Как вылечить свой сайт

grep -Rils —include=.{php,htm*} -e ‘b=4594’ -e ‘e2aa4e’ -e ‘v58f57b98 = 0’ -e ‘forexam@pandion.im’ -e ‘pathToDomains’ -e ‘if(navigator.userAgent.match(‘ -e ‘var vst = String.fromCharCode’ -e ‘Menufiles/jquery.js’ -e ‘i5463 == null’ -e ‘r57.gen.tr’ -e ‘/rsize.js’ -e ‘feelthesame.changeip.name’ -e ‘40,101,115,110,98,114,105,110’ -e ‘c99sh’ -e ‘Shell by’ -e ‘ sh_ver’ -e ‘.tcpflood’ -e ‘c999sh’ -e ‘Array(base64_decode’ -e ‘Attacker Perl File’ -e ‘bogel = ‘ -e ‘(!function_exists(«getmicrotime»))’ -e’$d=substr’ -e ‘WSO ‘ -e ‘r57shell’ -e ‘msg=@gzinflate(@base64_decode(@str_replace’ -e ‘6POkiojiO7iY3ns1rn8’ -e ‘ mysql_safe’ -e ‘sql2_safe’ -e ‘aHR0cDovLzE3OC4yMTEu’ -e ‘php function _’ -e ‘encodeURIComponent(document.URL)’ -e ‘; if(isset($_REQUEST’ -e ‘UdpFlood’ -e ‘udp://1.1.1.1’ -e ‘ (md5($_POST[‘ -e ‘header(«Location: http’ -e ‘fx29sh’ -e ‘c999sh_surl’ -e ‘c99sh’ -e ‘/request12.php’ -e ‘NlOThmMjgyODM0NjkyODdiYT’ -e ‘semi-priv8’ -e ‘JHNoX25hbWUgPSAiIj’ -e ‘$shell_name’ -e ‘UvUbjYH4eJNgF4E1fedl’ -e ‘killall -9’ -e ‘Angel Shell’ -e ‘c100.php’ -e ‘c2007.php’ -e ‘c99 mod Captain Crunch’ -e ‘$c99sh_updatefurl’ -e ‘C99 Modified By Psych0’ -e ‘php-backdoor’ -e ‘r577.php’ -e ‘wso shell’ -e ‘backdoor’ -e ‘eval(stripslashes(‘ -e ‘Backdoor’ -e ‘Set WSHshell’ -e ‘WSHshell.Run DropPath’ -e /var/www/*/data/www/

1. Используйте программное обеспечение только из проверенных источников.
2. Генерируйте сложные пароли и не храните их в браузере.
3. Настройте создание резервных копий.
4. Изолируете сайты друг от друга, для этого создавайте каждый сайт на отдельном пользователе.
5. Используйте Virusdie постоянно.
6. Используйте ISPmanager для единовременного обновления всех установленных скриптов, или модуль интеграции ISPmanager с Softaculous.

Приветствую вас, уважаемые читатели блога firstprize.ru. В этой статье я наглядно покажу и расскажу вам из своего личного опыта, как проверить свой сайт на вирусный онлайн, а также как его вылечить (удалить вирусный код).

Итак, начнем с предыстории. Давно, когда я еще был достаточно неопытным вебмастером, на мой сайт, и многие другие была произведена ДОС-атака от хакеров. В тот злополучный день многие подловили вирус, который достаточно хорошо усложнил им жизнь. Кто-то позиции потерял в поисковиках, кто-то деньги, а кто-то вообще весь свой сайт. Впрочем, всего этого можно было избежать, придерживаясь хотя бы элементарных правил, о которых я не раз писал в этой статье.

Но раз таки вы уже читаете этот пост, то значит, что скорее всего вам они уже не понадобятся, и вам нужно как можно скорее вылечить свой сайт пока Яндекс не подарил ему вечный бан (а он это любит, уж поверьте). Итак, чтобы не появилась путаница, начнем по порядку, что да как нужно делать, чтобы вылечить свой сайт от вирусов.

Если у вас и правда заражен сайт вирусным кодом, то вы точно встретитесь со многими фактами изложенными ниже.

— К вам пришло письмо от Яндекса. В письме же говорится, что у вас нашли 5-10 страниц зараженных вирусом, но по правде это весь сайт заражен, просто Яндекс немного тупит в этом деле. Сразу хочу сказать, что не надо лезть на свой сайт и удалять, мол, зараженные страницы, так как скоро вам придет то же самое письмо, но только уже с другими адресами страниц.

— У вас пропала куда-то половина ваших посетителей. При просмотре статистики вы можете немного недоумевать, почему с Яндекса или Google практически нет переходов на сайт, несмотря на то, что он занимает хорошие позиции. Вся вина в этом.

Как видите из скриншота, Яндекс предупреждает пользователей о заражение сайта и не дает им на него перейти.

— При переходе на ваш сайт вы замечаете, что он стал медленнее, чем когда-то. Конечно, может это просто интернет глючит, но скорее всего, это скрипт вируса, который делает редирект (переброс посетителей на другой сайт). Вас, конечно же, никуда перебрасывать не будет, так как хакеры люди хитрые и, как правило, уже знают кто владелец сайта, ну точнее скрипт вируса знает, который анализирует все данные. Короче говоря, во вредоносном коде вируса прописано, чтобы перебрасывать всех посетителей, кроме того у кого IP компьютера, например 158.152.0.0 (то есть вашего).

— При открытие сайта ваш антивирусник и многих других ваших посетителей начинают давать тревогу. В конечном счете, вы начинаете получать гору комментариев или писем, где многие недовольно начинают отписываться в ваш адрес за попытку заразить их компьютер.

Конечно, есть еще и другие мелкие факторы, но это самые основные, которые вы вряд ли пропустите. Ну а если вы все еще сомневаетесь в заражении своего сайта, то рекомендую проверить его дополнительно на различных онлайн сервисах.

В интернете существует достаточно много онлайн сервисов, которые только и могут сказать, что ваш сайт заражен вредоносным кодом, но в то же время они не способны его вылечить, а многие даже показать, что за вирус и в каких файлах. В прочем 90% из тех сайтов, что приведены чуть ниже абсолютно бесполезны кроме последнего. Если хотите знать, почему я так думаю, то читайте чуть ниже под заголовком «Моя история как я вылечил свой сайт на движке WordPress от вирусного кода.».

А вот сами сервисы: taghosting.ru, antivirus-alarm.ru, vms.drweb.com, virustotal.com, error-bank.com, urlvoid.com, 2ip.ru, xseo.in, sitecheck.sucuri.net

Как удалить вирусный код с зараженного сайта?

Внимание! Перед тем как что-либо предпринять из того, что написано чуть ниже, прочитайте статью полностью во избежание ошибок.

1) Первое, что вам нужно предпринять — это зайти в панель сайта вашего хостера и поменять пароли от FTP клиента, базы данных MySQL. Если не знаете, как это сделать просто напишите вашему хостеру и они сделают все это за вас (если вежливо попросить). Вы наверняка думаите сейчас: зачем мне менять все эти данные? Мне же вирус надо удалить с сайта, а не в настройках ковыряться.

Все верно, но дело в том, что если вы даже и удалите вирус, он через 5 минут вернется обратно, так как хакеры знают пароли к вашему FTP соединению с сайтом и в автоматическом режиме до бесконечности загружают вирус на ваш сайт. Вся суть в том, что сколько бы вы не удаляли вирус, все это будет напрасно.

2) Также рекомендую поменять пароли от адмики вашего сайта и почты, куда могут приходить данные от сайта. Впрочем эта процедура не обязательна и она никак не связана с лечением сайта от вируса, но в любом случае после заражения сайта вредоносным кодом он мог передать нужные данные хакерам, которые впоследствии могут в будущем зайти на ваш сайт, как к себе в родной дом.

3) После проделанной процедуры выше рекомендую сразу же проверить свой компьютер любым антивирусником а лучше двумя. Самой лучшей программой в этом деле считается Dr.Web ,скачать можете здесь. Ок, затем тем же антивирусником проверьте и ваш сайт через FTP клиент.

4) Если вы проверили весь свой сайт, но так и не смогли найти вирус, рекомендую просто перезалить бэкап сайта (старая копия сайта), если он у вас есть. Если же нет, то вам надо просто обратиться к вашему хостеру с просьбой откатить сайт (перезаписать старую версию сайта на новую). Если у вас хороший хостинг, то они обязаны делать резервную копию сайта каждый месяц. Кстати, если у вас такой же хостинг, что и меня mchost.ru, то вам надо просто зайти в левом нижнем меню в «управление услугами» в «резервные копии» и нажать на «создать заявку на восстановление». Кстати, заметьте, что в этой же вкладке вы можете сделать бэкап сайта, на тот случай, если с вашим сайтом что-нибудь случится.

Тут хочу вас еще  кое о чем предупредить. Как вы поняли, ваш сайт просто перезапишут и все те изменения, которые вы делали до этого, исчезнут. То есть сам вирус, но так же и те статьи, которые вы опубликовали, файлы которые закачали и т.д. так что будьте осторожны и сначала сделайте бэкап зараженного сайта, чтобы потом из него достать все то, что может пропасть при перезаписи.

Также после этого у вас может перестать открываться сайт. Это связано не по той причине, что вы его угробили, а с тем, что вы ранее поменяли пароли от FTP клиента, базы данных MySQL, но в старой версии сайта, которую вам перезалили, указаны старые данные. Чтобы сайт снова заработал вам надо просто поменять старые данные в файлах сайта на новые.

5) Если же вы боитесь делать бэкап сайта, то можно поступить немного по-другому. По сути, если у вас сайт работает на каком-нибудь движке: WordPress, Joomla, Drupal, то можно скачать заново свой движок и все плагины, которые стоят у вас, и перезалить их поверх старых в том же FTP клиенте. Но тут также нужно знать, что те файлы, которые вы меняли в движке, когда-то поменяются и вам снова их придется вправлять. Если вы не уверены, что все пройдет гладко и что-нибудь не полетит, лучше оставьте это дело.

6) Ок, а теперь я расскажу вам наверно самый легкий, но немного муторный способ, как избавиться от вируса на сайте за 5 минут. Для начала надо понять, где вирусный код может прятаться. Чаще всего это будут файлы index.php, htaccess, которые лежат в корне вашего сайта (через FTP в папке httpdocs или public_html , www, domains). Открыв их, проверьте, что в конце их не прописан вот примерно такой вот скрипт вируса, начинающегося с тега <iframe> или <script>.

Пример: <iframe src=»https://******/» width=1 height=1 iframe <iframe>

Также этот код может быть зашифрован в кодировке base64_decode и выглядеть примерно вот так.

Если вы просмотрели эти файлы, но не нашли ничего подобного, то также проверьте несколько других файлов вашего сайта с разрешением php и JS. Как найдете вирусный код — удалите его, затем проделайте, ту же процедуру со всеми файлами того же разрешения, в котором и был обнаружен вирус.

Тут некоторые могут воскликнуть: легко сказать, у меня таких вот файлов под несколько тысяч на сайте и все вручную удалять просто скука смертная. Да полностью с вами согласен, поэтом скачаем этот вот архив, распаковываем его, заливаем файл скрипта в корень сайт (через FTP в папке httpdocs или public_html , www, domains) и в браузере вводим такую вот строчку https://имя сайта/replace.php?pas=joomla.

Перед вами появится форма скрипта куда нужно будет вставить ранее найденный вредоносный код и просто нажать на кнопку искать заменить. Заметьте, что во вторую форму мы ничего не прописывали, поэтому код вируса будет меняться не на что, то есть удаляться. Кстати, если что, данный скрипт работает на всех известных движках и сайтах, а не только на Joomla.

7) Что делать, если вирус вернулся снова? Бывает такая ситуация что вирус перезаписывается не через FTP клиент от которого мы поменяли пароли, а от скрипта, который их генерирует. Чтобы его найти, придется очень постараться. Рекомендую начать с папки images, где хранятся все ваши картинки сайта. Злоумышленники наверняка знали, что их файл могут найти, поэтому закачали вирус именно в то место, где его, скорее всего, не будут искать.

8) Гуд, вот мы и подошли к финалу. Думаю, вы уже удалил вирус и вас больше не беспокоит эта проблема, но с чего вы взяли, что она не появится снова? Чтобы такое больше не повторилось, запомните раз и навсегда, что пароли подключения к сайту в FTP клиенте нельзя сохранять! Также и пароли в браузере тоже. Всегда эти данные вводите вручную, как бы лень вам не было.

В заключение, на всякий пожарный, можете еще ограничить доступ к своему FTP клиенту через файл ftpaccess, который лежит в корне вашего сайта. В нем надо будет прописать свой IP компьютера. Пример:

Allow from xx.xx.xx.xx

Allow from xx.xx.xx.xx

Deny from all.

Где xx.xx.xx.xx — где это ваш IP компьютера, с которого разрешено соединение по FTP. Также, если у вас динамические адреса (IP), то можно указать диапазон адресов, из которого выдаются IP-адреса вашим интернет-провайдером.

Пример:

Allow 212.32.5.0/26

Allow 158.152.0.0/16

Deny from all.

Это достаточно хорошо сузит доступ к вашему FTP клиенту с других IP, которые не попадают в данный отрезок адресов.

Моя история как я вылечил свой сайт на движке WordPress от вирусного кода.

Данная неприятная новость для меня произошла в далеком 2012г. Тогда я вообще не знал, что такие вирусы бывают и как их можно удалить с блога. Помню, тогда сразу же поменял пароли от всего, чего только можно было, и пошел на один из самых раскрученных SEO-форумов, и создал там тему по данной проблеме. Мне быстро подсказали хороший онлайн сервис sitecheck.sucuri.net, который в отличие от других показывает в каких файлах находится вредоносный код.

Начал я короче вручную все это чистить, где-то по 400 файлам прошелся с разрешением JS, где в каждом был в конце странный кодированный код на целый километр в одной строчке. После этого пошел я снова проверять свой сайт на том же онлайн сервисе, выдал он мне, что блог до сих пор заражен.

Посмотрев на данные, понял, что пропустил один зараженный файл, нашел его и почистил, снова проверил, на этом все и закончилось. Вот так я избавился от вируса. После этого сразу же написал в службу поддержки Яндекс, чтобы они там не тормозили и сняли это предупреждение с моего сайта.

Что же теперь-то вы как и я тоже знаете как проверить и удалить вирус со своего сайта, так что вы вряд ли когда-нибудь снова столкнетесь с этой проблемой.

Рубрика: Вебмастеру в помощь Метки: Вебмастеру на заметку, Полезные сервисы, Скрипты