрашным веб-мастерам пришли на помощь специализированные сервисы. О некоторых я рассказывал в статьях и курсах, но сегодня речь пойдет о сервисе «Вирусдай» (https://virusdie.ru).

Знал о нем давно, но не было повода для близкого знакомства. Но как говориться, не стоит доверять одному антивирусу как и одному врачу, а вдруг ошибка в диагнозе! И я решил протестировать на своем блоге. Все этапы проверки я зафиксировал с помощью подробных скриншотов.

Сервис проверки сайта на вирусы и его лечение

Для начала регистрируемся и получаем письмо с просьбой о подтверждении регистрации. Затем добавляем адрес сайта в специальное поле и процесс пошел.

На втором этапе необходимо скачать файл синхронизации и добавить в корень сайта. При добавлении файла, название самого файла менять не нужно. Как все будет готово, жмем на зеленую ссылку.

Добавлять файл можно вручную, или автоматически, если есть данные для ftp-доступа

Если все сделано правильно и перейдя по ссылке у вас не будет ошибок, а будет вот такая картинка, тогда все отлично и можно выбрать способ лечения платный и бесплатный поиск, а лечить будем самостоятельно. В бесплатном режиме можно проверить только один раз, но а если нет желания постоянно думать о безопасности и тратить время на проверку и лечение сайта от вирусов, можно довериться сервису за не большую плату, всего 2499 рублей в год. Что называется, заплатил и спи спокойно.

Я выбрал бесплатную проверку сайта на вирусы и лечение в ручном режиме. Почему? Что касается денег, то они здесь ни при чем, а вот про ручной режим немного расскажу.

При наличии на сайте специальных расширений, которые тоже могут вызвать подозрение у разных проверочных сервисов, можно по незнанию в один миг нарушить работу всего проекта. А вот в ручном режиме, желательно разобраться что за файл и для чего он предназначен.

Кроме этого, сервис присылает отчет о проделанной работе на почтовый ящик, где так же можно просмотреть название подозрительных файлов и каждый файл является ссылкой на статью об этом файле.

Сам процесс проверки показан на картинке ниже.

Так же доступен полный отчет на сайте virusdie.ru в личном кабинете. Если выбран бесплатный способ, сервис просто дает информацию о найденных подозрительных файлах или вирусах.

Подведя итог, можно сказать о том, что с помощью данного сервиса мы сможем бесплатно не вылечить сайт от вирусов, а произвести поиск подозрительных или зараженных файлов. Лечение соответственно платное, но если учитывать сложность поиска таких файлов, то помощь таких сервисов быстро решает данную проблему

Чтобы обезопасить себя и развеять все сомнения о подозрительных файлах найденных у меня на блоге, я пропустил все эти файлы еще через 50 антивирусов сервиса virustotal.

Проверка подозрительных файлов на вирусы

Хоть я точно знаю к каким плагинам относятся мои «подозрительные» файлы и лечить их от вирусов нет необходимости, все же решил устроить дополнительную проверку. Скопировал все файлы к себе на компьютер, запаковал в архив и с помощью virustotal проверил вначале архивом. Но и этого мне показалось мало, и я проверил весь сайт на вирусы с помощью следующей функции сервиса-это добавляя адрес сайта.

В результате ничего подозрительного выявлено не было. Я не сомневался в этом потому что отслеживаю периодически эти моменты.

Вылечить сайт от вирусов можно и вручную, но это для любителей работать ручками и копаться в файлах в поисках вредоносного кода или подозрительного файла. Об этом в другой раз. Если конечно это интересно, оставляйте комментарии.

Проанализируйте способы заражения:

• Злоумышленник может получить пароли к администраторским панелям CMS, FTP или SSH аккаунтам. Обычно пароли подбирают или крадут с помощью троянских программ, заразивших компьютер вебмастера.

• Уязвимости веб-приложения могут позволять посторонним размещать на сайте произвольный код.

• Из-за заражения внешнего ресурса (партнерской программы, баннерной системы, счётчика) предоставленный вам код может стать опасным для пользователей.

Проанализируйте информацию о заражении в Яндекс.Вебмастере, в разделе Безопасность и нарушения. Раздел содержит перечень зараженных страниц, даты проверок и вынесенные антивирусом вердикты. Перейдя по ссылке в названии вердикта, вы увидите его описание и примерный вид кода, соответствующего вердикту (кода, который непосредственно появляется на страницах сайта).

Вы также можете самостоятельно воспроизвести проблему с помощью виртуальной машины.

1. Остановите веб-сервер, чтобы оградить посетителей сайта от потенциальной опасности. Затем проверьте антивирусом файлы веб-сервера и все рабочие станции, с которых администрируют сервер (можно использовать бесплатные антивирусные утилиты) и смените все пароли: root, FTP, SSH, от административных панелей хостинга и CMS.

2. Если до заражения была сделана резервная копия сайта, восстановите ее.

3. Обновите до последних версий все используемые сайтом программы и поищите описания исправленных уязвимостей. Возможно, это поможет понять, каким образом сайт был заражен.

4. Удалите лишних пользователей с расширенными правами и тщательно проверьте сервер на наличие веб-шелла, с помощью которого злоумышленник может изменять код сайта в обход авторизации.

5. Проверьте наличие вредоносного кода:

   • во всех серверных скриптах, шаблонах CMS, базах данных;

   • в конфигурационных файлах веб-сервера или интерпретатора серверных скриптов;

   • если вы используете shared-хостинг, проверьте другие сайты, расположенные на том же сервере — может быть заражен весь сервер.

Признаки вредоносного кода:

• Код посторонний или незнакомый, не соответствует резервной копии или системе контроля версий.

• Обфусцированный (нечитаемый, неструктурированный) код.

• Дата модификации файлов совпадает с временем заражения или более поздняя. Этот параметр ненадежен, так как дата модификации файлов может быть изменена вирусом.

• Использование характерных для вредоносного кода функций. Примеры таких функций для языка PHP:

  • динамическое исполнение кода (eval, assert, create_function);

  • обфускация (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);

  • загрузка удаленных ресурсов (file_get_contents, curl_exec).

Пометка об опасности сайта в результатах поиска будет снята, если при очередной проверке робот Яндекса не обнаружит заражения. Чтобы ускорить перепроверку, в интерфейсе Яндекс.Вебмастера, в разделе Безопасность и нарушения, нажмите кнопку Я все исправил.

Рекомендуем в течение нескольких недель после заражения регулярно перепроверять файлы и код сайта на тот случай, если использованная уязвимость не была устранена или злоумышленники по прежнему имеют доступ к сайту.

Яндекс постоянно ищет и исследует новые виды заражений и публикует результаты исследований в блоге Безопасного поиска Яндекса.

Если вы обнаружили на своем сайте вредоносный или подозрительный код, отправьте его на анализ специалистам.

Если вы хотите узнать взломан ли ваш сайт, то мы подготовили статью о соответствующей проверке, а также статью с полезными советами по улучшению безопасности сайта. Если же вы обнаружили вирусы на своем сайте, то следующие рекомендации будут полезными.

Сайт взломан. Что делать?

1. Поменяйте пароли

Смените пароли от всего, что возможно изменить. В первую очередь это FTP-доступ к сайту, панель управления хостингадомена, админ.панель сайта, почтовые ящики, базы данных MySQL и их пользователи.

2. Найдите дыру

С помощью лог-файлов можно найти “дыру”, через которую взломали сайт, но если вы не разбираетесь в этом, то поручите это дело опытному программисту или просто смотрите следующий пункт. Кстати, чуть более простой способ – это посмотреть через FTP-клиент какие файлы вашего сайта (на сервере хостинга) менялись в последнее время. Вирус, скорее всего, находится в них.

3. Как найти вирус на сайте?

В основном целью хакеров является именно сайт, а не компьютер владельца сайта и потому, скорее всего, будет добавлен вредоносный код в сайт (т.е. изменен какой-то файл сайта), а не загружен какой-то новый файл с расширением .exe (исполняемый файл; вирус может либо сам являться исполняемым файлом, то есть программой, грубо говоря, либо “прятаться” внутри исполняемого файла).

Но в двух этих случаях не надо бояться загружать сайт к себе на компьютер для того, чтобы “прогнать” его антивирусом. Хотя, вероятнее всего, ваш антивирус ничего не увидит, ибо вирусы для веб-сайтов отличаются от вирусов для компьютеров и, соответственно, ваш антивирус будет искать абсолютно не то, что надо.

На сегодняшний день очень много онлайн-сервисов для проверки сайта на вирусы. Но мы к ним относимся с очень большой осторожностью. Лучше таки скачайте антивирус для веб и им “прогоните” сайт. Также у многих хостеров антивирус уже установлен в панели управления. Им тоже можно проверить сайт на вирусы.

Рекомендуем обратить внимание на следующие антивирусы:

1. ClamAV – бесплатный антивирус, фишкой которого является то, что он подходит для любых ОС: Linux, BSD и Windows. Его можно установить на компьютер или в панель управления. Базы вирусов обновляются каждые 4 часа. На рынке бесплатных антивирусов этот антивирус в топе.
2. Web Inspector от компании Comodo – онлайн сканер вирусов и вредоносного ПО. На сайте описаны симптомы заражения сайта, а также можно бесплатно полечить свой сайт, если вы обнаружили у своего сайта схожие симптомы. Хотя защита сайта на регулярной основе стоит около 10 долларов в месяц, она стоит своих денег, так как функционал данного антивируса очень широкий: от сканера вредоносного ПО до защиты от DDoS-атак и удаления сайта из блэклистов (черных списков).
3. Sucuri – здесь тоже можно бесплатно проверить сайт на вирусы и вредоносное ПО. Довольно популярный и точный онлайн-сканер. Также можно приобрести полную защиту сайта, которая, кроме всего прочего, включает в себя мониторинг и фаервол для вашего сайта.
4. CXS (ConfigServer eXploit) – очень хорошее решение для Linux ОС, работает в связке с ClamAV. Комплексное решение, сканирует почти все виды скриптов и файлов, особенно те, которые были изменены недавно, проактивно мониторит систему и лечит файлы. Полный перечень функций можно найти на сайте. Этот инструмент платный, 60 долларов, но это одноразовый платеж, то есть заплатили раз – и пользуетесь сколько угодно (lifetime license).
5. Ai-Bolit – очень популярный инструмент. Есть онлайн версия и не надо даже скачивать его себе на компьютер, но если честно, все же лучше, чтобы он был таки установлен у вас. Активно поддерживается разработчиками, потому можно не беспокоиться о его актуальности.
6. Virusdie – достаточно популярный сервис среди хостеров. Отличием от Ai-Bolit является то, что Virusdie не надо устанавливать на компьютер. Нужно зарегистрироваться на сайте и подключить сервис к сайту, добавив уникальный файл синхронизации в корневой каталог сайта.

4. Удалите вирусы

Далее нужно удалить весь вредоносный код из тех файлов, которые указаны. Самый простой способ это сделать – заменить эти файлы на “здоровые” (их можно взять из старого бекапа, в котором еще не было вирусов). Но если “здорового” бекапа нет, то придется удалять весь вредоносный код в ручную.

Обратите внимание на то, что некоторые антивирусы сами “лечат” сайт и вручную вам удалять ничего не нужно будет.

И все же, что именно удалять?

Если антивирус сам не лечит сайт и просто покажет, какой именно участок кода считает вредоносным, то удаляйте его, а если не покажет, то можно сравнить данный файл со “здоровым” (если он есть). Или же ищите в файлах следующее:

• Слова “exploit”, “shell”, “javascript” и самое главное – “iframe”, а также фразы unescape, eval, String.fromCharCode и document.write;
• В css часто прячут вредоносный код за атрибутом behavior
• Картинки сложно лечить от вирусов, поэтому их нужно либо удалить, либо заменить на “здоровые”
• В базе данных (которую мы сохраняем на компьютер и открываем текстовым редактором, вроде NotePad++) ищем слово “iframe” и удаляем его
• Хакеры-неумехи часто создают файлы вроде wzxp.php, которые по названию явно не входят в обычные файлы CMS, поэтому ищемудаляем еще и такие файлы
• Найдите все файлы .htaccess и посмотрите, чтобы в них не было вредоносного кода или перенаправлений (redirect) на чужие сайты
• Наличие base64-кода, как правило означает, что он вредоносный. Вот пример такого кода:

“TWFuIGlzIGRpc3Rpbmd1aXNoZWQsIG5vdCBvbmx5IGJ5IGhpcyByZWFzb24sIGJ1dCBieSB0
aGlzIHNpbmd1bGFyIHBhc3Npb24gZnJvbSBvdGhlciBhb”

• Подозрительным также считают использование eval() или функции preg_replace() с ключом в первом аргументе

Вирусы удалены. Что дальше?

Если вы воспользовались сервисом Virusdie, и сайт был вылечен прямо на сервере хостера, то достаточно проверить его работоспособность. Все работает? Поздравляем!

Если же вы скачивали сайт на компьютер и там его “вылечили”, то после файлы нужно загрузить на сервер, предварительно удалив все с него (сервера). После загрузки сайта и базы данных (если такова есть), необходимо проверить сайт на работоспособность, т.к. могут не работать многие функции связанные с php и javascript (обратная связь, отправка комментариев, заказ товара и т.д.). Если функционал сайта нарушен, то это значит, что вирус повредил часть файлов (не просто добавил свой код в файл, а еще и удалил тот код, который был). В таком случае следует переустанавливать CMS сайта или заливать ее файлы с заменой существующих на сайте.

5. Once more

Еще раз поменяйте пароли от всего (FTP-доступ к сайту, панель управления хостингадомена, админ-панель сайта, почтовые ящики, базы данных MySQL и их пользователи). И еще раз проверьте сайт на вирусы.

6. Улучшайте безопасность сайта

Если просто удалить вирусы с сайта и не следовать этим рекомендациям, то 99%, что вирус снова вернется через определенное время. Кроме всего прочего, уязвимость может скрываться в ПО хостера, если взломают сайт вашего “соседа” по серверу, то вирус может перейти и к вам. Поэтому иногда помогают либо обращение в техническую поддержку хостера, либо смена самого хостинг-провайдера.

Также помните, что лечение сайта нужно производить в максимально короткие сроки, т.к. поисковики выбрасывают из своего поиска сайты, которые содержат опасный код и могут навредить пользователям. А вернуться на прежние позиции в поисковых системах будет очень сложно.

Что нужно делать даже если сайт не взломан?

1. Бекап сайта и базы данных

Вообще многие хостеры обещают сами делать резервные копии ваших сайтов и баз данных, но лучше держать этот процесс под контролем. Во-первых, поломки случаются у всех, причем регулярно. И это не зависит от того, насколько большая и надежная хостинг-компания – скрипты перестают работать абсолютно также, как и оборудование выходит из строя, будь то сервер хостера или ваша микроволновка.

Еще хостеры не делают каждый день полную копию сайта и баз данных, а только тех файлов, которые были изменены. Потому если ваш хостер и делает каждый день бекап – не ленитесь и сделайте еще сами полную копию сайта и желательно храните ее на удаленном сервере, а не на своем компьютере.

2. Проверяйте компьютер на вирусы

Регулярно каждый день проверяйте компьютер на вирусы и удаляйте их. Антивирус используйте не абы какой первый попавшийся, а тот, который зарекомендовал себя как надежный, и который регулярно поддерживается разработчиками (обновляется и исправляются разные баги).

Можно, конечно же, и задать график автоматического запуска проверки компьютера на вирусы, но вот давать ему право автоматически удалять все зараженные файлы – не рекомендуем. Все же лучше четко понимать, что происходит на компьютере и для чего.

3. Регулярно проверяем сайт на наличие вирусов

Особенно важно проверять сайт на вирус после установки какого-то плагина/модуля/темы. Даже если они и скачаны с оф.сайта. И, конечно же, проверяйте сайт на наличие вирусов и после этих действий. К примеру, трижды в неделю.

Если у вас есть опыт лечения сайтов и вы хотите им поделиться, то пишите об этом в комментариях. Мы добавим это в свою статью, чтобы другие вебмастеры могли воспользоваться информацией и спасти свои сайты. А если у вас есть вопросы – задавайте их прямо здесь, наши эксперты стараются очень быстро на них отвечать.

Октября

Панель управления

• Собственная
• cPanel
• ISP Manager
• DirectAdmin
• Parallels Plesk

Вид хостинга

Облачный хостинг – распределение нагрузки на несколько серверов, если сервер с вашим сайтом перегружен или не работает. Это гарантия того что пользователи в любом случае смогут видеть ваш сайт. Но это дорогая, более сложная опция, которую предоставляют далеко не все провайдеры.

Виртуальный хостинг – подходит для большинства проектов начального уровня с посещаемостью до 1000 человек в сутки. В таком хостинге мощность сервера делится между несколькими хостинговыми аккаунтами. Услуга проста в настройке даже для новичков.

VPS – подходит для более сложных проектов с достаточно большой нагрузкой и посещаемостью до 10000 человек в сутки. Здесь мощность сервера фиксированная для каждого виртуального сервера, при этом сложность настройки увеличивается.

Выделенный сервер – нужен для очень сложных и ресурсоемких проектов. Для вас выделяют отдельный сервер,мощность которого будете использовать только вы. Дорого и сложно настраивать.

Размещение и обслуживание вашего собственного сервера в дата-центре хостинга – это не очень популярная услуга и требуется в исключительных случаях.

• Облачный хостинг
• Виртуальный хостинг
• VPS/VDS
• Выделенный сервер
• Размещение сервера
• CDN

CMS

CMS – это система управления контентом сайта. Хостеры стараются для каждой из них делать отдельный тариф или упрощать установку. Но в целом это больше маркетинговые ходы, т.к. у большинства популярных CMS нет специальных требований к хостингу, а те что есть – поддерживаются на большинстве серверов.

• Joomla
• WordPress
• Drupal
• Битрикс
• MODx
• TYPO3
• UMI.CMS
• vBulletin

Тип виртуализации

• OpenVZ
• Virtuozzo
• KVM
• Hyper-V
• Xen
• VMware

Прочее

• Абузоустойчивый хостинг
• Безлимитный хостинг
• Безопасный хостинг
• Черный список
• Защита от DDOS
• Конструктор сайтов
• Партнерские программы

Бесплатный тест

• Тестовый период
• Moneyback

Цена

Настоятельно рекомендуем не покупать слишком дешевый хостинг! Как правило с ним очень много проблем: сервер иногда не работает, оборудование старое, поддержка долго отвечает или не может решить проблему, сайт хостера глючит, ошибки в регистрации, оплате и т.д.

Также мы собрали тарифы от тысяч хостеров, чтобы вы могли выбрать хостинг по конкретной цене.

• Дешёвый хостинг
• Цена-Качество
• Дорогой хостинг
• Бесплатный хостинг

Технологии и ОС

ОС – операционная система, установленная на сервере хостинга. Мы рекомендуем размещать на серверах с Linux, если нет особых требований у разработчиков сайта.

• Linux
• Windows
• ASP.net
• MySQL
• PHP