Как вылечить свой сайт от вирусов
Проанализируйте способы заражения:
Злоумышленник может получить пароли к администраторским панелям CMS, FTP или SSH аккаунтам. Обычно пароли подбирают или крадут с помощью троянских программ, заразивших компьютер вебмастера.
Уязвимости веб-приложения могут позволять посторонним размещать на сайте произвольный код.
Из-за заражения внешнего ресурса (партнерской программы, баннерной системы, счётчика) предоставленный вам код может стать опасным для пользователей.
Проанализируйте информацию о заражении в Яндекс.Вебмастере, в разделе Безопасность и нарушения. Раздел содержит перечень зараженных страниц, даты проверок и вынесенные антивирусом вердикты. Перейдя по ссылке в названии вердикта, вы увидите его описание и примерный вид кода, соответствующего вердикту (кода, который непосредственно появляется на страницах сайта).
Вы также можете самостоятельно воспроизвести проблему с помощью виртуальной машины.
Остановите веб-сервер, чтобы оградить посетителей сайта от потенциальной опасности. Затем проверьте антивирусом файлы веб-сервера и все рабочие станции, с которых администрируют сервер (можно использовать бесплатные антивирусные утилиты) и смените все пароли: root, FTP, SSH, от административных панелей хостинга и CMS.
Если до заражения была сделана резервная копия сайта, восстановите ее.
Обновите до последних версий все используемые сайтом программы и поищите описания исправленных уязвимостей. Возможно, это поможет понять, каким образом сайт был заражен.
Удалите лишних пользователей с расширенными правами и тщательно проверьте сервер на наличие веб-шелла, с помощью которого злоумышленник может изменять код сайта в обход авторизации.
Проверьте наличие вредоносного кода:
во всех серверных скриптах, шаблонах CMS, базах данных;
в конфигурационных файлах веб-сервера или интерпретатора серверных скриптов;
если вы используете shared-хостинг, проверьте другие сайты, расположенные на том же сервере — может быть заражен весь сервер.
Признаки вредоносного кода:
Код посторонний или незнакомый, не соответствует резервной копии или системе контроля версий.
Обфусцированный (нечитаемый, неструктурированный) код.
Дата модификации файлов совпадает с временем заражения или более поздняя. Этот параметр ненадежен, так как дата модификации файлов может быть изменена вирусом.
Использование характерных для вредоносного кода функций. Примеры таких функций для языка PHP:
динамическое исполнение кода (eval, assert, create_function);
обфускация (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);
загрузка удаленных ресурсов (file_get_contents, curl_exec).
Пометка об опасности сайта в результатах поиска будет снята, если при очередной проверке робот Яндекса не обнаружит заражения. Чтобы ускорить перепроверку, в интерфейсе Яндекс.Вебмастера, в разделе Безопасность и нарушения, нажмите кнопку Я все исправил.
Рекомендуем в течение нескольких недель после заражения регулярно перепроверять файлы и код сайта на тот случай, если использованная уязвимость не была устранена или злоумышленники по прежнему имеют доступ к сайту.
Яндекс постоянно ищет и исследует новые виды заражений и публикует результаты исследований в блоге Безопасного поиска Яндекса.
Если вы обнаружили на своем сайте вредоносный или подозрительный код, отправьте его на анализ специалистам.
Источник
Вылечим любой сайт от вирусов за 2500 рублей.
Привет, друзья. Раз себя уж мы прорекламировали, можно переходить к основной теме статьи, это самостоятельное лечения сайта от вирусов. Вирусов бывает много, но в рамках этой статьи мы поговорим о трех распространенных видах: Obfuscated.Globals, Trojan.Inject и вредоносные JavaScript инъекции (его часто помечают как “подозрительный JavaScript код”).
Чтобы самостоятельно вылечить сайт от вирусов потребуется владение базовыми навыками веб-разработки, а именно:
● Умение ориентироваться в файлах сайта;
● Хорошо владеть основами управления хостингом;
● Знание HTML;
● Быть уверенным пользователем SSH;
● На базовом уровне владеть PHP*;
● На базовом уровне владеть JavaScript*.
*Когда мы говорим “на базовом”, то имеем в виду, что Вы сможете отличить PHP код от JavaScript, знаете, что такое переменные, функции, условия и понимаете с каких строк начинается тот или иной язык.
P.S: Иногда файлы бывают конкретно так повреждены, что приходится переписывать весь файл на том или ином языке программирования (чаще всего это PHP).
Как вылечить сайт от вирусов
Итак, приступим. Сначала нужно определить какой же из трех видов вируса подхватил Ваш сайт: Obfuscated.Globals, Trojan.Inject или вредоносный JavaScript код. С этим пунктом Вам поможет лишь антивирус.
Вредоносный или подозрительный JavaScript код
Чаще всего самый легкий вариант для лечения. Обычно легко внедряется в виде подгружаемого из вне скрипта во всякие CMS, где есть кеш — Битрикс, Webasyst. Выглядеть может так:
Естественно, это не код от Google Analytics, хотя неопытного пользователя это может ввести в заблуждение. Обычно вирусы просто маскируют таким образом. Всегда можно вырезать код из тега src=”” и кинуть ссылку в Google.
Как найти
Если, по какой-то причине Вы не знаете точного нахождения файла, то воспользуйтесь поиском через SSH. Обычно такое происходит, когда вирус показывает сторонний сервис-антивирус с какого-нибудь сайта.
Команда grep -rn “искомый текст” отлично подойдет. Если будете указывать ссылку на скрипт с HTML атрибутами, не забывайте про экранирование кавычек. Также, с помощью того же терминала можно запустить проверку всех файлов и показать какие из них были добавлены или изменены за месяц. Например, find -type f -mtime -30 ! -mtime -1.
За подробными описаниями этих команд просим проследовать в Google. Ибо если сейчас это тут объяснять может уйти еще килотонна букв (когда-нибудь мы напишем свою статью про работу с терминалом).
Как вылечить
Чтобы избавиться от этой заразы, достаточно просто удалить эту нехорошую строчку и снова запустить антивирусную проверку.
Еще можно воспользоваться бэкапом (многие хостинги дают аж до 30 резервных копий на каждый день месяца). Вдруг 2 недели назад вируса не было? Но запомните, Ваши все изменения на сайте могут пропасть, будьте внимательны!
Важно: иногда антивирусы принимают за “вредоносный JavaScript код” вполне нормальные скрипты, например, код от JivoSite или Callibri. Хотя антивирусы внутри хостинга reg.ru, nic, netangels почти не допускают таких ошибок.
Trojan.Inject
В нашей практике чаще всего это обычный web shell. Это такой злой скрипт (а иногда веб-приложение), который используют для управления чужими сайтами и серверами: выполнения SSH команд, перебор паролей, доступ к файловой системе и т.д.
Как найти
Иногда, если достаточно личного опыта, можно просто найти «странный» файл, лазая по папкам сайта. Например, автор этой статьи как-то увидел на своем новеньком сайте непонятный файл, который не свойственен CMS ModX. Естественно, появились вопросы.
Если антивирус показал только строчки кода или название файла, можно воспользоваться терминалом и командами grep -rn (искать строчки кода с нужными словами) или find -name (искать файл по имени).
Как вылечить
Здесь есть два стула…
Первый, это если злой файл оказался пришельцем. Вы хорошо знаете структуру своего сайта, поняли это, когда внимательно изучили сам файл (без этого никуда) или проверили через SSH появление/обновление файлов. Тогда просто его удаляйте.
Кстати, для того, чтобы нормально прочитать злой код, хорошо подойдет декодер PHP. Не факт, что Вы все сразу поймете, придется сильно напрячь мозги.
Второй, если инъекции подверглись важные файлы системы. Тут либо бэкап, либо страдать. Если бэкап не помогает, и мы выбираем страдания, то внимательно читаем сам код вируса (или файла), хотите Вы этого или нет. Ибо простое удаление повредит работоспособность Вашего сайта.
Опытный пользователь поймет, что это лишь искусственно воссозданный пример. Конечно, что-то подобное можно увидеть и в реальной жизни.
Если Вы нашли зашифрованную инъекцию, просто удалите ее начиная с <? и заканчивая ?>.
Obfuscated.Globals
Обфускация — процесс превращения очевидного в неочевидное.
Почти любой вирус проходит через обфускацию, поэтому, когда антивирус не уверен в содержимом файла, то он дает ему обозначение Obfuscated.Globals.
Через обфускацию проходит Doubt.Obfuscated.Globals, иногда Doubt.PHP.Spaces (более гениальное решение, стоит проскролить нормальный код направо и за кучей пробелов находишь “подвох”.) и даже Eval.gz.b64.short, хотя это закодированный base64, но автору статьи все равно. Ибо на первый взгляд это какие-то каракули.
Важно: иногда это может быть не вирус. В нашей практике программист шифровал важные куски кода для одного веб-приложения, и впоследствии антивирус указывал на наш код. Так что, если Вы когда-то шифровали файл сами — не пугайтесь.
Как найти
Все такие же способы как с Trojan.Inject. Если известен только кусок кода или имя файла, включаем SSH и начинаем: grep -rn или find -name. Можно через терминал сравнивать все измененные файлы.
Как лечить
Здесь только два пути.
Первый. Делаем бекап всего сайта или нужного файла до состояния, когда он был “нормальным”.
Второй. Если бэкапа нет или он не помог. Идем в “злой” файл и ищем вредоносный код, а далее, как на скриншоте выше, удаляем его начиная с <? и заканчивая ?>. Если весь наш файл зашифрован, то добро пожаловать в ад. Читаем, декодируем, удаляем ненужное или просто переписываем весь файл.
Итог
Если Вы удалили вирус, то нет смысла радоваться. Он ведь как-то попал на сайт, поэтому включите голову и ищите дырку! Возможно, обычное обновление Вашей CMS сможет закрыть этот вопрос. Если имеете дело с самописным движком, то проверьте корневые файлы сайта. Может, в каком-нибудь router.php реализация маршрутизатора URL сделана на школьном уровне. Кто знает, кто знает, дыр может быть много.
Вылечим любой сайт от вирусов за 2500 рублей.
Источник
251
Вылечить сайт от вирусов еще совсем недавно можно было только на платной основе и совсем не дешево. Прежде всего, мало кто на первых порах создания своего сайта, задумывается о его безопасности. А в случае заражения, желательно кого-нибудь обвинить, но только не себя. А между тем, в большинстве случаев, скажем прямо, мы сами виноваты в этом, «что тут петли-то крутить!»
Но и установкой одного антивируса здесь тоже не обойтись. Я не буду перечислять причины, а сразу перейду к главному вопросу. Если уж так случилось, что вы сами обнаружили или инструменты веб-мастера яндекса и гугла вам подсказали о присутствии вредоносного кода или вируса на вашем сайте, необходимо сразу принять меры, иначе о последствиях просто подумать страшно. Простой бан поисковиков вам покажется сказкой.
Если у вас статичный сайт-визитка созданный на простом html-шаблоне или сверстан вами самостоятельно, то вылечить такой сайт от вирусов покажется простым баловством. Ведь наверняка всегда есть копия такого сайта на локальной машине, старый удалил, новый закачал на хостинг и все готово. Но если вы используете cms-системы, здесь проблема посерьезней и решить ее на раз-два не получиться.
Конечно очень желательно иметь в запасе резервную копию сайта, но как всегда об этом можно и «позже» подумать.
Как вылечить сайт от вирусов созданный на cms
В любой cms-системе очень много различных папок и файлов необходимых для работы сайта. Отыскать в них зараженные файлы в ручном режиме, просто не реально. И здесь многим бесстрашным веб-мастерам пришли на помощь специализированные сервисы. О некоторых я рассказывал в статьях и курсах, но сегодня речь пойдет о сервисе «Вирусдай» (https://virusdie.ru).
Знал о нем давно, но не было повода для близкого знакомства. Но как говориться, не стоит доверять одному антивирусу как и одному врачу, а вдруг ошибка в диагнозе! И я решил протестировать на своем блоге. Все этапы проверки я зафиксировал с помощью подробных скриншотов.
Сервис проверки сайта на вирусы и его лечение
Для начала регистрируемся и получаем письмо с просьбой о подтверждении регистрации. Затем добавляем адрес сайта в специальное поле и процесс пошел.
На втором этапе необходимо скачать файл синхронизации и добавить в корень сайта. При добавлении файла, название самого файла менять не нужно. Как все будет готово, жмем на зеленую ссылку.
Добавлять файл можно вручную, или автоматически, если есть данные для ftp-доступа
Если все сделано правильно и перейдя по ссылке у вас не будет ошибок, а будет вот такая картинка, тогда все отлично и можно выбрать способ лечения платный и бесплатный поиск, а лечить будем самостоятельно. В бесплатном режиме можно проверить только один раз, но а если нет желания постоянно думать о безопасности и тратить время на проверку и лечение сайта от вирусов, можно довериться сервису за не большую плату, всего 2499 рублей в год. Что называется, заплатил и спи спокойно.
Я выбрал бесплатную проверку сайта на вирусы и лечение в ручном режиме. Почему? Что касается денег, то они здесь ни при чем, а вот про ручной режим немного расскажу.
При наличии на сайте специальных расширений, которые тоже могут вызвать подозрение у разных проверочных сервисов, можно по незнанию в один миг нарушить работу всего проекта. А вот в ручном режиме, желательно разобраться что за файл и для чего он предназначен.
Кроме этого, сервис присылает отчет о проделанной работе на почтовый ящик, где так же можно просмотреть название подозрительных файлов и каждый файл является ссылкой на статью об этом файле.
Сам процесс проверки показан на картинке ниже.
Так же доступен полный отчет на сайте virusdie.ru в личном кабинете. Если выбран бесплатный способ, сервис просто дает информацию о найденных подозрительных файлах или вирусах.
Подведя итог, можно сказать о том, что с помощью данного сервиса мы сможем бесплатно не вылечить сайт от вирусов, а произвести поиск подозрительных или зараженных файлов. Лечение соответственно платное, но если учитывать сложность поиска таких файлов, то помощь таких сервисов быстро решает данную проблему
Чтобы обезопасить себя и развеять все сомнения о подозрительных файлах найденных у меня на блоге, я пропустил все эти файлы еще через 50 антивирусов сервиса virustotal.
Проверка подозрительных файлов на вирусы
Хоть я точно знаю к каким плагинам относятся мои «подозрительные» файлы и лечить их от вирусов нет необходимости, все же решил устроить дополнительную проверку. Скопировал все файлы к себе на компьютер, запаковал в архив и с помощью virustotal проверил вначале архивом. Но и этого мне показалось мало, и я проверил весь сайт на вирусы с помощью следующей функции сервиса-это добавляя адрес сайта.
В результате ничего подозрительного выявлено не было. Я не сомневался в этом потому что отслеживаю периодически эти моменты.
Вылечить сайт от вирусов можно и вручную, но это для любителей работать ручками и копаться в файлах в поисках вредоносного кода или подозрительного файла. Об этом в другой раз. Если конечно это интересно, оставляйте комментарии.
Источник
Если ваш сайт взломали — не паникуйте.
В этой статье вы узнаете 2 способа вылечить сайт от вредоносного кода, бэкдоров и спама вручную, и 1 способ с помощью плагина.
В первом способе вы Экспортируете базу данных и несколько файлов. После этого вы переустановите Вордпресс, Импортируете базу данных обратно и импортируете несколько настроек из сохраненных файлов.
Во втором способе вы удалите часть файлов и попробуете найти внедренный код при помощи команд в SSH терминале.
В третьем способе вы установите плагин.
Содержание:
- Убедитесь, что сайт взломан
- Сделайте бэкап
- Что можно безопасно удалить с любого взломанного сайта
- Как очистить Вордпресс сайт от заражения. Способ 1
- Как удалить вредоносный код и вылечить сайт. Способ 2
- Как найти вредоносный код и вылечить сайт с помощью плагина. Способ 3
- Сервисы, на которых вы можете проверить сайт на наличие вредоносного ПО
- Что делать с зараженными файлами
- После очистки сайта Гугл Хром продолжает показывать предупреждение, что сайт опасен и содержит вредоносное ПО. Что делать?
- Посетители сайта получают предупреждения от файрволов и антивирусов. Что делать?
- Как узнать, что мой сайт находится в списке опасных сайтов, содержащих вредоносное ПО?
Что делать, чтобы сайт не заразился снова?
Убедитесь, что сайт взломан
Если вы думаете, что сайт взломан, убедитесь, что это действительно так. Иногда сайт может вести себя странно или вы можете думать, что сайт взломали.
Ваш сайт взломан, если:
- Вы видите появляющийся спам на вашем сайте в хедере или футере, который рекламирует казино, кошельки, нелегальные сервисы и так далее. Такое объявление может быть незаметным для посетителей, но заметным для поисковых систем, например, темный текст на темном фоне.
- Вы делаете запрос site:ваш-сайт.ru в Яндексе или Гугле, и видите на страницах сайта контент, который вы не добавляли.
- Ваши посетители говорят вам, что их перенаправляет на другие сайты. Эти редиректы могут быть настроены так, что они не работают с администратором сайта, но работают для обычных пользователей и видны поисковым системам.
- Вы получили сообщение от хостинг провайдера о том, что ваш сайт делает что-то вредоносное или спамит. Например, что ваш сайт рассылает спам, или в интернет-спаме присутствует ссылка на ваш сайт. Хакеры рассылают спам, в том числе с зараженных сайтов, и используют зараженные сайты для перенаправления пользователей на свои сайты. Они так делают, потому что хотят избежать спам-фильтров, чтобы их сайты не попали под санкции поисковых систем. Когда зараженный сайт попадает в спам-фильтры, хакеры оставляют его и пользуются другими.
- Другие признаки в чек-листе по взлому сайта
Сделайте бэкап
После того, как вы убедились, что сайт взломан, сделайте бэкап всего сайта с помощью плагина, бэкап приложения на хостинге или по FTP.
Некоторые хостинг провайдеры могут удалить сайт, если вы скажете им, что сайт взломан, или если хостинг провайдер сам определит это. Владельцы хостинга могут удалить сайт, чтобы не заразились другие сайты.
Также сделайте бэкап базы данных. Если что-то пойдет не так, вы всегда можете вернуться ко взломанной версии сайта, и начать все сначала.
- Бэкап Вордпресс. Подробное описание
Если ваши логи событий хранятся не в папке сайта, то скопируйте логи, так как обычно они хранятся на хостинге несколько дней, после чего автоматически удаляются.
Что можно безопасно удалить с любого взломанного сайта
- Обычно можно удалить все содержимое папки wp-content/plugins/. Вы не потеряете никакие данные и это не разрушит сайт. Позже Вордпресс определит, что вы удалили плагины, и отключит их. Не удаляйте только отдельные файлы, удаляйте папки с плагинами целиком. Некоторые плагины создают свои папки и файлы не только в папке /plugins, но и в других. Например, W3TC удаляется так. Некоторые файлы кеша W3TC определяются некоторыми сканерами как подозрительный или вредоносный код. Удалите все папки и файлы плагинов, чтобы не было ложных срабатываний.
- Оставьте только одну тему в папке wp-content/themes/, все остальные папки с темами можно удалить. Если вы пользуетесь дочерней темой, то оставьте 2 папки, — с родительской и с дочерней темой.
- В папки wp-admin и wp-includes очень редко добавляются новые файлы. Если вы видите в них что-то новое, скорее всего, это добавил хакер. Файлы Вордпресс.
- Удалите старые копии или бэкапы сайта из подпапок сайта. Обычно что-нибудь вроде /old или /backup. Хакер мог попасть в старую версию сайта, и оттуда проникнуть в основную версию сайта. Если ваш сайт взломали, проверьте эти папки на наличие вредоносного ПО, часто старые версии сайта заражены вирусами.
Как очистить Вордпресс сайт от заражения. Способ 1
- Сделайте полный бэкап сайта и базы данных, и сохраните их на компьютер.
- Скачайте на компьютер файл wp-config.php из корневой папки сайта, папку /wp-content/uploads и папку с активной темой. Перед копированием темы обновите ее до последней версии. Если вы пользуетесь дочерней темой, то скопируйте обе папки.
- Полностью удалите сайт и базу данных с сервера.
- Установите свежую копию Вордпресс, используйте новые сложные логин и пароль.
- Перенесите настройки связи с базой данных из сохраненного файла wp-config.php в новый из этой части файла:
Обычно используются только 3 верхние константы: DB_NAME, DB_USER и DB_PASSWORD. Оставшиеся 3 должны быть такие же, как в примере.
- Если в файле wp-config у вас были другие настройки, которые вы добавляли вручную, перенесите их в новый файл.
- Замените папку /wp-content/uploads из свежей установки Вордпресс на сохраненную папку /wp-content/uploads из п.2
- Скопируйте папку с темой из п.2 в новую установку Вордпресс.
- Импортируйте сохраненную базу данных из п. 1 в разделе База данных на хостинге.
- Зайдите на сайт, активируйте тему.
Как удалить вредоносный код и вылечить сайт. Способ 2
Если у вас есть SSH доступ к серверу, вы можете использовать эти команды, чтобы проверить, какие файлы изменялись за последние X дней. Этот запрос покажет все измененные файлы в запрошенном интервале времени во всех папках и подпапках сайта (чтобы узнать, какие это папки, наберите pwd в SSH терминале):
find . -mtime -2 -ls
Если вы хотите найти измененные файлы в определенной папке, используйте этот запрос:
find /путь/к/вашему/сайту/папка/ -mtime -2 -ls
Замените /путь/к/вашему/сайту/папка/ на путь к вашей папке.
Если вы хотите изменить интервал до 10 дней, сделайте такой запрос:
find /путь/к/вашему/сайту/папка/ -mtime -10 -ls
Не забудьте заменить /путь/к/вашему/сайту/папка/ на путь к нужной папке.
Сделайте такой поиск, начните с 2-х дней и постепенно увеличивайте количество дней, пока не увидите изменения в файлах. Не забывайте, что обновления ПО — тоже изменения в файлах. После того, как вы нашли зараженный файл, его можно вылечить или заменить на оригинальный. Это очень простой и эффективный способ найти зараженные файлы, который используется всеми сервисами по лечению сайтов.
Еще одна полезная команда в SSH — «grep». Чтобы найти файл, который содержит какое-нибудь сочетание, например, «base64», которое часто используется хакерами, используйте эту команду:
grep -ril base64 *
Эта команда покажет список файлов, в которых встречается сочетание base64.
Вы можете убрать «l» из запроса, чтобы увидеть содержание файлов, в которых встречается это сочетание.
grep -ri base64 *
Хакеры часто используют эти функции:
- base64
- str_rot13
- gzuncompress
- eval
- exec
- create_function
- system
- assert
- stripslashes
- preg_replace (/e/)
- move_uploaded_file
Эти функции могут использоваться и в оригинальных файлах тем или плагинов, но в большинстве случаев это хак. Перед тем, как что-нибудь удалить, убедитесь, что вы не удаляете здоровый код или файл.
Более аккуратный запрос может быть таким:
grep —include=*.php -rn . -e «base64_decode»
Результат этого запроса показывает номера строк, в которых содержится сочетание «base64_decode», в тех файлах, которые заканчиваются на .php.
Попробуйте использовать команду grep в комбинации с командой find. Вам нужно найти файлы, которые были недавно изменены, выяснить, что было изменено, и если вы нашли какое-то повторяющееся сочетание, например, «base64_decode» или «hacker was here», с помощью команды grep попробуйте найти это сочетание в других файлах:
grep -irl «hacker was here» *
Эта команда покажет все файлы, в которых встречается фраза hacker was here.
Хакеры часто внедряют код в папку /uploads. Этот код поможет вам найти все файлы в папке uploads, которые не являются изображениями. Результат сохраняется в файле “uploads-not-pictures.log” в текущей папке.
find public_html/wp-content/uploads/ -type f -not -name «*.jpg» -not -name «*.png» -not -name «*.gif» -not -name «*.jpeg» >uploads-not-pictures.log
Использование запросов find и grep поможет вам очистить сайт от заразы.
Как найти вредоносный код и вылечить сайт с помощью плагина. Способ 3
Если вы можете установить плагин, попробуйте Anti-Malware Security and Brute-Force Firewall:
Зайдите в Scan Settings, Зарегистрируйтесь в правом окне Updates & Registrations и нажмите Run Complete Scan.
Другие плагины — сканеры: NinjaScanner, Quttera Web Malware Scanner, AntiVirus, WP Antivirus Site Protection.
Сервисы, на которых вы можете проверить сайт на наличие вредоносного ПО
- Unmask Parasites — довольно простой сервис для проверки сайта. Первый шаг, чтобы определить, был ли сайт взломан.
- Sucuri Site Check — хороший сервис для поиска заражений на сайте. Кроме сканера показывает, внесен ли сайт в списки вредоносных сайтов. На данный момент 9 списков.
- Norton Safe Web – сканер сайта от Norton.
- Quttera – сканирует сайт на наличие вредоносного ПО.
- 2ip — проверяет на вирусы и включение в черные списки Яндекса и Гугла.
- VirusTotal – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
- Web Inspector – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение пары минут генерирует довольно детальный отчет.
- Malware Removal – сканирует сайт на наличие вредоносного ПО, вирусов, внедренных скриптов и так далее.
- Scan My Server – сканирует сайт на вредоносный софт, SQL внедрения, XSS и так далее. Для использования требуется бесплатная регистрация. Довольно детальные отчеты приходят на е-мейл раз в неделю.
Что делать с зараженными файлами
В зависимости от того, что вы нашли, вы можете удалить файл целиком или только ту часть, которую добавил хакер.
- Если вы нашли файл бэкдора, в котором находится только вредоносный скрипт — удалите весь файл.
- Вы нашли вредоносный код в файле Вордпресс, темы или плагина — удалите весь файл, и замените на оригинальный с официальной страницы.
- Вы нашли вредоносный код в файле, который вы или кто-то создал вручную — удалите вредоносный код и сохраните файл.
- Возможно, у вас в бэкапе есть незараженная версия сайта, вы можете восстановить сайт из старой версии. После восстановления обновите Вордпресс, плагины и тему, смените пароль и установите плагин безопасности.
- Если ничего не помогло — обратитесь к профессионалам в платный сервис.
***
После очистки сайта Гугл Хром продолжает показывать предупреждение о том, что сайт опасен и содержит вредоносное ПО. Что делать?
Вам нужно удалить свой сайт из списка зараженных сайтов Гугл.
- Зайдите в Инструменты вебмастера Гугл
- Добавьте свой сайт, если вы его еще не добавили
- Подтвердите владение сайтом
- На главной странице вашего аккаунта Инструментов вебмастера Гугл выберите ваш сайт
- Кликните Проблемы безопасности
- Нажмите Запросить проверку
Подробнее о Запросе проверки.
- Как очистить сайт от вирусов и удалить его из черных списков
Посетители сайта получают предупреждения от файрволов и антивирусов. Что делать?
Аналогично со списком зараженных сайтов Гугл, нужно удалить сайт из списков всех антивирусов: Касперского, ESET32, Avira и так далее. Зайдите на сайт каждого производителя и найдите инструкции по удалению своего сайта из списка опасных сайтов. Обычно это называется whitelisting. Наберите в поисковике eset whitelist website, avira site removal, mcafee false positive, это поможет вам найти нужную страницу на этих сайтах, чтобы исключить свой сайт из списка сайтов, содержащих вредоносное ПО.
Как узнать, что мой сайт находится в списке опасных сайтов, содержащих вредоносное ПО?
Пройдите по этой ссылке, замените ваш-сайт.ru на ваш адрес:
https://transparencyreport.google.com/safe-browsing/search?url=ваш-сайт.ru
Там же вы можете проверить субдомены вашего сайта, если они есть. На этой странице вы найдете детальную информацию о вашем сайте, находится ли он в списках malware или phishing сайтов, и что делать, если содержится.
Что делать, чтобы сайт не заразился снова?
- Регулярно обновляйте версию Вордпресс, тем и плагинов по мере выхода новых версий. Автообновление Вордпресс.
- Используйте сложные логины и пароли. Рекомендация для пароля: пароль должен быть не менее 12 символов, содержать заглавные и строчные буквы, цифры и символы.
- Выбирайте темы и плагины от проверенных авторов.
- Используйте надежный хостинг. Обзор хостинга Бегет.
- Установите плагин безопасности. 7 Лучших плагинов защиты Вордпресс.
- Настройте автоматический бэкап всех файлов и базы данных. Бэкап Вордпресс.
- Удалите все старые версии сайта с сервера.
- Читайте Безопасность Вордпресс. Подробное описание.
Читайте также:
- Чек-лист: что делать, если сайт взломали
- Как найти и удалить бэкдоры на Вордпресс сайте
- Как зайти в админку после взлома сайта
- Как найти следы взлома в логах сервера
- Как удалить сайт из черных списков
- 2 Примера взлома и лечения сайта
Надеюсь, статья была полезна. Оставляйте комментарии.
Источник