Как вылечить сайт самостоятельно

Как вылечить сайт самостоятельно thumbnail

381

Вылечить сайт от вирусов еще совсем недавно можно было только на платной основе и совсем не дешево. Прежде всего, мало кто на первых порах создания своего сайта, задумывается о его безопасности. А в случае заражения, желательно кого-нибудь обвинить, но только не себя. А между тем, в большинстве случаев, скажем прямо, мы сами виноваты в этом, «что тут петли-то крутить!»

Но и установкой одного антивируса здесь тоже не обойтись. Я не буду перечислять причины, а сразу перейду к главному вопросу. Если уж так случилось, что вы сами обнаружили или инструменты веб-мастера яндекса и гугла вам подсказали о присутствии вредоносного кода или вируса на вашем сайте, необходимо сразу принять меры, иначе о последствиях просто подумать страшно. Простой бан поисковиков вам покажется сказкой.

Если у вас статичный сайт-визитка созданный на простом html-шаблоне или сверстан вами самостоятельно, то вылечить такой сайт от вирусов покажется простым баловством. Ведь наверняка всегда есть копия такого сайта на локальной машине, старый удалил, новый закачал на хостинг и все готово. Но если вы используете cms-системы, здесь проблема посерьезней и решить ее на раз-два не получиться.

Конечно очень желательно иметь в запасе резервную копию сайта, но как всегда об этом можно и «позже» подумать.

Как вылечить сайт от вирусов созданный на cms

В любой cms-системе очень много различных папок и файлов необходимых для работы сайта. Отыскать в них зараженные файлы в ручном режиме, просто не реально. И здесь многим бесстрашным веб-мастерам пришли на помощь специализированные сервисы. О некоторых я рассказывал в статьях и курсах, но сегодня речь пойдет о сервисе «Вирусдай» (https://virusdie.ru).

Знал о нем давно, но не было повода для близкого знакомства. Но как говориться, не стоит доверять одному антивирусу как и одному врачу, а вдруг ошибка в диагнозе! И я решил протестировать на своем блоге. Все этапы проверки я зафиксировал с помощью подробных скриншотов.

Сервис проверки сайта на вирусы и его лечение

Для начала регистрируемся и получаем письмо с просьбой о подтверждении регистрации. Затем добавляем адрес сайта в специальное поле и процесс пошел.

На втором этапе необходимо скачать файл синхронизации и добавить в корень сайта. При добавлении файла, название самого файла менять не нужно. Как все будет готово, жмем на зеленую ссылку.

Добавлять файл можно вручную, или автоматически, если есть данные для ftp-доступа

Если все сделано правильно и перейдя по ссылке у вас не будет ошибок, а будет вот такая картинка, тогда все отлично и можно выбрать способ лечения платный и бесплатный поиск, а лечить будем самостоятельно. В бесплатном режиме можно проверить только один раз, но а если нет желания постоянно думать о безопасности и тратить время на проверку и лечение сайта от вирусов, можно довериться сервису за не большую плату, всего 2499 рублей в год. Что называется, заплатил и спи спокойно.

Я выбрал бесплатную проверку сайта на вирусы и лечение в ручном режиме. Почему? Что касается денег, то они здесь ни при чем, а вот про ручной режим немного расскажу.

При наличии на сайте специальных расширений, которые тоже могут вызвать подозрение у разных проверочных сервисов, можно по незнанию в один миг нарушить работу всего проекта. А вот в ручном режиме, желательно разобраться что за файл и для чего он предназначен.

Кроме этого, сервис присылает отчет о проделанной работе на почтовый ящик, где так же можно просмотреть название подозрительных файлов и каждый файл является ссылкой на статью об этом файле.

Сам процесс проверки показан на картинке ниже.

Так же доступен полный отчет на сайте virusdie.ru в личном кабинете. Если выбран бесплатный способ, сервис просто дает информацию о найденных подозрительных файлах или вирусах.

Подведя итог, можно сказать о том, что с помощью данного сервиса мы сможем бесплатно не вылечить сайт от вирусов, а произвести поиск подозрительных или зараженных файлов. Лечение соответственно платное, но если учитывать сложность поиска таких файлов, то помощь таких сервисов быстро решает данную проблему

Чтобы обезопасить себя и развеять все сомнения о подозрительных файлах найденных у меня на блоге, я пропустил все эти файлы еще через 50 антивирусов сервиса virustotal.

Проверка подозрительных файлов на вирусы

Хоть я точно знаю к каким плагинам относятся мои «подозрительные» файлы и лечить их от вирусов нет необходимости, все же решил устроить дополнительную проверку. Скопировал все файлы к себе на компьютер, запаковал в архив и с помощью virustotal проверил вначале архивом. Но и этого мне показалось мало, и я проверил весь сайт на вирусы с помощью следующей функции сервиса-это добавляя адрес сайта.

В результате ничего подозрительного выявлено не было. Я не сомневался в этом потому что отслеживаю периодически эти моменты.

Читайте также:  Как вылечить геморрой лекарствами

Вылечить сайт от вирусов можно и вручную, но это для любителей работать ручками и копаться в файлах в поисках вредоносного кода или подозрительного файла. Об этом в другой раз. Если конечно это интересно, оставляйте комментарии.

Источник

Никто не хочет, чтобы с его сайта пропали данные или ресурс стал источником заражения других устройств. Но такое случается.

Практика показывает, что в основном заражение сайта происходит через системы управления контентом (CMS) и плагины к ним.

Варианта два. Вы либо скачиваете из неофициального источника уже зараженный файл. Либо скачиваете из официального, но продукт с ошибкой, о которой пока никто кроме хакеров не знает. Такие ошибки называют уязвимостями.

Хакеры хранят информацию о них и постоянно сканируют интернет в поисках уязвимых сайтов. Когда находят — загружают в файлы сайта вредоносный код. Он-то и рассылает спам, перенаправляет пользователей на зараженные страницы или крадет данные.

Бывает и по-другому, но редко.

Как понять, что сайт заражен

Обычно о заражении сообщает браузер, настольный антивирус или панель веб-мастера. Чтобы удостовериться, проверьте с помощью бесплатных сервисов:

Что делать, если сайт заражен

Обновите программное обеспечение.Как только об уязвимостях становится известно, их исправляют и выпускают обновления. Устанавливайте обновления только с официальных сайтов: WordPress, Joomla!, Drupal.

Удалите пиратские плагины.Устанавливайте плагины только от официальных разработчиков. Если на каком-то сайте размещен бесплатный аналог платного плагина, то скорее всего он уже содержит вирус. Лучше заплатить за оригинальное ПО, чем лечить зараженный сайт.

Поменяйте пароли. Часто вирус попадает на сайт используя пароль от админских панелей FTP или CMS, которые крадет во взломанной почте или компьютере. Смените пароли доступа к панели управления сервером, FTP/SSH-аккаунтам, MySQL, CMS. Используйте сложные пароли: не менее 10 символов, заглавные и строчные буквы, цифры и специальные символы. Для быстрой генерации используйте бесплатные сервисы: 1, 2.

Настройте права доступа к файлам. Через FTP или ISPmanager установите права доступа к файлам сайта. Права определяют, кто может просматривать, записывать и исполнять код. Для файлов сайта подходит значение 644 (изменять содержимое может только администратор, читать и исполнять код — любой посетитель сайта), для директорий лучше установить 755 (администратор может читать и редактировать, все остальные — только читать содержимое).

Восстановите резервную копию. Если вы знаете, когда произошло заражение сайта, восстановите созданную до заражения резервную копию. Это избавит от необходимости «лечить» ресурс.

Заблокируйте неиспользуемые функции в файлах конфигурации PHP. В файле конфигурации PHP (php.ini) добавьте disable_functions к неиспользуемым функциям из вот этого списка: passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source.

Лечим сайт вручную

Лечить сайт можно вручную и с помощью антивирусов.

Если вы умеете работать с консолью сервера, очистите код сайта вручную. Для начала найдите чужеродный код: проверьте зараженные файлы, сравните их с незараженными из резервной копии. После, используя тип файла и фрагмент кода, найдите все зараженные файлы и удалите вредоносный код.

Пример команды для поиска паттернов вирусов в файлах php* и htm* директории /var/www/*/data/www/.

grep -Rils –include=.{php,htm*} -e ‘b=4594’ -e ‘e2aa4e’ -e ‘v58f57b98 = 0’ -e ‘forexam@pandion.im’ -e ‘pathToDomains’ -e ‘if(navigator.userAgent.match(‘ -e ‘var vst = String.fromCharCode’ -e ‘Menufiles/jquery.js’ -e ‘i5463 == null’ -e ‘r57.gen.tr’ -e ‘/rsize.js’ -e ‘feelthesame.changeip.name’ -e ‘40,101,115,110,98,114,105,110’ -e ‘c99sh’ -e ‘Shell by’ -e ‘ sh_ver’ -e ‘.tcpflood’ -e ‘c999sh’ -e ‘Array(base64_decode’ -e ‘Attacker Perl File’ -e ‘bogel = ‘ -e ‘(!function_exists(“getmicrotime”))’ -e’$d=substr’ -e ‘WSO ‘ -e ‘r57shell’ -e ‘msg=@gzinflate(@base64_decode(@str_replace’ -e ‘6POkiojiO7iY3ns1rn8’ -e ‘ mysql_safe’ -e ‘sql2_safe’ -e ‘aHR0cDovLzE3OC4yMTEu’ -e ‘php function _’ -e ‘encodeURIComponent(document.URL)’ -e ‘; if(isset($_REQUEST’ -e ‘UdpFlood’ -e ‘udp://1.1.1.1’ -e ‘ (md5($_POST[‘ -e ‘header(“Location: http’ -e ‘fx29sh’ -e ‘c999sh_surl’ -e ‘c99sh’ -e ‘/request12.php’ -e ‘NlOThmMjgyODM0NjkyODdiYT’ -e ‘semi-priv8’ -e ‘JHNoX25hbWUgPSAiIj’ -e ‘$shell_name’ -e ‘UvUbjYH4eJNgF4E1fedl’ -e ‘killall -9’ -e ‘Angel Shell’ -e ‘c100.php’ -e ‘c2007.php’ -e ‘c99 mod Captain Crunch’ -e ‘$c99sh_updatefurl’ -e ‘C99 Modified By Psych0’ -e ‘php-backdoor’ -e ‘r577.php’ -e ‘wso shell’ -e ‘backdoor’ -e ‘eval(stripslashes(‘ -e ‘Backdoor’ -e ‘Set WSHshell’ -e ‘WSHshell.Run DropPath’ -e /var/www/*/data/www/

Лечим с помощью антивирусов

Если вы не умеете работать с консолью сервера, используйте готовые решения. Самые большие базы паттернов вирусов, распространенных в рунете, содержат два антивируса: Virusdie и AI-Bolit.

Virusdie

Платный инструмент. Автоматически находит вредоносный код и удаляет его. Помогает снять санкции браузера. С Virusdie работать просто, так как антивирус интегрирован с панелью управления веб-сервером ISPmanager.

На всю весну — с 1 марта до 31 мая — снижаем цену на антивирус для сайта Virusdie в ISPmanager. Он будет стоить 5€ вместо 13€.

Читайте также:  Как и чем вылечить барадавку

AI-Bolit

Бесплатный сканер вирусов. Проверяет сайт на взлом, вирусы и хакерские скрипты. Анализировать отчет можно самостоятельно. Помощь от специалистов компании-разработчика AI-Bolit — за отдельную плату.

Как предотвратить заражение

  • Используйте программное обеспечение только из проверенных источников.
  • Генерируйте сложные пароли и не храните их в браузере.
  • Настройте создание резервных копий.
  • Изолируете сайты друг от друга, для этого создавайте каждый сайт на отдельном пользователе.
  • Используйте Virusdie постоянно.
  • Используйте ISPmanager для единовременного обновления всех установленных скриптов, или модуль интеграции ISPmanager с Softaculous.

Источник

Проанализируйте способы заражения:

  • Злоумышленник может получить пароли к администраторским панелям CMS, FTP или SSH аккаунтам. Обычно пароли подбирают или крадут с помощью троянских программ, заразивших компьютер вебмастера.

  • Уязвимости веб-приложения могут позволять посторонним размещать на сайте произвольный код.

  • Из-за заражения внешнего ресурса (партнерской программы, баннерной системы, счётчика) предоставленный вам код может стать опасным для пользователей.

Проанализируйте информацию о заражении в Яндекс.Вебмастере, в разделе Безопасность и нарушения. Раздел содержит перечень зараженных страниц, даты проверок и вынесенные антивирусом вердикты. Перейдя по ссылке в названии вердикта, вы увидите его описание и примерный вид кода, соответствующего вердикту (кода, который непосредственно появляется на страницах сайта).

Вы также можете самостоятельно воспроизвести проблему с помощью виртуальной машины.

  1. Остановите веб-сервер, чтобы оградить посетителей сайта от потенциальной опасности. Затем проверьте антивирусом файлы веб-сервера и все рабочие станции, с которых администрируют сервер (можно использовать бесплатные антивирусные утилиты) и смените все пароли: root, FTP, SSH, от административных панелей хостинга и CMS.

  2. Если до заражения была сделана резервная копия сайта, восстановите ее.

  3. Обновите до последних версий все используемые сайтом программы и поищите описания исправленных уязвимостей. Возможно, это поможет понять, каким образом сайт был заражен.

  4. Удалите лишних пользователей с расширенными правами и тщательно проверьте сервер на наличие веб-шелла, с помощью которого злоумышленник может изменять код сайта в обход авторизации.

  5. Проверьте наличие вредоносного кода:

    • во всех серверных скриптах, шаблонах CMS, базах данных;

    • в конфигурационных файлах веб-сервера или интерпретатора серверных скриптов;

    • если вы используете shared-хостинг, проверьте другие сайты, расположенные на том же сервере — может быть заражен весь сервер.

Признаки вредоносного кода:

  • Код посторонний или незнакомый, не соответствует резервной копии или системе контроля версий.

  • Обфусцированный (нечитаемый, неструктурированный) код.

  • Дата модификации файлов совпадает с временем заражения или более поздняя. Этот параметр ненадежен, так как дата модификации файлов может быть изменена вирусом.

  • Использование характерных для вредоносного кода функций. Примеры таких функций для языка PHP:

    • динамическое исполнение кода (eval, assert, create_function);

    • обфускация (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);

    • загрузка удаленных ресурсов (file_get_contents, curl_exec).

Пометка об опасности сайта в результатах поиска будет снята, если при очередной проверке робот Яндекса не обнаружит заражения. Чтобы ускорить перепроверку, в интерфейсе Яндекс.Вебмастера, в разделе Безопасность и нарушения, нажмите кнопку Я все исправил.

Рекомендуем в течение нескольких недель после заражения регулярно перепроверять файлы и код сайта на тот случай, если использованная уязвимость не была устранена или злоумышленники по прежнему имеют доступ к сайту.

Яндекс постоянно ищет и исследует новые виды заражений и публикует результаты исследований в блоге Безопасного поиска Яндекса.

Если вы обнаружили на своем сайте вредоносный или подозрительный код, отправьте его на анализ специалистам.

Чтобы ваш вопрос быстрее попал к нужному специалисту, уточните тему:

Источник

Проанализируйте способы заражения:

  • Злоумышленник может получить пароли к администраторским панелям CMS, FTP или SSH аккаунтам. Обычно пароли подбирают или крадут с помощью троянских программ, заразивших компьютер вебмастера.

  • Уязвимости веб-приложения могут позволять посторонним размещать на сайте произвольный код.

  • Из-за заражения внешнего ресурса (партнерской программы, баннерной системы, счётчика) предоставленный вам код может стать опасным для пользователей.

Проанализируйте информацию о заражении в Яндекс.Вебмастере, в разделе Безопасность и нарушения. Раздел содержит перечень зараженных страниц, даты проверок и вынесенные антивирусом вердикты. Перейдя по ссылке в названии вердикта, вы увидите его описание и примерный вид кода, соответствующего вердикту (кода, который непосредственно появляется на страницах сайта).

Вы также можете самостоятельно воспроизвести проблему с помощью виртуальной машины.

  1. Остановите веб-сервер, чтобы оградить посетителей сайта от потенциальной опасности. Затем проверьте антивирусом файлы веб-сервера и все рабочие станции, с которых администрируют сервер (можно использовать бесплатные антивирусные утилиты) и смените все пароли: root, FTP, SSH, от административных панелей хостинга и CMS.

  2. Если до заражения была сделана резервная копия сайта, восстановите ее.

  3. Обновите до последних версий все используемые сайтом программы и поищите описания исправленных уязвимостей. Возможно, это поможет понять, каким образом сайт был заражен.

  4. Удалите лишних пользователей с расширенными правами и тщательно проверьте сервер на наличие веб-шелла, с помощью которого злоумышленник может изменять код сайта в обход авторизации.

  5. Проверьте наличие вредоносного кода:

    • во всех серверных скриптах, шаблонах CMS, базах данных;

    • в конфигурационных файлах веб-сервера или интерпретатора серверных скриптов;

    • если вы используете shared-хостинг, проверьте другие сайты, расположенные на том же сервере — может быть заражен весь сервер.

Признаки вредоносного кода:

  • Код посторонний или незнакомый, не соответствует резервной копии или системе контроля версий.

  • Обфусцированный (нечитаемый, неструктурированный) код.

  • Дата модификации файлов совпадает с временем заражения или более поздняя. Этот параметр ненадежен, так как дата модификации файлов может быть изменена вирусом.

  • Использование характерных для вредоносного кода функций. Примеры таких функций для языка PHP:

    • динамическое исполнение кода (eval, assert, create_function);

    • обфускация (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);

    • загрузка удаленных ресурсов (file_get_contents, curl_exec).

Пометка об опасности сайта в результатах поиска будет снята, если при очередной проверке робот Яндекса не обнаружит заражения. Чтобы ускорить перепроверку, в интерфейсе Яндекс.Вебмастера, в разделе Безопасность и нарушения, нажмите кнопку Я все исправил.

Читайте также:  Как вылечить грибок кожи головы

Рекомендуем в течение нескольких недель после заражения регулярно перепроверять файлы и код сайта на тот случай, если использованная уязвимость не была устранена или злоумышленники по прежнему имеют доступ к сайту.

Яндекс постоянно ищет и исследует новые виды заражений и публикует результаты исследований в блоге Безопасного поиска Яндекса.

Если вы обнаружили на своем сайте вредоносный или подозрительный код, отправьте его на анализ специалистам.

Чтобы ваш вопрос быстрее попал к нужному специалисту, уточните тему:

Источник

Азбука SEO  Анализ – Оптимизация – Продвижение

social icons black

virus

Нередко сайты подвергаются взлому и внедрению вирусов, которые осуществляют спам рассылки или другие гадости. Хостеры обычно закрывают зараженные сайты и могут заблокировать аккаунт на хостинге. Выход-лечение сайта от вирусов. Существуют много сервисов проверки и лечения сайтов от вирусов как онлайн, так и на локальном компьютере, после скачивания файлов сайта.

Нередко сайты подвергаются взлому и внедрению вирусов, которые осуществляют спам рассылки или другие гадости. Хостеры обычно закрывают зараженные сайты и могут заблокировать аккаунт на хостинге. Выход-лечение сайта от вирусов. Существуют много сервисов проверки и лечения сайтов от вирусов как онлайн, так и на локальном компьютере, после скачивания файлов сайта.

На локальном компьютере можно проверить файлы сайта на вирусы популярными программами, такими как Каперский и Dr.Web, но они не совсем оптимизированы для подобных целей. Существуют для этого специализированные сервисы. Сканирование в большинстве случаев бесплатное, а вот лечение уже за деньги, и достаточно ощутимые. Перечислять онлайн сервисы сканирования сайтов не будем, их легко можно найти в интернете. Остановимся на одном из бесплатных способов проверки и лечения сайта от вирусов. Как показывает практика, наиболее простым и действенным способом проверки и лечения файлов сайта от вирусов бесплатно является услуга сервиса от revisium.com программа-сканер вирусов Ai-Bolit. Здесь покажем примерный вариант действий на примере движка Joomla (другие движки WordPress, Opencart и другие CMS по тому же принципу).

Исходные данные.

Для проверки и лечения сайта от вирусов потребуется:

Программа-сканер вирусов Ai-Bolit для виндовс от revisium.com.

Доступ в файловый менеджер хостинга (FTP) к файлам сайта через контрольную панель или файловый менеджер, например FileZilla.

Установочные пакеты плагинов, установленных на сайте и оригинальные файлы движка (CMS).

Порядок действий:

Скачиваем и устанавливаем на компьютер программу-сканер вирусов Ai-Bolit для виндовс https://revisium.com/kb/scan_site_windows.html.

aibolit1

Прочитайте инструкцию на сайте сервиса.

aibolit3

Распакуйте архив программы в выбранное место на компьютере в папку, название которой должно быть латинскими буквами.В данном случае в ту же папку.

Скачиваем на компьютер файлы сайта с помощью файлового менеджер хостинга контрольной панели или FileZilla (при загрузке файлов на компьютер, некоторые из них может увидеть и обезвредить Касперский). Если скачали архивом, распаковываем в папку site.

aibolit4

Проверяем файлы сайта на наличие вирусов, запустив файл start.bat. Программа сканирует содержимое папки site. Обычно, такой проверки для обнаружения вирусов достаточно. 

Появляется такое окно.

aiboli5

После уведомления в нем об окончании сканирования, жмем любую клавишу.

aiboli6

Запускаем сформированный файл AI-BOLIT-REPORT.html и в открывшемся браузере смотрим результаты проверки.

aiboli7

Сравниваем зараженные файлы с оригиналами.

Если посторонний лишний файл- удаляем, если файл движка или плагина-меняем на оригинальный. Относительный путь к файлам что в архивах, что на хостинге, в большинстве случаев одинаковый. В данном случае aibolit8

распаковываем и меняем на оригинал файл редактора JCE Joomla. Для проверки оригинальных файлов перед загрузкой на хостинг можно менять (удалять) их в папке site. Повторно просканировать. Для чего это делать? Хостеры могут заблокировать сайт и потребовать скрин результатов лечения сайта. Если вирусов не обнаружено, можно проводить действия замены и удаления на хостинге.  

aibolit91

В большинстве случаев данный способ помогает самостоятельно проверить сайт и вылечить от вирусов.

Источник