Как вылечить сайт от вредоносного кода

Как вылечить сайт от вредоносного кода thumbnail

Проанализируйте способы заражения:

  • Злоумышленник может получить пароли к администраторским панелям CMS, FTP или SSH аккаунтам. Обычно пароли подбирают или крадут с помощью троянских программ, заразивших компьютер вебмастера.

  • Уязвимости веб-приложения могут позволять посторонним размещать на сайте произвольный код.

  • Из-за заражения внешнего ресурса (партнерской программы, баннерной системы, счётчика) предоставленный вам код может стать опасным для пользователей.

Проанализируйте информацию о заражении в Яндекс.Вебмастере, в разделе Безопасность и нарушения. Раздел содержит перечень зараженных страниц, даты проверок и вынесенные антивирусом вердикты. Перейдя по ссылке в названии вердикта, вы увидите его описание и примерный вид кода, соответствующего вердикту (кода, который непосредственно появляется на страницах сайта).

Вы также можете самостоятельно воспроизвести проблему с помощью виртуальной машины.

  1. Остановите веб-сервер, чтобы оградить посетителей сайта от потенциальной опасности. Затем проверьте антивирусом файлы веб-сервера и все рабочие станции, с которых администрируют сервер (можно использовать бесплатные антивирусные утилиты) и смените все пароли: root, FTP, SSH, от административных панелей хостинга и CMS.

  2. Если до заражения была сделана резервная копия сайта, восстановите ее.

  3. Обновите до последних версий все используемые сайтом программы и поищите описания исправленных уязвимостей. Возможно, это поможет понять, каким образом сайт был заражен.

  4. Удалите лишних пользователей с расширенными правами и тщательно проверьте сервер на наличие веб-шелла, с помощью которого злоумышленник может изменять код сайта в обход авторизации.

  5. Проверьте наличие вредоносного кода:

    • во всех серверных скриптах, шаблонах CMS, базах данных;

    • в конфигурационных файлах веб-сервера или интерпретатора серверных скриптов;

    • если вы используете shared-хостинг, проверьте другие сайты, расположенные на том же сервере — может быть заражен весь сервер.

Признаки вредоносного кода:

  • Код посторонний или незнакомый, не соответствует резервной копии или системе контроля версий.

  • Обфусцированный (нечитаемый, неструктурированный) код.

  • Дата модификации файлов совпадает с временем заражения или более поздняя. Этот параметр ненадежен, так как дата модификации файлов может быть изменена вирусом.

  • Использование характерных для вредоносного кода функций. Примеры таких функций для языка PHP:

    • динамическое исполнение кода (eval, assert, create_function);

    • обфускация (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);

    • загрузка удаленных ресурсов (file_get_contents, curl_exec).

Пометка об опасности сайта в результатах поиска будет снята, если при очередной проверке робот Яндекса не обнаружит заражения. Чтобы ускорить перепроверку, в интерфейсе Яндекс.Вебмастера, в разделе Безопасность и нарушения, нажмите кнопку Я все исправил.

Рекомендуем в течение нескольких недель после заражения регулярно перепроверять файлы и код сайта на тот случай, если использованная уязвимость не была устранена или злоумышленники по прежнему имеют доступ к сайту.

Яндекс постоянно ищет и исследует новые виды заражений и публикует результаты исследований в блоге Безопасного поиска Яндекса.

Если вы обнаружили на своем сайте вредоносный или подозрительный код, отправьте его на анализ специалистам.

Источник

В настоящее время огромное число сайтов заражено вирусами. Обычно вебмастера называют вирусами любой вредоносный код, который тем или иным образом вредит работе сайта или посетителей. Одни вирусы выполняют безобидный редирект на сайты варезных приложений, азартных игр или сайты для взрослых. Другие, используя уязвимости в браузерах или плагинах, проникают на компьютер посетителя и заражают операционную систему, выполняя разрушительные операции. Но не важно, насколько вредоносным оказывается действие конкретного вируса, любой вредоносных код необходимо убрать с сайта как можно раньше и вот почему.

Наличие вируса на сайте приводит к тому, что последний пессимизируется поисковой системой, теряет позиции в поисковой выдаче, а трафик существенно падает. Падение посещаемости может быть связано с двумя проблемами:

  1. сайт попал в базу поисковой системы, и маркирован как подозрительный или вредоносный
  2. сайт попал в базу антивируса (например, Касперского)

Итог один: сайт теряет посещаемость, лояльность пользователей и поисковых систем. Для того, чтобы восстановить позиции или удалить сайт из базы «подозрительных», придется потратить достаточно много времени и сил.

Оперативно и качественно вылечить сайт от вирусов, исключив повторное заражение, всегда помогут специалисты, которые ежедневно удаляют с сайтов вредоносный код, быстро фиксируют его видоизменения и анализируют способы хакерских атак. Профессиональная помощь в вопросе лечения и защиты веб-проектов помогает сэкономить время на неудачные эксперименты, а самое главное, избежать повторных взломов и заражений.

Быстро (до 48 часов), с гарантированным результатом и по фиксированной цене проблему безопасности сайта помогут решить специалисты компании «Ревизиум», достаточно заполнить форму заявки на лечение.

Заказать

Сайт заражается вирусом несколькими способами:

  1. злоумышленник взламывает сайт через уязвимости в скриптах или на сервере, модифицирует настройки сервера, шаблоны или php скрипты для того, чтобы на странице появлялся вредоносный код на javacript, или выполнялся редирект при определенном условии на сторонний сайт.

    Для того, чтобы это не произошло, нужно укреплять безопасность сайта: регулярно обновлять версию операционной системы на сервере и скриптов системы управления сайтом, грамотно выставлять привилегии для директорий, использовать безопасные настройки PHP/Perl на сервере, регулярно менять пароли от панели администратора и т.п.

  2. вирус на компьютере владельца сайта перехватывает пароль от FTP, отсылает его злоумышленнику или боту, который в свою очередь соединяется по FTP и заражает сайт (см. п 1)

    Для того, чтобы этого не произошло, нужно использовать безопасное соединение SFTP вместо FTP, не хранить пароли в FTP-клиенте, чаще
    менять пароли от FTP, проверять компьютер антивирусом.

Обнаружить вирус помогают поисковые системы, браузеры, антивирусы и иногда посетители сайта. Поисковая система, обычно, присылает отчет о том, что сайт представляет угрозу для посетителей через интерфейс вебмастера. Антивирус или браузер (например, Chrome) блокирует доступ к зараженному сайту, который находится в базе инфицированных сайтов, и показывает пользователю предупреждение при заходе на такой ресурс. Владельцу сайта рекомендуется использовать инструменты вебмастера Яндекса и Гугла для того, чтобы отслеживать работоспособность своих ресурсов. Также в обнаружении вредоносного кода хорошо помогает наблюдение за трафиком: заметное снижение посещаемости сайта может быть сигналом к наличию редиректа или заражению сайта.

Многие владельцы сайтов даже не подозревают о наличии вирусов на своих ресурсах, поскольку вредоносный код может срабатывать при определенных условиях (какое-то конкретное время, количество кликов на странице, заход с определенного браузера или мобильного устройства). Такие вредоносы могут существовать на сайте месяцы, а то и годы. Для их обнаружения необходим как внешний анализ работы сайта, так и внутренний анализ состояния скриптов и сервера.

  1. Для внешнего анализа работы сайта подойдут браузер Chome, антивирус Касперского и две панели вебмастера (Яндекс.Вебмастер и Google Webmaster Tool).
    Браузер Chrome кроме богатого инструментария вебмастера (включая сетевой анализатор и сниффер трафика) имеет встроенный сервис Google Safe Browsing, который покажет, находится ли зараженный сайт в базе Google Safe Browsing.
  2. Для внутреннего анализа рекомендуется использовать специализированные инструменты поиска вредоносных скриптов и следов взлома сайта:
    • AI-Bolit для поиска шеллов, вирусов и других вредоносных скриптов среди скриптов сайта
    • Rkhunter для поиска руткитов на выделенном (VDS/VPS) сервере
    • ClamAV для поиска вирусов под Unix
  1. Проверьте свой компьютер коммерческим антивирусом с регулярно обновляемыми базами
  2. Смените все пароли (доступ к хостингу, к панели администратора сайтов)
  3. Выполните внешний и внутренний анализ сайта, описанные в предыдущем разделе
  4. Удалите вредоносный код из шаблонов и скриптов
  5. Укрепите безопасность сервера и скриптов (советы по усилению безопасности можно посмотреть в группе «Безопасность сайтов» https://vk.com/siteprotect)
  6. Следуйте рекомендациям для предотвращения повторного заражения в статье «Как уберечь сайт от заражения вирусом»

Если вы достаточно уверенно администрируете сервер и являетесь опытным вебмастером, вы сможете легко справится с вредоносными скриптами на сайте.

Также вы всегда можете обратиться к профессионалам, которые помогут вам избавиться от проблем с вирусами, а также защитить сайт от взлома и повторного заражения.

Источник

Проанализируйте способы заражения:

  • Злоумышленник может получить пароли к администраторским панелям CMS, FTP или SSH аккаунтам. Обычно пароли подбирают или крадут с помощью троянских программ, заразивших компьютер вебмастера.

  • Уязвимости веб-приложения могут позволять посторонним размещать на сайте произвольный код.

  • Из-за заражения внешнего ресурса (партнерской программы, баннерной системы, счётчика) предоставленный вам код может стать опасным для пользователей.

Проанализируйте информацию о заражении в Яндекс.Вебмастере, в разделе Безопасность и нарушения. Раздел содержит перечень зараженных страниц, даты проверок и вынесенные антивирусом вердикты. Перейдя по ссылке в названии вердикта, вы увидите его описание и примерный вид кода, соответствующего вердикту (кода, который непосредственно появляется на страницах сайта).

Вы также можете самостоятельно воспроизвести проблему с помощью виртуальной машины.

  1. Остановите веб-сервер, чтобы оградить посетителей сайта от потенциальной опасности. Затем проверьте антивирусом файлы веб-сервера и все рабочие станции, с которых администрируют сервер и смените все пароли: root, FTP, SSH, от административных панелей хостинга и CMS.

  2. Если до заражения была сделана резервная копия сайта, восстановите ее.

  3. Обновите до последних версий все используемые сайтом программы и поищите описания исправленных уязвимостей. Возможно, это поможет понять, каким образом сайт был заражен.

  4. Удалите лишних пользователей с расширенными правами и тщательно проверьте сервер на наличие веб-шелла, с помощью которого злоумышленник может изменять код сайта в обход авторизации.

  5. Проверьте наличие вредоносного кода:

    • во всех серверных скриптах, шаблонах CMS, базах данных;

    • в конфигурационных файлах веб-сервера или интерпретатора серверных скриптов;

    • если вы используете shared-хостинг, проверьте другие сайты, расположенные на том же сервере — может быть заражен весь сервер.

Признаки вредоносного кода:

  • Код посторонний или незнакомый, не соответствует резервной копии или системе контроля версий.

  • Обфусцированный (нечитаемый, неструктурированный) код.

  • Дата модификации файлов совпадает с временем заражения или более поздняя. Этот параметр ненадежен, так как дата модификации файлов может быть изменена вирусом.

  • Использование характерных для вредоносного кода функций. Примеры таких функций для языка PHP:

    • динамическое исполнение кода (eval, assert, create_function);

    • обфускация (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);

    • загрузка удаленных ресурсов (file_get_contents, curl_exec).

Пометка об опасности сайта в результатах поиска будет снята, если при очередной проверке робот Яндекса не обнаружит заражения. Чтобы ускорить перепроверку, в интерфейсе Яндекс.Вебмастера, в разделе Безопасность и нарушения, нажмите кнопку Я все исправил.

Рекомендуем в течение нескольких недель после заражения регулярно перепроверять файлы и код сайта на тот случай, если использованная уязвимость не была устранена или злоумышленники по прежнему имеют доступ к сайту.

Яндекс постоянно ищет и исследует новые виды заражений и публикует результаты исследований в блоге Безопасного поиска Яндекса.

Если вы обнаружили на своем сайте вредоносный или подозрительный код, отправьте его на анализ специалистам.

Источник

Как вылечить сайт от вредоносного кода

Никто не хочет, чтобы с его сайта пропали данные или ресурс стал источником заражения других устройств. Но такое случается, когда на сайт попадает вредоносный код, или, проще говоря, вирус.

Практика показывает, что в основном заражение сайта происходит через системы управления контентом (CMS) и плагины к ним. Вы либо скачиваете из неофициального источника уже зараженный файл. Либо скачиваете из официального, но продукт с ошибкой, о которой пока никто кроме хакеров не знает. Такие ошибки называют уязвимостями.

Хакеры постоянно сканируют интернет в поисках уязвимых сайтов. Когда находят — загружают в файлы сайта вредоносный код. Он-то и рассылает спам, перенаправляет пользователей на зараженные страницы или крадет данные.

Бывает и по-другому, но редко.

Как понять, что сайт заражен

Обычно о заражении сообщает браузер, настольный антивирус или панель веб-мастера. Чтобы удостовериться, проверьте с помощью бесплатных сервисов:

Что делать, если сайт заражен

Обновите программное обеспечение. Как только об уязвимостях становится известно, их исправляют и выпускают обновления. Устанавливайте обновления только с официальных сайтов: WordPress, Joomla!, Drupal.

Удалите пиратские плагины.Устанавливайте плагины только от официальных разработчиков. Если на каком-то сайте размещен бесплатный аналог платного плагина, то скорее всего он уже содержит вирус. Лучше заплатить за оригинальное ПО, чем лечить зараженный сайт.

Поменяйте пароли. Часто вирус попадает на сайт используя пароль от админских панелей FTP или CMS, которые крадет во взломанной почте или компьютере. Смените пароли доступа к панели управления сервером, FTP/SSH-аккаунтам, MySQL, CMS. Используйте сложные пароли: не менее 10 символов, заглавные и строчные буквы, цифры и специальные символы. Для быстрой генерации используйте бесплатные сервисы: 1, 2.

Настройте права доступа к файлам. Через FTP или ISPmanager установите права доступа к файлам сайта. Права определяют, кто может просматривать, записывать и исполнять код. Для файлов сайта подходит значение 644 (изменять содержимое может только администратор, читать и исполнять код — любой посетитель сайта), для директорий лучше установить 755 (администратор может читать и редактировать, все остальные — только читать содержимое).

Восстановите резервную копию. Если вы знаете, когда произошло заражение сайта, восстановите созданную до заражения резервную копию. Это избавит от необходимости «лечить» ресурс.

Заблокируйте неиспользуемые функции в файлах конфигурации PHP. В файле конфигурации PHP (php.ini) добавьте disable_functions к неиспользуемым функциям из вот этого списка: passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source.

Лечим сайт вручную

Лечить сайт можно вручную и с помощью антивирусов.

Если вы умеете работать с консолью сервера, очистите код сайта вручную. Для начала найдите чужеродный код: проверьте зараженные файлы, сравните их с незараженными из резервной копии. После, используя тип файла и фрагмент кода, найдите все зараженные файлы и удалите вредоносный код.

Пример команды для поиска паттернов вирусов в файлах php* и htm* директории /var/www/*/data/www/.

grep -Rils —include=.{php,htm*} -e ‘b=4594’ -e ‘e2aa4e’ -e ‘v58f57b98 = 0’ -e ‘forexam@pandion.im’ -e ‘pathToDomains’ -e ‘if(navigator.userAgent.match(‘ -e ‘var vst = String.fromCharCode’ -e ‘Menufiles/jquery.js’ -e ‘i5463 == null’ -e ‘r57.gen.tr’ -e ‘/rsize.js’ -e ‘feelthesame.changeip.name’ -e ‘40,101,115,110,98,114,105,110’ -e ‘c99sh’ -e ‘Shell by’ -e ‘ sh_ver’ -e ‘.tcpflood’ -e ‘c999sh’ -e ‘Array(base64_decode’ -e ‘Attacker Perl File’ -e ‘bogel = ‘ -e ‘(!function_exists(«getmicrotime»))’ -e’$d=substr’ -e ‘WSO ‘ -e ‘r57shell’ -e ‘msg=@gzinflate(@base64_decode(@str_replace’ -e ‘6POkiojiO7iY3ns1rn8’ -e ‘ mysql_safe’ -e ‘sql2_safe’ -e ‘aHR0cDovLzE3OC4yMTEu’ -e ‘php function _’ -e ‘encodeURIComponent(document.URL)’ -e ‘; if(isset($_REQUEST’ -e ‘UdpFlood’ -e ‘udp://1.1.1.1’ -e ‘ (md5($_POST[‘ -e ‘header(«Location: http’ -e ‘fx29sh’ -e ‘c999sh_surl’ -e ‘c99sh’ -e ‘/request12.php’ -e ‘NlOThmMjgyODM0NjkyODdiYT’ -e ‘semi-priv8’ -e ‘JHNoX25hbWUgPSAiIj’ -e ‘$shell_name’ -e ‘UvUbjYH4eJNgF4E1fedl’ -e ‘killall -9’ -e ‘Angel Shell’ -e ‘c100.php’ -e ‘c2007.php’ -e ‘c99 mod Captain Crunch’ -e ‘$c99sh_updatefurl’ -e ‘C99 Modified By Psych0’ -e ‘php-backdoor’ -e ‘r577.php’ -e ‘wso shell’ -e ‘backdoor’ -e ‘eval(stripslashes(‘ -e ‘Backdoor’ -e ‘Set WSHshell’ -e ‘WSHshell.Run DropPath’ -e /var/www/*/data/www/

Лечим с помощью антивирусов

Если вы не умеете работать с консолью сервера, используйте готовые решения. Самые большие базы паттернов вирусов, распространенных в рунете, содержат два антивируса: Virusdie и AI-Bolit.

Virusdie

Платный инструмент. Автоматически находит вредоносный код и удаляет его. Помогает снять санкции браузера. С Virusdie работать просто, так как антивирус интегрирован с панелью управления веб-сервером ISPmanager.

ImunifyAV

Cканер вирусов. Проверяет сайт на взлом, вирусы и хакерские скрипты. ImunifyAV также интегрирован с ISPmanager: устанавливается по умолчанию и раз в месяц сканирует весь сайт. Чтобы лечить, нужно активировать платную версию.

Как предотвратить заражение

  1. Используйте программное обеспечение только из проверенных источников.
  2. Генерируйте сложные пароли и не храните их в браузере.
  3. Настройте создание резервных копий.
  4. Изолируете сайты друг от друга, для этого создавайте каждый сайт на отдельном пользователе.
  5. Используйте Virusdie постоянно.
  6. Используйте ISPmanager для единовременного обновления всех установленных скриптов, или модуль интеграции ISPmanager с Softaculous.

Источник

Проанализируйте способы заражения:

  • Злоумышленник может получить пароли к администраторским панелям CMS, FTP или SSH аккаунтам. Обычно пароли подбирают или крадут с помощью троянских программ, заразивших компьютер вебмастера.

  • Уязвимости веб-приложения могут позволять посторонним размещать на сайте произвольный код.

  • Из-за заражения внешнего ресурса (партнерской программы, баннерной системы, счётчика) предоставленный вам код может стать опасным для пользователей.

Проанализируйте информацию о заражении в Яндекс.Вебмастере, в разделе Безопасность и нарушения. Раздел содержит перечень зараженных страниц, даты проверок и вынесенные антивирусом вердикты. Перейдя по ссылке в названии вердикта, вы увидите его описание и примерный вид кода, соответствующего вердикту (кода, который непосредственно появляется на страницах сайта).

Вы также можете самостоятельно воспроизвести проблему с помощью виртуальной машины.

  1. Остановите веб-сервер, чтобы оградить посетителей сайта от потенциальной опасности. Затем проверьте антивирусом файлы веб-сервера и все рабочие станции, с которых администрируют сервер и смените все пароли: root, FTP, SSH, от административных панелей хостинга и CMS.

  2. Если до заражения была сделана резервная копия сайта, восстановите ее.

  3. Обновите до последних версий все используемые сайтом программы и поищите описания исправленных уязвимостей. Возможно, это поможет понять, каким образом сайт был заражен.

  4. Удалите лишних пользователей с расширенными правами и тщательно проверьте сервер на наличие веб-шелла, с помощью которого злоумышленник может изменять код сайта в обход авторизации.

  5. Проверьте наличие вредоносного кода:

    • во всех серверных скриптах, шаблонах CMS, базах данных;

    • в конфигурационных файлах веб-сервера или интерпретатора серверных скриптов;

    • если вы используете shared-хостинг, проверьте другие сайты, расположенные на том же сервере — может быть заражен весь сервер.

Признаки вредоносного кода:

  • Код посторонний или незнакомый, не соответствует резервной копии или системе контроля версий.

  • Обфусцированный (нечитаемый, неструктурированный) код.

  • Дата модификации файлов совпадает с временем заражения или более поздняя. Этот параметр ненадежен, так как дата модификации файлов может быть изменена вирусом.

  • Использование характерных для вредоносного кода функций. Примеры таких функций для языка PHP:

    • динамическое исполнение кода (eval, assert, create_function);

    • обфускация (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);

    • загрузка удаленных ресурсов (file_get_contents, curl_exec).

Пометка об опасности сайта в результатах поиска будет снята, если при очередной проверке робот Яндекса не обнаружит заражения. Чтобы ускорить перепроверку, в интерфейсе Яндекс.Вебмастера, в разделе Безопасность и нарушения, нажмите кнопку Я все исправил.

Рекомендуем в течение нескольких недель после заражения регулярно перепроверять файлы и код сайта на тот случай, если использованная уязвимость не была устранена или злоумышленники по прежнему имеют доступ к сайту.

Яндекс постоянно ищет и исследует новые виды заражений и публикует результаты исследований в блоге Безопасного поиска Яндекса.

Если вы обнаружили на своем сайте вредоносный или подозрительный код, отправьте его на анализ специалистам.

Источник