Как вылечить сайт от вирусов самостоятельно
Проанализируйте способы заражения:
Злоумышленник может получить пароли к администраторским панелям CMS, FTP или SSH аккаунтам. Обычно пароли подбирают или крадут с помощью троянских программ, заразивших компьютер вебмастера.
Уязвимости веб-приложения могут позволять посторонним размещать на сайте произвольный код.
Из-за заражения внешнего ресурса (партнерской программы, баннерной системы, счётчика) предоставленный вам код может стать опасным для пользователей.
Проанализируйте информацию о заражении в Яндекс.Вебмастере, в разделе Безопасность и нарушения. Раздел содержит перечень зараженных страниц, даты проверок и вынесенные антивирусом вердикты. Перейдя по ссылке в названии вердикта, вы увидите его описание и примерный вид кода, соответствующего вердикту (кода, который непосредственно появляется на страницах сайта).
Вы также можете самостоятельно воспроизвести проблему с помощью виртуальной машины.
Остановите веб-сервер, чтобы оградить посетителей сайта от потенциальной опасности. Затем проверьте антивирусом файлы веб-сервера и все рабочие станции, с которых администрируют сервер (можно использовать бесплатные антивирусные утилиты) и смените все пароли: root, FTP, SSH, от административных панелей хостинга и CMS.
Если до заражения была сделана резервная копия сайта, восстановите ее.
Обновите до последних версий все используемые сайтом программы и поищите описания исправленных уязвимостей. Возможно, это поможет понять, каким образом сайт был заражен.
Удалите лишних пользователей с расширенными правами и тщательно проверьте сервер на наличие веб-шелла, с помощью которого злоумышленник может изменять код сайта в обход авторизации.
Проверьте наличие вредоносного кода:
во всех серверных скриптах, шаблонах CMS, базах данных;
в конфигурационных файлах веб-сервера или интерпретатора серверных скриптов;
если вы используете shared-хостинг, проверьте другие сайты, расположенные на том же сервере — может быть заражен весь сервер.
Признаки вредоносного кода:
Код посторонний или незнакомый, не соответствует резервной копии или системе контроля версий.
Обфусцированный (нечитаемый, неструктурированный) код.
Дата модификации файлов совпадает с временем заражения или более поздняя. Этот параметр ненадежен, так как дата модификации файлов может быть изменена вирусом.
Использование характерных для вредоносного кода функций. Примеры таких функций для языка PHP:
динамическое исполнение кода (eval, assert, create_function);
обфускация (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);
загрузка удаленных ресурсов (file_get_contents, curl_exec).
Пометка об опасности сайта в результатах поиска будет снята, если при очередной проверке робот Яндекса не обнаружит заражения. Чтобы ускорить перепроверку, в интерфейсе Яндекс.Вебмастера, в разделе Безопасность и нарушения, нажмите кнопку Я все исправил.
Рекомендуем в течение нескольких недель после заражения регулярно перепроверять файлы и код сайта на тот случай, если использованная уязвимость не была устранена или злоумышленники по прежнему имеют доступ к сайту.
Яндекс постоянно ищет и исследует новые виды заражений и публикует результаты исследований в блоге Безопасного поиска Яндекса.
Если вы обнаружили на своем сайте вредоносный или подозрительный код, отправьте его на анализ специалистам.
Источник
220
Вылечить сайт от вирусов еще совсем недавно можно было только на платной основе и совсем не дешево. Прежде всего, мало кто на первых порах создания своего сайта, задумывается о его безопасности. А в случае заражения, желательно кого-нибудь обвинить, но только не себя. А между тем, в большинстве случаев, скажем прямо, мы сами виноваты в этом, «что тут петли-то крутить!»
Но и установкой одного антивируса здесь тоже не обойтись. Я не буду перечислять причины, а сразу перейду к главному вопросу. Если уж так случилось, что вы сами обнаружили или инструменты веб-мастера яндекса и гугла вам подсказали о присутствии вредоносного кода или вируса на вашем сайте, необходимо сразу принять меры, иначе о последствиях просто подумать страшно. Простой бан поисковиков вам покажется сказкой.
Если у вас статичный сайт-визитка созданный на простом html-шаблоне или сверстан вами самостоятельно, то вылечить такой сайт от вирусов покажется простым баловством. Ведь наверняка всегда есть копия такого сайта на локальной машине, старый удалил, новый закачал на хостинг и все готово. Но если вы используете cms-системы, здесь проблема посерьезней и решить ее на раз-два не получиться.
Конечно очень желательно иметь в запасе резервную копию сайта, но как всегда об этом можно и «позже» подумать.
Как вылечить сайт от вирусов созданный на cms
В любой cms-системе очень много различных папок и файлов необходимых для работы сайта. Отыскать в них зараженные файлы в ручном режиме, просто не реально. И здесь многим бесстрашным веб-мастерам пришли на помощь специализированные сервисы. О некоторых я рассказывал в статьях и курсах, но сегодня речь пойдет о сервисе «Вирусдай» (https://virusdie.ru).
Знал о нем давно, но не было повода для близкого знакомства. Но как говориться, не стоит доверять одному антивирусу как и одному врачу, а вдруг ошибка в диагнозе! И я решил протестировать на своем блоге. Все этапы проверки я зафиксировал с помощью подробных скриншотов.
Сервис проверки сайта на вирусы и его лечение
Для начала регистрируемся и получаем письмо с просьбой о подтверждении регистрации. Затем добавляем адрес сайта в специальное поле и процесс пошел.
На втором этапе необходимо скачать файл синхронизации и добавить в корень сайта. При добавлении файла, название самого файла менять не нужно. Как все будет готово, жмем на зеленую ссылку.
Добавлять файл можно вручную, или автоматически, если есть данные для ftp-доступа
Если все сделано правильно и перейдя по ссылке у вас не будет ошибок, а будет вот такая картинка, тогда все отлично и можно выбрать способ лечения платный и бесплатный поиск, а лечить будем самостоятельно. В бесплатном режиме можно проверить только один раз, но а если нет желания постоянно думать о безопасности и тратить время на проверку и лечение сайта от вирусов, можно довериться сервису за не большую плату, всего 2499 рублей в год. Что называется, заплатил и спи спокойно.
Я выбрал бесплатную проверку сайта на вирусы и лечение в ручном режиме. Почему? Что касается денег, то они здесь ни при чем, а вот про ручной режим немного расскажу.
При наличии на сайте специальных расширений, которые тоже могут вызвать подозрение у разных проверочных сервисов, можно по незнанию в один миг нарушить работу всего проекта. А вот в ручном режиме, желательно разобраться что за файл и для чего он предназначен.
Кроме этого, сервис присылает отчет о проделанной работе на почтовый ящик, где так же можно просмотреть название подозрительных файлов и каждый файл является ссылкой на статью об этом файле.
Сам процесс проверки показан на картинке ниже.
Так же доступен полный отчет на сайте virusdie.ru в личном кабинете. Если выбран бесплатный способ, сервис просто дает информацию о найденных подозрительных файлах или вирусах.
Подведя итог, можно сказать о том, что с помощью данного сервиса мы сможем бесплатно не вылечить сайт от вирусов, а произвести поиск подозрительных или зараженных файлов. Лечение соответственно платное, но если учитывать сложность поиска таких файлов, то помощь таких сервисов быстро решает данную проблему
Чтобы обезопасить себя и развеять все сомнения о подозрительных файлах найденных у меня на блоге, я пропустил все эти файлы еще через 50 антивирусов сервиса virustotal.
Проверка подозрительных файлов на вирусы
Хоть я точно знаю к каким плагинам относятся мои «подозрительные» файлы и лечить их от вирусов нет необходимости, все же решил устроить дополнительную проверку. Скопировал все файлы к себе на компьютер, запаковал в архив и с помощью virustotal проверил вначале архивом. Но и этого мне показалось мало, и я проверил весь сайт на вирусы с помощью следующей функции сервиса-это добавляя адрес сайта.
В результате ничего подозрительного выявлено не было. Я не сомневался в этом потому что отслеживаю периодически эти моменты.
Вылечить сайт от вирусов можно и вручную, но это для любителей работать ручками и копаться в файлах в поисках вредоносного кода или подозрительного файла. Об этом в другой раз. Если конечно это интересно, оставляйте комментарии.
Источник
Есть проблемная ситация – сайт с вирусами.
Сейчас я покажу как этот вирус найти легко и уничтожить. Первым делом нужно скачать сайт на локаль – ведь так намного проще проверять масив файлов.
Этот текст из описания видео, потому он немного сумбурный и уныл. Впрочем и остальная моя писанина)
Скачивать будем файлзиллой. Скачивать я буду сразу на установленный локальный сервер – Open Server – что бы была возможность запустить локально, вдруг понадобится.
Если у вас установлен антивирус, которые проверяет файлы на лету – есть шанс что вы обнаружите в каких-то файлах вирусы ещё при скачивании. Смотрите в логах моего антивируса.
В моем случае мой Microsoft Security ничего не показал – вирус оказался ему неизвестен.
Для поиска я буду использовать специальный антивирус – Айболит. Сайт разработчика https://revisium.com/ai/
Советую зайти, посмотреть семинар. Файлы ещё скачиваются, это надолго. У меня уже есть готовая локальная копия, я вчера игрался с антивирусом этим.
Итак, для работы нам ещё понадобится php для windows. Скачивать тут https://windows.php.net/download/ последнюю версию для виндовс в zip архиве. Распакуйте где-то, где вам было бы удобно.
Окей. Подготовка закончилась. Теперь к работе.
Скачиваем архив с АйБолитом.
Внутри три папки:
- ai-bolit – собственно само ядро антивируса
- known_files – версии антивирусных баз файлов для разных движков
- tools – вспомагательная утилита.
Итак, приступаем к лечению сайта от вирусов
- Копируем из папки ai-bolit все файлы в корень сайта
- Если мы знаем какой у нас движок – выбираем в папке known_files папку с нашей CMS и закидываем в корень все файлы. В моем случае движок WordPress, потмоу будем лечить от вирусов антивирусными базами для WordPress. Если хотите вобще все проверить – можете антивирусные базы залить от всех движков – авось найдет что-то больше)
- Снова забыл – нужно в настройках АйБолита указать экспертный режим работы. Для этого текстовым редактором открываем файл ai-bolit.php и находим там строчку define(‘AI_EXPERT’, 0); меняем “0” на “1” и все – экспертный режим включен.
- Теперь – нужно распаковать наш zip архив c php в какую-то папку, где с ним было бы удобно работать. Нам понадобится файлик – php.exe
- Теперь нужно запустить исполняемый файл нашего антивируса. Для этого два раза кликнем по ai-bolit.php. У меня уже готов выбор чем выполнять этот скрипт.
Ну все, поехало
Антивирус сам определяет версию движка, подгружает нужные ему базы и всячески иммитирует бурную деятльность.
Антивирус для сайта Ай-Болит позволяет искать вирусы в таких движках:
- WordPress
- Joomla
- Bitrix
- DLE
- Drupal
- InstantCMS
- IPB
- ModX
- OScommerce
- Webasyst
Хотя можно попробовать искать и в обычных html сайтах и остальных движках.
После работы антивирус создает отчет, где описывает все подозрительные и зараженные файлы. Вам остается только зайти и вручную их почистить. Ну или перезалить плагины/темы рабочие.
Я бы советовал сохранить только папку uploads и папку с вашей темой. Плагины все перекачать, настройки останутся в базе данных – их вирусы не трогают. Тему проверить вручную все файлы – благо их там немного, если верстал сайт не корявый верстальщик. А все остальное в движке залить наново. это самый надежный способ.
И ещё напоминаю – вирусы скоре всего у вас по всему аккаунту на хостинге (очень редко они умудряются прыгать между аккаунтами разных пользователей, только в тмо случае если админ хоостинга криворук.)
Если на сайте по какой-то причине будет удален АйБолит – скачать антивирус для сайта всегда можно у меня ai-bolit
Вирусы это печально(
PS: две статьи как чистить уже найденные вирусы:
- Попроще – Как самостоятельно бесплатно удалить вирус с сайта
- Для продвинутых – Очистка заражённых файлов сайта от вредоносного кода
Источник
Опубликовано в Лечение веб-сайтов 18 Июля, 2017
Заражение сайта вирусами – проблема регулярная. И наличие вредного кода не просто отталкивает пользователей, у которых жалуются фаерволы. Намного хуже: это может «подарить» вам вечный бан в поисковых системах. Получить новых клиентов после пары недель заражения будет очень непросто. Но для того, чтобы очистить сайт от вирусов, нужно сначала понять, что они у вас есть, а это отдельная проблема.
Как точно узнать, есть ли на сайте вирус?
Если у вас не стоит антивируса для сайтов, проще всего будет подключиться к сервису VirusDie.ru. Сканирование всех ваших файлов на сайте пройдет бесплатно и моментально. Кроме того, узнать о наличии «малваря» можно по косвенным признакам:
- при просмотре ресурса ваш домашний антивирус предупреждает вас об опасности;
- Google или «Яндекс» прислали вам письма о подозрительной активности на сайте;
- время последнего редактирования у одной из страниц отличается от времени, когда вы в самом деле что-то на ней меняли;
- внутри папок возникли новые файлы (обычно – index.html или index.php);
- в отчетах о доступу к FTP-аккаунту значатся незнакомые IP или странные даты, когда вы не заходили на ресурс;
- сайт для вас стал загружаться существенно медленнее (возможно, действует редирект, который хитро исключает ваше IP, но замедляет страницу).
Если у вас есть один из вышеперечисленных признаков – есть повод насторожиться, спросить совета (хотя бы и у нас), запустить внеочередное сканирование. Если признаков два или более – вирус есть почти наверняка, теперь его надо лечить.
Как провести чистку сайта от вирусов?
Надо найти все зараженные страницы, и все участки опасного кода, которые на них находятся. Если хотя бы в одном месте останется что-то, велика вероятность, что он распространится. Поэтому следующие семь действий следует выполнять строго в указанной последовательности:
- Обновите базы данных в своем домашнем (или рабочем) антивирусе, и проверьте ПК на наличие троянов. Без такой проверки все последующие операции будут бессмысленными.
- Смените пароль к FTP-аккаунту, не храните его на компьютере, лучше всего – запомните.
- Смените пароль к базам MySQL. Если не уверены, как это сделать, попросите об этом своего хостинг-провайдера. Без изменения паролей дальше продвигаться тоже смысла нет.
- Опционально – запретите доступ к сайту с любых IP, кроме вашего. Это работает только если у вас статический IP. Если IP динамический, этот пункт пропускаете.
- Загрузите файлы сайта на свой ПК, проверьте их домашним антивирусом. Неплохой платный антивирус поможет вам обнаружить кусочки вредоносного кода. А хороший – даже вылечит сайт от вирусов, и вам останется только выгрузить файлы обратно.
- Желательно обнаружить как минимум один зараженный файл. Сделать это можно и вручную. Обратите внимание на файлы login, forum, config, index. Найдите их банальной функцией поиска, посмотрите на наличие внутри чужеродных элементов. Проверьте, чтобы в конце не был прописан скрипт, ведущий на стороннюю страницу. Как правило, он начинается с тега <script> или <iframe>.
- Проверьте дату редактирования найденного зараженного файла. Найдите все остальные файлы с той же датой – вероятно, изменения в них проводил именно зловредный код. Также проверьте те файлы, которые на своем FTP вы видите впервые.
Если локальный антивирус не помог, и самостоятельно очистить/удалить зараженные файлы вы не смогли – всегда остается вариант восстановления из резервной копии. Для начала можно проверить восстановить только те файлы, к которым у вас возникли подозрения. Но надежнее всего будет вылечить сайт от вирусов бесплатной перезаливкой бэкапа всего ресурса. Просто откатите сайт к одной из старых версий, с которой у вас не было проблем.
Если бэкапа нет у вас лично – можно обратиться за помощью к хостеру, чтобы это сделал он. Но обычно достаточно зайти в раздел управления услугами, выбрать одну из предыдущих резервных копий – и отправить заявку на ее восстановление.
Конечно, стопроцентных гарантий выполнение этих семи шагов не дает. Возможно, вирус был и на вашем бэкапе, только в спящем состоянии. Или вы его просто не замечали. Также при восстановлении с резервной копии (или очистки сайта от вирусов с помощью обычного домашнего ПО) всегда есть риск потерять часть информации. Поэтому надежнее будет использовать специализированный онлайн-сервис, занимающийся конкретно проблемами веб-ресурсов. К примеру, VirusDie.ru — специализируется на поиске и удалении вирусов, опасных скриптов, хакерских шеллов. Автоматически пролечит, а также просканирует на вредоносный код.
Источник
«Скорая помощь»: лечение сайта от вирусов
Лечение от вирусов, защита от повторного взлома с разовой оплатой
«Скорая помощь» — это оперативное лечение сайта от вирусов и защита от повторного взлома. Быстрое удаление любого вида вредоносного кода со 100% гарантией и эффективной защитой от взлома, проверенной временем.
Фиксированная стоимость, в которую включено лечение, настройка проактивной защиты и 6 месяцев гарантийной поддержки.
Для динамичных и развивающихся сайтов, с которыми работают подрядчики и сотрудники, более подходящей является услуга «Сайт под наблюдением». Она включает в себя услугу «Скорая помощь».
Услуга «Скорая помощь» — это
Кликните по нужному пункту для получения подробной информации.
- Проводится сканирование файлов сайта на хостинге на наличие вирусов, веб-шеллов, бэкдоров, спам-рассыльщиков, фишинговых страниц, дорвей-страниц и других вредоносных и хакерских скриптов.
- Выполняется диагностика страниц сайта внешним сканером для определения мобильных и поисковых редиректов, опасных виджетов и кодов недобросовестных рекламных сетей.
- Проверяется база данных на наличие хакерских вставок и вирусных инжектов.
Обнаруженные вредоносные фрагменты и хакерские скрипты аккуратно удаляются специалистами, сохраняя работоспособность сайта.
Мы устанавливаем эффективную защиту от взлома, которая исключает повторный взлом и заражение.
Защита состоит из двух основных элементов: «цементирования» и «проактивной защиты». Защита — это перенастройка сайта и параметров аккаунта хостинга.
Подробнее с защитой можно познакомиться на этой странице.
Если сайт заблокирован антивирусом или попал в «черный список» поисковых систем, мы самостоятельно направляем заявку на повторную проверку сайта и исключаем сайт из баз вредоносных сайтов.
После завершения работ по установке защиты сайта мы предоставляем подробный отчет о выполненных работах: список вылеченных файлов, внесенные изменения в настройки сайта и хостинга, а также рекомендации по безопасной работе с сайтом в будущем.
Также предоставляется доступ к справочной странице, содержащей детальное описание работы с защищенным сайтом (как отключать и включать защиту, как менять пароль и пр.).
Лечение сайта выполняется в течение 48 часов с момента получения доступов к хостингу и подтверждения оплаты. А иногда — в тот же день.
Стоимость услуги: первый сайт на аккаунте — 6000 , последующие — со значительной скидкой при единовременном заказе нескольких сайтов на одном аккаунте хостинга. Подробный прайс-лист приведен в Договоре публичной оферты на последней странице (пункт №14).
Оплата разовая за весь комплекс работ по удалению вредоносного кода, защите от повторного взлома и гарантийной поддержкой 6 месяцев. Стоимость фиксированная.
Возможен безналичный расчет или с карт Visa/Mastercard.
Гарантийная техническая поддержка: 6 месяцев.
В случае возникновения повторных проблем безопасности при соблюдении условий договора, мы бесплатно проводим аудит, устраняем проблемы и даем дополнительные 6 месяцев гарантийной поддержки.
Услуга оказывается по договору Публичной Оферты, который застраховывает вас от некачественно выполненных работ.
Мы работаем с юридическими и физическими лицами. Возможно заключение «Соглашения о неразглашении конфиденциальной информации», а также предоставление документов для бухгалтерской отчетности юридическим лицам.
Подготовка к лечению сайтов
1. Обеспечиваем безопасное окружение сайтам: «отсутствие соседей»
Обращаем ваше внимание, что необходимо обеспечить отсутствие других сайтов на аккаунте хостинга, кроме тех, для которых будут проводиться работы. В противном случае непроверенные и незащищенные сайты могут угрожать безопасности вылеченных. Данное требование касается хостингов, где нет технической изоляции сайтов друг от друга внутри одного аккаунта. Данный вопрос можно уточнить в технической поддержке хостинга.
Что такое техническая изоляция сайтов друг от друга?
Это отсутствие возможности скриптами одного сайта вносить изменения в файлы другого сайта. То есть через один сайт нельзя взломать другой. При отсутствии технической изоляции есть большая вероятность массового взлома сайтов внутри аккаунта или повторного взлома вылеченного сайта через соседние незащищеные сайты, находящиеся на том же аккаунте.
2. Готовим доступы к хостингу и сайту
Для выполнения комплексной услуги лечения и защиты нам потребуются доступы в панель управления хостингом (техническую панель), доступы по SSH и доступы в административную панель сайтов.
Большая часть работы выполняется нашими специалистами по SSH (в режиме командной строки), поэтому FTP доступов обычно не достаточно. Но если ваш хостинг не предоставляет доступ по SSH, вам необходимо предоставить доступы в панель управления хостингом.
FTP-доступ — это хост, имя пользователя и пароль. Позволяет работать с файлами сайта через специальную программу — файловый менеджер.
SSH-доступ — это хост, порт, имя пользователя и пароль. Позволяет выполнять команды, производить настройку параметров аккаунта хостинга и работать с файлами сайта.
Техническая панель — панель хостинга, где можно создать или посмотреть доступы от FTP/SSH.
Биллинг панель — панель хостинга, где есть доступ к системе тикетов и происходит управление балансом хостинга.
Админ-панель сайта — это адрес страницы, логин и пароль от CMS. Панель, где вы обновляете содержимое сайта (тексты, фото, документы).
Заказать лечение или защиту сайта
Заполните форму ниже для заказа лечения сайта или услуги превентивной защиты. Наш менеджер ответит вам в течение нескольких минут на указанный email.
Источник
