Не все владельцы сайтов являются профессиональными программистами. Многие пользуются движками и заказывают разработку ресурсов.
Рано или поздно приходится столкнуться с проблемами, они бывают разные. Заращение сайтов вирусом не такая редкая картина, этого стоит опасаться и периодически сканировать площадку.
Что значит – сайт заражен вирусом? Оказывается, даже профессионалы теряются, когда им задают такой вопрос.
Все знают, что компьютер заражается вредоносной программой, но как это происходит на сайтах? Здесь всё немного по-другому, хотя если заражается сервер (где сайт расположен), то разницы практически нет.
Если сайт заражен вирусом, значит, в его коде установлен специальный скрипт, выполняющий дополнительные операции. Чаще всего зараженные сайты сразу выдают себя, как только заходишь на них.
Для посетителей это может проявляться разными последствиями:
Как правило, хакеры всё делают так, чтобы жертвы ничего не заметили. Вебмастерам нужно почаще заходить на собственный сайт и выполнять внутренние переходы. Также нужно реагировать на сообщения от пользователей.
Для владельца сайта заражение его проекта может приводить к другим последствиям.
В основном это:
Конкуренты мечтают заразить сайт вирусом своих оппонентов, но сделать это не так просто. К тому же, это подсудное дело, поэтому не каждый программист возьмется помочь со взломом.
Остерегаться нужно любых подозрительных изменений, если ничего не делаешь, то почему всё меняется? Должно быть объяснение.
Последствия заражения сайта вирусами могут быть различными, но позиции в поисковых системах просядут однозначно. Нужно как можно раньше определить заражение площадки, чтобы найти и удалить вредоносный код.
Перед тем как начинать поиски, вспомните, не устанавливали ли вы сами какие-нибудь подозрительные коды. К примеру, скрипт от , который выполняет платные подписки, тоже относится к вирусам, так как он обманывает честных посетителей.
Если вы заметили на сайте какие-нибудь изменения и в целях профилактики, запускайте проверку через сервис . На главной странице потребуется указать адрес сайта и уже через пару минут появится статус проверки:
Как видите, у нашего блога всё чисто. Если были бы обнаружены проблемы, сервис указал бы на проблемы. Удалить вредоносный код с сайта не тяжело, а чтобы вирус не успел сильно навредить, закажите в этом сервисе уведомления .
Если сайт заражен вирусом, что делать вы не знаете, обратитесь к профессионалам. На есть много специалистов из любой ниши, они предоставляют платные услуги.
Сайты с вредоносными кусками кода и скриптами быстро теряют позиции и их репутация снижается. Нужно следить за своими площадками и помнить, что только честные методы монетизации приносят большую прибыль, ведь в противном случае посетители никогда не вернутся на сайт.
Вам также будет интересно:
—
—
—
Что делать, если при входе на сайт внезапно начал ругаться антивирус (а если еще эту новость сообщили клиенты)? Или без видимых на то причин сайт стал загружаться дольше обычного, при этом основное содержимое страницы уже «отрисовалось»? А, может быть, на сайте использовались интерактивные скрипты, которые вдруг перестали работать?
Все вышеперечисленное является результатом заражения сайта вирусом -- чужеродным вредоносным кодом. Как это произошло, кто виноват, и, самое главное, что делать для устранения и предотвращения подобного в будущем?
Вредоносный код, о котором сигналит антивирус, -- это вставка в код страницы сайта определенного зашифрованного JavaScript-кода, при выполнении которого формируется так называемый iframe (HTML-элемент, позволяющий включить при отображении содержимое одной страницы в другую). Вставленный iframe указывает, как правило, на зараженную страницу, которая уже содержит более «тяжелый» код, использующий различные уязвимости браузеров (в основном Internet Explorer"а) для загрузки и запуска исполняемых файлов вирусов.
Механизм заражения сайтов в подавляющем числе случаев одинаков: вирус попадает на компьютер, с которого выполнялся вход на данный сайт по протоколу FTP, после чего получает реквизиты доступа к адресам, для которых в программе FTP-клиенте была выбрана опция «запомнить логин/пароль». Получив реквизиты доступа, вирус отсылает их на компьютеры злоумышленников, где уже и расположены программы-роботы, выполняющие «грязную» работу. Эти роботы выполняют подключение к FTP-адресам с полученными реквизитами, затем сканируют каталоги сайта в поисках файлов с определенными именами: чаще всего это корневые файлы -- те, к которым в первую очередь выполняется обращение при входе на сайт. Обнаружив такой файл, робот скачивает его, добавляет в конец скачанного файла вредоносный код, и закачивает этот файл обратно на FTP-сервер, заменяя оригинал.
С точки зрения сервера это выглядит как обыкновенная активность пользователя: выполняется подключение авторизованного пользователя, скачивание и закачивание файлов -- фактически именно то, что выполняется при обыкновенном обновлении сайта разработчиком по FTP.
Первое, что необходимо сделать при обнаружении подобного заражения -- это не дать вирусу повторно заразить сайт. Для этого достаточно сменить пароль доступа на FTP через панель управления, а также проверить все компьютеры, с которых выполнялось подключение к сайту по FTP на вирусы, используя антивирусы со свежими базами обновлений.
Так как код сайта, по сути, представляет собой обыкновенные текстовые файлы, для удаления вредоносного кода достаточно открыть зараженный файл, найти необходимый участок кода, удалить его и сохранить файл. В особо сложных ситуациях может случиться так, что над зараженным сайтом «поработали» несколько различных вирусов -- файлы сайта будут содержать несколько вставок различного вредоносного кода. Реже встречаются случаи, когда содержимое сайта может быть повреждено достаточно сильно, в таком случае целесообразнее восстановить данные из резервной копии, чем заниматься лечением каждого файла вручную.
Для того чтобы не повторять чужих ошибок и уберечься от повреждения сайта, достаточно следовать простым рекомендациям:
не использовать возможности FTP-клиентов по сохранению паролей;
периодически выполнять смену паролей доступа к FTP;
при необходимости ограничить адреса компьютеров, с которых разрешено подключаться по FTP;
использовать для доступа по FTP только «надежные» компьютеры -- те, на которых установлены антивирусы с актуальными базами обновлений.
Каждый вебмастер сталкивался с проблемой поиска уязвимых мест своего сайта, с помощью которых злоумышленник может загрузить свой вредоносный код, который так или иначе повлияет на работоспособность всего сайта, вплоть до его исключения из поисковой выдачи.
Чаще всего заражение происходит из-за человеческого фактора, но что делать, если сайт все-таки взломан?
Меньшее из зол - это найти и удалить сам вредоносный код. Основная же проблема заключается в поиске того уязвимого места, через которое злоумышленник загрузил свой код на ваш сайт, чтобы обезопасить себя от следующих подобных прецедентов.
Для поиска вредоносного кода написано немало антивирусных программ, создано много сервисов, которые могут указать на адрес зараженной страницы, предоставив даже сигнатуру и исчерпывающую информацию о самом вирусе. Но ни одно программное обеспечение не сможет сказать Вам, как этот «чужой код» появился на сайте. Здесь стоит полагаться только на себя.
Ниже я приведу несколько команд, которые можно применять при поиске зараженных файлов и/или загруженных к Вам на сайт shell-ов/backdoor-ов. Для этого нам потребуется программа Putty и SSH-доступ к сайту.
С помощью нижеперечисленных команд можно найти файлы, содержащие «опасные» элементы, с помощью которых злоумышленник может выполнить вредоносный обфусицированный код.
Вывод файлов будет записан в лог-файл в вашей текущей директории. В каждом файле будет содержаться путь к найденному файлу и строка с подозрительным участком кода.
find /Каталог с сайтом -type f -iname "*" -exec grep -Him1 "eval" {} \; > ./eval.log
find /Каталог с сайтом -type f -iname "*" -exec grep -Him1 "base64" {} \; > ./base64.log
find /Каталог с сайтом -type f -iname "*" -exec grep -Him1 "file_get_contents" {} \; > ./file_get_contents.log
Следующая команда выводит список директорий, на которых установлены полные права на запись. Именно такие директории используют для заражения сайта.
find ./Каталог с сайтом -perm 777 -type d
Если Вы знаете когда примерно произошло заражение, можно посмотреть список измененных файлов за последние несколько дней (параметр –mtime -7 указывает на дату изменения отличную от текущей за 7 прошлых дней)
find ./Каталог с сайтом -type f -iname "*" -mtime -7
Итак, предположим, что мы нашли зараженные файлы или shell-файл. Перед тем как его удалить/удалить из него вредоносный код, запомните его имя (полный путь), дату изменения/создания файла, его gid и id пользователя (для unix систем), это позволит найти способ его загрузки к нам на сайт. Начнем с пользователя и группы:
Посмотрите, от какого пользователя работает Ваш web-сервер:
ps -aux | grep "apache2" | awk {"print $1"}
Если этот пользователь совпадает с пользователем, создавшим вредоносный файл, то можно предположить, что он был загружен через сам сайт. Если же нет – файл могли загрузить через ftp (мы настоятельно рекомендуем изменить пароли к FTP-серверу и административной панели сайта).
cat ./site.ru.access.log | grep “имя filenameOfShellScript”
И получаем вывод всех запросов к нашему скрипту. По нему определяем userAgent и ip адрес нашего взломщика.
Следующей командой мы получаем список всех запросов, на которые он к нам заходил.
cat ./site.ru.access.log | grep “ip” | grep “userAgent”
Внимательно его проанализировав можно найти уязвимое место на сайте, следует обратить особое внимание на POST-запросы из вывода, с помощью которых мог быть залит вредоносный файл.
Ижаковский Андрей, системный администратор
Не первый год являются основным направлением деятельности нашей компании. И мы с уверенностью можем констатировать что заражение сайта вирусами - настоящая пандемия.
Заражение может произойти путем внедрения вредоносных кодов через различные скрипты на сайте, через взлом доступа к админке, через кражу логина и пароля к FTP, через дыры и т.п.
Здесь все будет зависеть от степени заражения, от Вашего хостинг провайдера и т.д.
Первым способом решения этой проблемы будет обращения за помощью к специалистам, это особенно актуально для новичков. Так что ждем Вашего звонка!
Второй способ зависит от Вашего хостинга и аккаунта, доступен ли Вам бэкап сайта и делали ли Вы его регулярно. Если ответ положительный – смело «откатывайтесь» назад до заражения. Если бэкап делался хостингом, изложите ему свою проблему и просьбу «откатить» Ваш сайт на дату до заражения. Но здесь есть одно но – как давно сайт заражен? Если давно, очень большая вероятность что и бэкапы содержат вирус.
Если два предыдущих решения не доступны – придётся Вам заниматься этим вручную. Возможно, вирус не нанес существенного вреда и заражены всего несколько файлов, обычно это index.php и index.html. Но может быть, что заражению подверглись и другие файлы. Заблокируйте доступ на сайт, положив в корень сайта файл “.htaccess” – это для того что бы ни портить себе рейтинг в поисковиках. Далее скачивайте содержимое Вашего сайта на свой компьютер, желательно архивом и запускайте антивирус, как минимум половину работы он сделает. Чего не сделает он – придётся в ручную. Но все же это лучше, нежели заново начинать создание сайта. Постоянно следите за безопасностью Вашего ПК.
Проблема заражения может быть и в Вашем компьютере, не забывайте о достойной антивирусной программе на нем.
Если заражение есть – обязательно поменяйте все пароли от сайта, как для доступа к «админке», так и для доступа к FTP, пароль к Вашему аккаунту на хостинге и т.д. Поскольку никто Вам не скажет, какую информацию получили злоумышленники.
Помните о безопасности, как ПК, так и сайта, соблюдайте все предосторожности и рекомендации. И надеемся, что Ваш опыт не будет печальным, успехов Вам!
В данной статье рассмотрим ситуацию, когда на компьютере появилось сообщение о том, что на нём обнаружен вирус , он работает медленно или с ошибками, и какие действия пользователь должен предпринять в таком случае, и как обезопасить свои данные от утери .
На самом деле, если пользователь обнаружил сообщение об обнаружении вируса – это хорошо. Это значит, что антивирусная программа обнаружила вирус и скорее всего удалит его без участия пользователя.
Данное сообщение совсем не означает, что компьютер заражен вирусом. Просто вы загрузили или скопировали на компьютер инфицированный вирусом файл и антивирусная программа скорее всего удалила его до того, пока от него начнут появляться проблемы. Таким же образом антивирусная программа может сообщить об обнаружении интернет страницы, которая заражена вирусами и дальнейшее использование которой может привести к возникновению проблем с компьютером.
Другими словами, сообщение об обнаружении вируса при правильном использовании компьютера совсем не означает, что он уже заражен или повреждён. Это означает, что вы не должны пользовать инфицированной страницей или зараженным файлом. Система просто предупреждает вас о возможной проблеме в случае их использования.
Также можно перейти к антивирусной программе и проверить карантин или логи определения вирусов, чтобы посмотреть более детальную информацию о вирусе и о том какие действия к нему были применены.
Если на компьютере не используется антивирусная программа и компьютер начал работать медленно или с ошибками, то существует большая вероятность того, что он заражен вирусами. Также, данная ситуация может произойти в случае использования антивирусной программы с неактуальной антивирусной базой.
Если на компьютере не установлена антивирусная программа, то её необходимо как можно скорее установить. Конечно же, качественных бесплатных антивирусных программ существует не так уж много. Можно рассмотреть одну из них, предоставляемую компанией Microsoft – Microsoft Security Essentials . Данная антивирусная программа защитит и очистит компьютер от вирусов.
Но имейте ввиду, что использование данной программы будет актуально только для версий Windows до 7 (включительно). Начиная с Windows 8, в операционной системе уже предусмотрено использование встроенной антивирусной программы Windows Defender, который уже установлен и готов к работе.
Если на компьютере установлено антивирусное ПО, но у вас есть подозрения о наличии вирусов, попробуйте установить ещё одну антивирусную программу и проверить с её помощью компьютер.
Некоторые разработчики предлагают антивирусные программы с пробным периодом использования или даже онлайн версии. Используя такие программы можно бесплатно просканировать свой компьютер на предмет наличия вирусов.
Некоторые вирусы и другие типы вредоносного программного обеспечения проникают насколько глубоко в систему, что удалить их оттуда становится довольно проблематично. Особенно антивирусными программами, которые были установлены после заражения компьютера, так как вирусы имели достаточно времени чтобы размножиться и загрузить дополнительное вредоносное ПО.
В таком случае не обойтись без загрузки в Безопасном режиме. Загружаясь в Безопасном режиме, Windows не загружает сторонние приложения (к которым также относятся и вирусы). Таким образом можно запустить антивирусную программу без вмешательства вирусов.
Чтобы загрузиться в Безопасном режиме перезагрузите компьютер удерживая клавишу Shift. Запустите антивирусную программу после загрузки компьютера в Безопасном режиме и перезагрузите его после этого снова.
Если очистка компьютера от вирусов с Безопасного режима не работает, можно также попробовать воспользоваться «Antivirus Rescue Disk» – применяется для проверки и лечения зараженных компьютеров, которые невозможно вылечить с помощью антивирусных программ, запускаемых под управлением операционной системы. Загружая «Antivirus Rescue Disk», антивирусная программа получает чистое пространство для работы с компьютером и очистки его от вирусов, которые в данном случае будут бездействовать.
Как правило, крупные компании разработчики антивирусного ПО имеют среди своих продуктов «Antivirus Rescue Disk».
Если вредоносное программное обеспечение насколько повредило систему, что после удаления вирусов Windows не загружается или продолжает работать неправильно, то можно попробовать сбросить его к заводским настройкам или осуществить чистую установку операционной системы.
Но имейте ввиду, что осуществляя это на компьютере будут
