Hume PC

Как найти, вылечить и удалить вирус с сайта

18.10.2013 4 Comments

В последнее время участились случаи взлома сайтов. На форумах в разделах “Безопасность” ажиотаж, вирусы все более опаснее, а способы заражения хитроумнее. Порой найти причину взлома и утсранить ее бывает невозможно без помощи специалистов, однако в большинстве случаев удалить вирус можно обладая лишь базовыми знаниями.

Поиск вируса

Раз Вы наткнулись на статью, то скорее всего знаете, что сайт заражен. Это можно проверить в вебмастерах яндекса и гугла (будет соответствующая пометка, также считают ли Ваш сайт поисковики опасным можно узнать тут). Можно проверить этим сервисом, он пробьет сайт по мировым антивирусным базам. Также за последний год участились случаи заражения, когда создается мобильный редирект (перенаправляет только пользователей с мобильных устройств), найти его можно проверив файл .htaccess. Предположим мы убедились, что сайт заражен, теперь надо вылечить его и удалить вирус.

вирус на сайте

Лечение и удаление вируса

Далее надо узнать какой файл заражен. Мы рекомендуем (если сайт не очень большой) скачать его на локальный диск, тогда можно проводить гораздо больше манипуляций. После скачивания на жесткий диск устанавливаем в корень сайта (на локалке) этот скрипт. Кратко процесс установки следующий:

  • Скачиваете версию php 5.3 отсюда (если у Вас ее нет). Нужно скачать installer версию, устанавливаете
  • Далее копируете файлы из скаченного скрипта в корень сайта (файл ai-bolit.php, файл .ignore, файл .adirignore + все файлы вашей CMS из папки known_files)
  • Потом открываете файл ai-bolit.php файлом php.exe (его мы скачали и установили в первом пункте)
  • После этого создастся файл AI-BOLIT-REPORT

В нем и будут показаны наши зараженные файлы, а также все шеллы, уязвимости и т.д. В некоторых CMS и в некоторых темах (на том же WordPress) бывают случаи, когда скрипт показывает, что файлы подозрительные, однако на самом деле они такими не являются. Это нормально, хотя конечно лучше узнать о них подробнее, либо посоветоваться со специалистом. Главная задача – найти зараженные файлы (а также шеллы и уязвимости) и удалить их.

Есть много других способов, к примеру можно попытаться через notepad++ найти содержание строк eval(base, gzinflate, preg_match, $_POST в файлах, смый распространенный eval(base почти всегда будет гворить о том, что это вирус. Можно сравнивать файлы с прошлыми бэкапами, но все же использовать скрипт лучший вариант

На самом деле в 90% (а может и более) вредоносный код будет найден, мы его удалим, казалось бы проблема решена, но спустя некоторое время вирус снова возвращается…

Защита сайта и хостинг аккаунта

В основном эта ситуация будет тогда, когда на хостинг аккаунте много сайтов. Заразив один сайт, легко заразить и остальные. Необходимо провести лечение еще раз и выяснить в чем же причина:

  • Как бы банально не звучало, проверьте свой компьютер на вирусы последними базами антивирусов. Зачастую так вирус и попадает.
  • Обновите все плагины, сами CMS до последней версии
  • Удалите ненужные темы, ненужные плагины
  • Поменяйте пароли к админкам, а также пароль к хостингу и FTP
  • Если вдруг пароль от FTP сохранен в Total Commander, то немедленно удалите и НИКОГДА его там не сохраняйте (а также запретите всем это делать). Всегда вводите вручную.
  • Спросите у хостера, не его ли это вина. Иногда ломают хостер, а страдают рядовые пользователи.
  • Если используете популярные CMS, поставьте плагины, которые скрывают доступ/путь в админку (к примеру для WP – wsecure authentication или другой аналог)

Последующие возможные решения

Давайте рассмотрим ситуацию – Вы сделали все профилактические действия выше и проверили все сайты через ai-bolit (или же вручную нашли вирусы и удалили). Вирусов и уязвимостей нет нигде, все обновлено, лишнее удалено, пароли изменены, они сложные и вводятся вручную… Но спустя несколько дней наш любимый вирус появляется снова. Что делать?

Это уже более сложная ситауция. Делать нужно следующее:

  • Попросить хостера предоставить (или включить, или так взять если они есть) логи веб сервера
  • Определить в какое время появляется вирус в файлах (сложно, надо мониторить, хотя бы с разбежкой в несколько часов)
  • Посмотреть какие файлы запускались/изменялись в это время. Это и будет наша уязвимость.

Порой надо обладать неким багажом знаний, чтобы это утсранить. Можно все файлы, к которым обращались в этот промежуток времени, стравнить с дистрибьютивом, если будет отличия – уязвимость найдена.

Если ничего не помогает

Предположим мы знаем какие файлы меняет и какой код (и куда) добавляет вирус. Лечение не помогает. Так можно установить права 444 на эти файлы (а желательно вообще на все системные. Эти права запрещают изменять файлы. Теперь вредоносный код не сможет на них попадать.

Есть еще один хороший вариант для тех у кого статический ip на маршрутизаторе (у кого нет, могут у провайдера заказать, стоит от 1до 5$ в месяц). Просто запретить доступ к файлам со всех ip кроме этого.

Если у вас стоят права на чтение, статичный ip, уязвимостей нет, все профилактические процедуры проделаны, но вирусный код все равно появляется, то надо идти к профессионалам.  В любом случае всегда можете попросить помощь у нас. Вместе мы справимся с этой проблемой!

4 Comments »

  1. Спасибо за статью, она мне очень пригодилась.Раньше я не знал, что это за табличка выскакивает с надписью что сайт заражен, но я никогда раньше не обращал на это внимание, пока мой компьютер не начал лагать, начали пропадать различные данные на компьютере, я обратился к специалистом и они сказали, что это вирус, и решил почитать в интернете про этот вирус и как его удалить, нашёл вашу сатью и она мне помогла!!!

    Comment by Владислав — March 13, 2014 @ 7:47 pm

  2. Я- обычный пользователь, многое,о чем идет речь в статье, мне стало понятно только сегодня..К сожалению, вирусов не избежать, в инете всего хватает, и вся беда в том, что он рушит комп.. О том, что появился вирус, мне сигнализирует программа, которая была установлена с момента покупки бука и установки системы, периодически я ее обновляю, к тому же ежедневно мой бук проверяется на наличие вирусов. Антивирусник не только определяет вирус, но и борется с ним.

    Comment by Ирина — March 13, 2014 @ 9:52 pm

  3. Вся проблема началась с того, что моя антивирусная система начала меня оповещать о том, что у меня сидит где-то вирус. Чистили и не раз, все вроде нормально, но не тут то было.Вирус спрятан очень далеко. Стала искать ответ в сети интернет, и случайно попала на этот сайт со статьей. Вот тут то и прочла, что да как .Теперь уж точно буду знать как и откуда выгонять непрошеных гостей!

    Comment by Елена — March 15, 2014 @ 8:54 pm

  4. Более года назад имел дело с вирусом на своем сайте. Сначала некоторые пользователи начали жаловаться, что время от времени их перебрасывает на какие-то левые сайты. Я тогда не взял во внимание, думал может глюк на их стороне. Но через пару дней увидел, что из гугла перестали приходить посетители. Начал искать причину и, как сказал гугл, она оказалось очень просто – “на сайте присутствует вредоносное ПО”. Погуглил на эту тему, на форумах советовали сверить файлы на хостингу с оригинальными файлами движка, там и программу для этого подсказали. В результате оказалось, что в некоторых файлах был инклуд левых скриптом из катих то сайтов. Заменил файлы движка на стандартные, изменил пароли к ФТП (именно так и внедрили мне эти вирусы, – пользовался сервисом онлайн-фтп, а они жуликами оказались). После этого все стало на свои места))

    Comment by MrVigner — March 16, 2014 @ 10:17 pm

RSS feed for comments on this post. TrackBack URL

Leave a comment





mobil 1 esp formula 5w 30 esp formula 5w 30
 
Склопідіймач купить запчасть 3083704624B0 Skoda Audi Volkswagen Seat
 
free bitcoin mixier
 
baixar mp3