Довольно часто причиной некорректной работы сайта являются вирусы. Под вирусами подразумеваются вредоносные программы или включения вредоносного кода в файлы сайта, которые нарушают стандартное функционирование. Основной причиной заражения являются действия злоумышленников, желающих обогатиться за чужой счет, например, получая деньги за трафик, перенаправляемый со взломанных интернет-ресурсов.
Не все пользователи четко представляют, что необходимо делать, если в работе сайта замечены какие-то сбои. Timeweb публикует советы о том, как определить, заражен ли ваш сайт, и какие действия необходимо осуществить для устранения проблемы.
Как обнаружить вирус?
Первым шагом в решении проблемы должна быть диагностика. Исследуйте свои файлы на содержание лишних элементов:
- Установите антивирусную программу, если ее еще у вас нет. Современные программы умеют определять вирусы, и если при заходе на сайт появляется предупреждение, то это значит, что вирус там точно есть. Однако если предупреждения нет, то это не значит, что сайт чист и заражения не произошло.
- Проверьте время последнего изменения индексного файла в FTP. Он может называться index.html, index.php, default.php и т.д. Если последнее изменение было совсем недавно, а вы не обновляли информацию на сайте в это время, возможно, страница была заражена.
- Посмотрите исходный код страницы в своем браузере. Чаще всего вирусы располагаются в тегах <script> и <iframe>. Если внутри этих тегов вы видите неизвестные адреса сайтов или зашифрованную мешанину из букв и цифр, вероятно, что это и есть код вируса.
- Воспользуйтесь сервисом Яндекс.Вебмастер. Этот удобный инструмент автоматически проверяет сайт на наличие вирусов при каждом обновлении и может оперативно присылать на e-mail предупреждения, если вредоносный код будет обнаружен.
Также, если вы обнаружили, что нагрузка на сервер внезапно возросла, или хостинг-провайдер пишет вам, что с сайта идёт рассылка спама — вероятно, ваш сайт был взломан и стал площадкой для размещения вредоносных программ.
Комьюнити теперь в Телеграм
Подпишитесь и будьте в курсе последних IT-новостей
Подписаться
Какие действия предпринять при заражении сайта?
Если ваш сайт заражен, не стоит паниковать или обвинять хостинг-провайдера в возникновении проблемы. В абсолютном большинстве случаев хостер не имеет отношения к появлению вирусов на вашем ресурсе. Более того, хостинг-провайдер заинтересован в их скорейшем устранении, так как это может затронуть интернет-ресурсы других клиентов компании. Однако для того, чтобы убедиться, на чьей стороне проблема, уточните у хостера, является ли она массовой или возникла только на вашем сайте.
Если проблема обнаружена только на вашем сайте, нужно исследовать, при каких обстоятельствах она возникла, и начать ее решение самостоятельно.
- Выполните полную проверку собственного компьютера на вирусы.
- После сканирования смените все пароли доступа к электронной почте, аккаунту на хостинге, приложениям браузеров и FTP-клиентам.
- Если вы используете популярную CMS, то, возможно, злоумышленник воспользовался ее уязвимостью. В этом случае нужно обновить CMS и ее модули до последних стабильных версий из официальных источников и отключить неиспользуемые или подозрительные модули.
- Попросите хостера проверить общую временную директорию сервера.
Как удалить вредоносные файлы?
После того, как вы определите причину некорректной работы и обнаружите вредоносные файлы, вам необходимо их удалить. Для этого вы можете использовать возможности консоли сервера (доступ по SSH). Большинство хостинг-провайдеров предоставляет клиентам доступ к их домашнему каталогу по SSH по умолчанию или же по обоснованному запросу.
Даже если вы успешно и “безболезненно” справились с проблемой, мы рекомендуем периодически проводить профилактические меры, повышающие защиту вашего сайта. Ниже несколько советов, о том, как защитить ваш проект:
- Не используйте устаревшие версии CMS и плагинов к ним. Следите за обновлениями.
- После определения причины заражения сайта не ограничивайтесь только одним лишь его лечением.
- Проверьте всё, что кажется вам подозрительным.
- Лучшая схема восстановления сайта после взлома — закрыть к нему доступ посетителей, найти причину взлома, восстановить сайт из бэкапа и далее устранить уязвимость.
- После устранения проблемы обновите CMS и убедитесь, что уязвимый компонент также обновился.
Перечисленные рекомендации помогут вам в короткие сроки самостоятельно устранить или как минимум обнаружить причину некорректной работы сайта. Помните, что надежный хостинг-провайдер всегда будет готов помочь решить проблему или дать необходимые рекомендации.
Вредоносный код на сайте
Как найти на сайте вредоносный код, плагины, логи и сервисы чтобы проверить сайт на вирусы.
Доброго времени суток! Сегодня решил написать статью на тему блогинга. Эта тематика меня не привлекает и обычно я пишу о другом, но здесь так получилось, что столкнулся, в июле этого года, с одной неприятной вещью на своем сайте и пришлось не мало повоевать прежде чем проблема решилась.
Ну а если появился опыт и некоторые знания, почему бы не поделиться с блогерами- коллегами, труд которых я уважаю и которые, я знаю бывают, на моем сайте. В общем пока в памяти живо…
Неприятная вещь с которой я столкнулся,- это вирус на сайте. Вредоносный код, который появлялся в некоторых файлах и ломал движок сайта на Вордпресс.
Проявлялось это тем, что возникала ошибка при одобрении комментариев, не работало меню вставки картинок и виджет.
В общем я уже сталкивался с подобным раньше, когда подключал на сайте какой нибудь плагин, который конфликтовал с шаблоном или другими плагинами и поэтому сначала подумал что дело в каком то новом плагине(в его обновлении) или рекламном коде. Короче в чем то новом, что я недавно сделал на сайте.
Не буду тянуть резину и рассказывать все подробности, в общем, в итоге все дело оказалось во вредоносном скрипте, который каким то образом проник на мой сайт. И это не мудрено, если учесть что я хоть и установил защиту, но не слишком обращал на все это внимание, — пользовался малозащищенным доступом к хостингу для подключения к сайту; сохранял пароль при входе в админку, не использовал другие, более совершенные, способы защиты.
И хоть я описал только самые важные моменты того, как искал- удалял вирус, что нашел интересного, чем пользовался и т.п.., статья получилась очень большой.
Начну наверно с того, что в кратце расскажу как я искал вредоносный код:
Сразу, как узнал что на сайте какой то вирус, сам просматривал различные файлы, и открывая очередной файл, нажимал Ctrl + F, и в маленьком, открывшемся
окошке (справа, вверху) просто вставлял наиболее встречающиеся вредоносные команды-коды (о которых будет чуть ниже) и жал Enter.. Таким образом проверял основные файлы темы и движка Вордпресс.
Так вообще легко можно найти любой кусочек кода или слова в документе.
А если вы знаете что вирус появился не давно, то при проверке этим нудным способом, нужно проверять файлы, которые по «дате редактирования»(смотрите справа от файла), были изменены недавно.
Я покопался пару дней- не хрена не нашел, и сначала обратился с просьбой к Людмиле, автору шаблона моего сайта.
Кстати она делает красивые и что важно, оптимизированные и удобные в управлении шаблоны на различные темы. К тому же, встроенные в них скрипты- функции позволяют обходится без многих важных, но тяжелых плагинов, даже All In One SEO Pack не нужен.
Людмила полностью обновила Вордпресс, то есть не только движок(как это делаем мы с вами) а абсолютно все файлы и потом удалила с хостинга все прежние, старые. Вроде бы это сначала помогло, но уже вскоре сбои повторились. Обратился за помощью к фрилансеру на этом сервисе https://www.fl.ru/.
Написал, в мной созданном проекте, примерно следующее,- «На сайте есть вредоносный код, это подтвердилось и т.д… Если вы хорошо разбираетесь в программировании и имеете опыт в устранении подобных проблем, прошу вашей помощи». Предложение я получил в этот же день.
Переходим к вредоносному коду на сайте:
Для начала как проверить сайт на вирусы: Это можно сделать на сервисе http://2ip.ru/site-virus-scaner/.
Но учтите что этот сервис лишь может указать подозрение на вирус. То есть конкретно сказать и показать где и что, если вдруг действительно имеется вредоносный код на сайте, он вам не подскажет.
Он учитывает и указывает подозрения в тех случаях, где к примеру, есть рекламные коды с iframe-вставками. В общем может кричать и ложную тревогу, так что не кипишуйте увидев красную надпись. Главное что сервис укажет- относит ли Google и Yandex ваш сайт к безопасным. Этот сайт годится для быстрой проверки на вирус.
Более серьезный ресурс для проверки сайта на вредоносный код http://antivirus-alarm.ru/. Проверяет различные функции такие как вирус на сайте, вредоносные JavaScript, плавающие вредоносные фреймы, IE атак, укажет сомнительные ссылки и т.п. Для сканирования он использует антивирусные базы известных, мировых компаний, поэтому и полное сканирование сайта может длиться довольно долго.
Ещё на этом сервисе(внизу) есть раздел где можно посмотреть как выглядят различные виды обнаруживаемых вредоносных кодов.
Ну и если вдруг что, здесь же вы можете обратиться за лечением сайта, хотя и услуга там совсем не дешевая. Я бы конечно порекомендовал нанять опытного фрилансера программиста, что я и сделал.
Поиск ошибок и Логи на хостинге
Кстати, если вообще говорить об ошибках на сайте, то чтобы в будущем можно было быстро узнать о каких либо ошибках, которые вдруг появились в скриптах или вызваны конфликтом плагинов, ошибки в кодах и файлах,- обязательно подключите логи на своем хостинге.
Как правило, даже на мощных хостингах таких как http://www.timeweb.ru/ это функция не подключена. Вы сами должны написать в тех.поддержку вашего хостера, что бы подключили логи такие как error_log и access_log.
Эти файлы автоматически будут архивироваться на вашем хостинге рядом с корневой(главной) папкой(public.html). Вы их скачиваете себе на комп, открываете например в обычном Ворде и смотрите что находится в данном файле. Особенно это актуально для error_log.
Вы сами легко разберетесь что это за файлы и для чего, достаточно задать вопрос в тех поддержку хостинга, но если вкратце файл error_log — будет указывать,- есть ли вообще какие либо ошибки на сайте и в чем они выражаются, в каком файле происходит чего то не того.
access_log — покажет все возможные подключения к вашему серверу. Сами вы вряд ли станете в нем разбираться(там куча всего), я так точно забил, но фрилансеру, если будет нужно, показать можно.
В основном нужен access_log для обнаружения тех, кто использует URL картинок с вашего сайта и тем самым нагружает ваш сервер, хотя это можно легко предотвратить но об этом в другой статье.
А когда будете просматривать скачанный вами файл error_log(его вы легко проверите сами), и он окажется пуст, значит у вас все в порядке, ошибок нет.
И так, где и как проверить сайт на вирусы и на ошибки вы теперь знаете. А теперь о важных сервисах и плагинах по поиску и удалению вредоносного кода.
Сервис для постоянной проверки
Ну, а сейчас о хорошем сервисе, к которому я подключил свой сайт, и то же рекомендую сделать вам, лишним не будет.
Сервис http://www.siteguard.ru/. Что он дает? Во- первых он находит все подозрительные коды и показывает весь их внешний вид. В том числе безопасные скрипты, так что в этом он как и все. Хотя на мой взгляд и более избирательный.
Но главное его преимущество в том, что зарегистрировавшись и подключив сайт к этому сервису, он автоматически будет его сканировать в определенное время и в случае обнаружения любого нового кода, в том числе и безопасного. Будет высылать, на проверку, сообщение вам на емейл.
Это даст возможность, в случае чего нехорошего, быстрей среагировать и принять меры пока Яндекс торомозит(как иногда он любит делать) и первым не обнаружит вирус.
Ведь потом, помимо падения посещаемости, будет дополнительная морока с тем, чтобы поисковик восстановил доверие к сайту. То есть это даст вам некоторое преимущество во времени. Эта услуга на сервисе бесплатная, по крайней мере пока.
Ну, а если уж Яндекс обнаружил и повесил на ваш сайт клеймо, то все- кранты, сайт можно забыть….. Ахах, шучу конечно, надеюсь ваше сердце бьется..
Ничего страшного друзья, просто сразу после удаления вируса, обязательно идите на Яндекс Вебмастер и пишите в тех. поддержку письмо, а иначе так и будет сайт считаться опасным. То же самое и с Google. Статус здорового ему восстановят в течении ближайших 1-3 дней.
Теперь о плагинах для поиска вируса
К хорошим плагинам для поиска вредоносного кода на сайте смело можно отнести Exploit Scanner. И как написал в своей статье автор этого плагина, этот инструмент оказал мне неоценимую услугу, потому как вредоносный код, в моем случае, появлялся в разных местах сайта. Рекомендую почитать про этот плагин подробней по ссылке автора.
Например на моем сайте, вредный код явно полюбил файл functions.php так как после первого удаления, через время снова оказался на том же самом месте. Кроме того код был обнаружен плагином в файле index.html и в каком то файле с окончанием на «js«.
Но к сожалению почему то не обнаружил кода в базе данных, хотя плагин специализируется на этом. Вообще, код там нашли вручную, в файле wp_wfHits.sql.
В этом файле содержалась куча информации о различных ссылках и много другой всевозможной инфы, это что то вроде кеша, памяти, которая собирала о сайте всЁ и вся. На вашем хостинге возможно вся эта информация хранится в файле под другим названием, но у меня в этом.
И вообще, на будущее, подобную информацию нужно удалять, то есть чистить базу данных MySQL не только спец. плагинами WP-Optimize и Optimize DB, но и вручную на хостинге перейдя в раздел Базы данных MySQL (иначе никак) Это важно чтобы не захламлять базу данных, ведь это влияет на скорость сайта, и тем самым на поведенческий фактор и посещаемость.
У меня например база данных сократилась с 63 Мб до 14Мб. Делать только это нужно аккуратно, предварительно сделав БЕКАП. Ну обо всем таком подробней как нибудь в другой раз или почитайте на блоге Александра Борисова в этой статье.
Только замечу ещё важную вещь,- если при входе в базу данных MySQL, вы забыли пароль и решили его сменить на новый(это легко сделать в данном разделе), то не забудьте зайти в главную папку public.html и найти в ней файл wp-config.php, а в нем найти вот это:
и вместо старого пароля (звездочки), вписать этот новый, иначе вместо сайта вы увидите надпись типа,- «Нет доступа к запрашиваемым базам данных», то есть ваш сайт испарится, ну не совсем конечно.
Что то я отвлекся. И так продолжаем, плагин Exploit Scanner, так же как и антивирусные сервисы, реагирует не только на вирус, но и на здоровые скрипты. Поэтому, где бы вы и чем не проверяли сайт, никогда не торопитесь что то удалять.
Нередко под подозрение попадают счетчики статистики, такие как Ливинтернет, Яндекс Метрика, Mail.ru и вот к примеру, какие кусочки показывающие суть, можно увидеть в таких скриптах(выделено зеленым):
Кроме этого, скрипты рекламы, кнопки и виджеты от соц. сетей:
А так же среди подозрительных могут оказаться коды самого шаблона.
Просматривая эти файлы находите в них знакомые вставки- названия, таким способом можно спокойно исключить 90% всех подозрений выданных плагином или сервисом. Ну, а в остальном придется поразбираться. И можно сравнивать старый файл из прошлого БЕКАПА, с новой его версией, в котором был найден этот код, и тем самым тоже понять, в нем ли находится угроза.
У меня же после того как вредоносный код был найден и удален из базы данных и ещё из какого то файла сайта, на этом все закончилось.
Я не буду демонстрировать вам найденный код, я оставил его на http://www.siteguard.ru/, и множества подобного вы можете посмотреть на сервисе выше.
Скажу только что он имел в себе такие вкрапления,- Evil и base64_decode в начале самого кода, потом шифрованная длинная абракадабра и iframe и echo внутри кода.
Наиболее часто встречаемыми вредоносными кодами считаются файлы с командами,- sscounter; Evil; base64_decode; iframe; explode.
Но вы должны учесть что к примеру такие части как base64_decode ; iframe; explode не так уж редко используются и в безопасном коде, например у меня сейчас один рекламный скрипт содержит в себе вставку iframe.
И когда присутствует в коде команда iframe, то как правило, если это вредоносный скрипт, где то рядом(внутри) есть ссылка на другой сайт, опять же если это не рекламный код. Ссылка может быть обычного и скрытого вида в виде абракадабры.
Теперь о Плагине ТАС. — плагин для обнаружения вирусов на сайте Theme Authenticity Checker (TAC) знаю о таком, но сам не воспользовался, точней сказать, установил уже после удаления вредоносного кода, когда сайт уже какое то время нормально проработал и ещё раз проверил сайт этим плагином.
Конкретней, он ищет несанкционированные(чужие) ссылки на сайте, встроенные вредоносным кодом и перенаправляющие на посторонний ресурс. После активации, его настройки ищите в разделе «Внешний вид».
Скачать плагин можно с официального сайта Вордпресс здесь или установить его через админку.
И ещё один плагин который может вам очень помочь в будущем belavir. Он определяет несанкционированные изменения в php файлах движка Вордпресс.
Принцип действия плагина,- он хеширует php-файлы и потом сравнивает текущие хеши с более ранними версиями и если обнаруживает несоответствия, отображает информацию в админке сайта. К примеру:
Если же, просмотрев показанный файл, понимаете что это вы его редактировали, тогда просто нажмите кнопку «сброс». В настройках плагин не нуждается, закачайте и активируйте.
Этот плагин поможет быстрей обнаружить внедренный вирус. Следует только учесть, что он как и все прежние плагины и сервисы, будет показывать все незнакомые, в том числе и здоровые коды. Здесь важно разобраться в самом начале, после установки, а потом будет проще. Если вдруг что то изменится, то выведет один код, да и вы уже будете знать меняли ли вы что нибудь, где нибудь или нет.
Сразу скажу, плагин конфликтует с другим классным плагином WP Security Scan, что это за плагин (в другой статье) в общем придется выбирать тот или этот.
И хочу добавить, что вы должны знать, нельзя ставить на сайт все плагины, которые, как вам кажется, нужные, они сильно нагружают сайт, что влияет на скорость., ставить нужно только самые необходимые.
Но плагины что я привел выше, кроме belavir, можно установить, а после проверки сайта, попросту отключать их из админки чтобы не создавать лишней нагрузки. То есть они будут оставаться на сайте, но будут отключены. Тоже касается и плагинов оптимизации базы данных(приведенных выше).
Вот страница автора плагина belavir, где вы можете его смело скачать(смотреть справа), сайт одобрен Вордпресс, но перед этим обязательно прочитайте статью на той же странице.
Ну и на этом пока все, а под конец напишу как можно удалить закодированную ссылку, которая может оказаться в новом шаблоне.
Удаление закодированной ссылки
Если удалить такую кодированную ссылку то можно поломать весь шаблон так как ссылка объединяет в себе определенные файлы и повлияет на функции темы.
Вот для вида начало и окончание подобной ссылки:
Кстати, если заметили в ней тоже скрывается команда base64_decode.
И так, для начала находим кодированную ссылку, обычна она длинная и чаще всего находится либо в footer.php либо functions.php.
И перед «<a href=» или «<?php«(может быть и такое начало), ставим к примеру такой знак «***» — это будет метка для нашей ссылки.
Далее заходим на свой сайт(на главную) и правой кнопкой мыши открываем всплывающее окошко, в нем выбираем- «исходный код страницы» либо «просмотр кода элемента» (в зависимости от браузера).
Нам предстанет весь код нашего сайта.
Теперь на клавиатуре жмем Ctrl+F и ищем маленькое окно внизу слева. Вводим в него наши *** и нам сразу покажет(желтым цветом) где находится этот символ вместе с нашей кодированной ссылкой.
После этого нужно скопировать все то, что находится от начала нашей метки и до самого низа кода. После чего возвращаемся к тому нашему файлу, в котором мы нашли эту ссылку и вместо неё вставляем тот кусок кода, который мы только что скопировали.
В этом копированном коде и будут находиться закодированные ссылки, только сейчас они стали нормального вида и их теперь не проблема безопасно удалить.
И напоследок:
— Не забывайте проверять свой ПК на вирусы. Трояны воруют пароли с компа, и при соединении с хостингом, — передают данные злоумышленникам.
— При соединении с вашим хостингом для закачки каких то файлов используйте не порт 21, а порт 22(есть при наличии SSH подключения на хостинге). Это специальное подключение для безопасного доступа.
Если такого доступа в ПУ на сервисе нет, обратитесь в тех .поддержку за информацией. Возможно такой доступ есть, но он включается только при более дорогом тарифном плане, что было в моем случае на моем хостинге. Ну если сайт уже не плохо раскручен, то я думаю нет смысла экономить на безопасности.
И при соединении к хостеру c клиента Fizila или любого другого, — не сохраняйте в них пароли.
— Хоть иногда меняйте пароль к Панели Управления сайта и базе данных. Сам пароль должен состоять не менее чем из 20 символов с разным регистром.
— Получив на почту непонятное сообщение со ссылкой, проверьте его антивирусом на наличие вредоносного кода и лучше не открывайте все, что только возможно.
— И конечно друзья, перед любыми работами с файлами сайта, и базой данных обязательно делайте бекап корневой папки и базы. И тогда творите что угодно, ломайте хоть ещё много много раз, все можно вернуть через панель хостинга или фтп клиент закачав на сервис резервную копию сайта. А редактировать файлы нужно в блокноте Notepad++ скачать с официального сайта можно здесь.
Ещё в скорости планирую написать статью как защитить сайт на Вордпресс, и думаю есть чем поделиться. Поэтому если желаете, можете подписаться на обновления
С уважением Андрей Русских
Уважаемые читатели, если статья вам была полезна, буду признателен если понажимаете кнопки (внизу)
Кроссворд для вас(нажмите чтобы начать, если не видно цифр- обновите страницу)
За долгие годы практики мы можем с уверенностью сказать, что, в основном, вредоносный код (вирус) попадает на сайт через систему управления (CMS). Это происходит так: пользователь скачивает документ с неизвестного источника и публикует его без проверки антивирусником. Или пользователь скачивает документ с официального источника / получает документ от доверенного лица с ошибкой, которую невозможно визуально увидеть. Так сайт становится уязвим.
Другой вариант: вы можете скачать «здоровый» файл на зараженный компьютер. И при передаче файла следующему получателю есть вероятность, что вы отправите файл вместе с вирусом. В данном случае вред будет исходить от вашего компьютера. Нужно регулярно проверять его антивирусом и лечить.
Сайт может стать уязвимым к вирусам из-за плохо проработанного кода. Злоумышленники постоянно находятся в статусе поиска подобных сайтов. Если кратко, то происходит это так: найдя уязвимость, хакеры внедряют на сайт вредоносный код. Проверяйте и защищайте ваш сайт современными антивирусниками, чтобы не попасть в зону риска.
Последствия от вредоносного кода могут быть любыми:
- спам-рассылка для подписанных пользователей,
- замена картинок, видео и текстового содержимого,
- передача паролей и данных пользователей/клиентов третьим лицам,
- просмотр отчетности и заказов злоумышленниками,
- получение доступа к почтовым ящикам ваших сотрудников,
- изменение вида веб-страниц сайта,
- редирект (перенаправление) на другие сайты,
- распространение рекламы на страницах сайта,
- и другой вред, нарушающий обычный режим работы.
Также причиной взлома может стать простой пароль пользователя для входа в систему управления сайтом. Получив доступ, злоумышленник подвергает сайт любым изменениям даже если у пользователя был доступ только к редактированию текстового содержания страниц.
Как узнать, что на сайте есть вирус
Первые, кто могут сообщить вам о наличии вируса на сайте — браузер, ВебМастер, настольный антивирус. Чтобы удостоверится о наличии или отсутствии вируса нужно проверить сайт с помощью утилиты для удаления вирусов Dr. WEB. Эта утилита знакома со всеми известными компьютерными и web-вирусами. Находит и показывает вредоносный код. Определяет есть ли ссылки на мошеннические сайты. Скачать антивирус Доктор Веб можно на официальном ресурсе.
Как распознать вредоносный код / файл
Имейте ввиду, что сайт состоит не только из строчек кода, но еще и папок с файлами. Коммерческие сайты и корпоративные порталы интересуют злоумышленников больше, нежели частные компьютеры. На сайтах компаний хранятся базы клиентов, юридические документы и другую секретную информацию, которую можно выгодно продать.
Изменениям, например, может подвергнуться исполнительный файл с расширением .exe. В этом случае вирус прячут в нем и поиск источника вреда усложняется. Настольный антивирус может не увидеть изменений в файлах сайта, потому что компьютерный вирус отличается от виртуального.
Как проверить сайт на вирусы? Например, у официальных хостинг-провайдеров в панели управления уже установлен антивирус. С его помощью можно проверить данные сайта на наличие вредоносных файлов. Или обратитесь в it-компанию, которая ведет деятельность по разработке сайтов, уж они точно знают, как проверить ресурс на наличие вирусов.
Что делать, если на сайте обнаружены вирусы
Восстановите резервную копию сайта. В среднем, специалисты технической поддержки проводят резервную копию сайта 1 раз в месяц. Вам повезло, если копия вашего сайта была сделана задолго до появления вредоносного кода. Это избавит от необходимости лечить сайт вручную.
Обновление программного обеспечения, CRM. Разработчики CRM постоянно ведут работу по устранению возможных уязвимостей в системе, исправляют их и выпускают обновления. Установите обновления с официального сайта вашей CRM, чтобы повысить степень защиты.
Удалите пиратские плагины (программный модуль для расширения возможностей системы). Мы рекомендуем устанавливать расширения с официальных сайтов. Однако, не все следуют этому правилу и устанавливают бесплатные аналоги от неизвестных разработчиков. Скорее всего, такие плагины уже содержат скрытие вирусы. Удалите плагины, проверьте систему на вирусы и установите оригинальное ПО.
Поменяйте админские пароли. Для доступа к сайту злоумышленники могут взломать вашу почту или поселить вирус в компьютер. Генерируйте сложные пароли с наличием букв, цифр и специальных символов. Но, если вы заметили подозрительные изменения или всплывающие окна, рекомендуется проверить компьютер на вирусы, сменить пароли от почтовых аккаунтов, панели управления сайтом и сервером.
Установите права доступа к файлам сайта. С помощью настройки прав вы можете ограничить / настроить список сотрудников, которые могут просматривать, исполнять и изменять код.
Удаляем вредоносный код вручную. Антивирус показал зараженные участки кода. Если у вас есть навыки работы с консолью сервера, то приступите к удалению вредоносного кода / файла вручную. Вам нужно искать следующее:
- Слова «exploit», «shell», «javascript»,»iframe»;
- фразы eval и unescape, document.write и String.fromCharCode;
- В css найдите и удалите атрибут behavior;
- Удалите или замените зараженные медиафайлы;
- В базе данных (что открываем редактором, например NotePad++) удаляем»iframe»;
- Удаляем файлы подобные wzxp.php, которые по названию явно не входят в обычные файлы CMS;
- Проверьте файлы .htaccess, чтобы они не содержали чужеродного кода или редиректа на другие сайты;
- Удалите base64-код. Он может выглядеть так «DFJKsdkfjghJhHvKkOmHtgdfRcybJmLpIhVyfTCrfdxfCrtDFcHGhbBjhIJkMOkoI»;
- Проверьте, не используется ли eval() или функция preg_replace() с ключом в первом аргументе.
Как обезопасить сайт от вирусов
Делимся с вами чек-листом, проверенным на личном опыте:
- Настройте создание и хранение резервных копий сайта.
- Применяйте обновления CMS и патчи безопасности, которые сами находят и устраняют уязвимости сайта.
- Используйте только оригинальные плагины для расширения функций браузера.
- Систематически меняйте пароли администраторов.
- Установите права доступа к файлам сайта или ограничьте доступ, разрешив изменять содержимое сайта только по своему IP-адресу.
- Регулярно проверяйте свой компьютер и сайт на наличие вирусов.
Эти советы вы можете применять самостоятельно. Или доверьте безопасность ваших сервисов профессиональным админам. В нашей компании данный чек-лист разработан для обеспечения технической поддержки сайта.
Владельцы сайтов не всегда задумываются о защите своего ресурса. От взлома, хакерских атак и вирусов. А зря — под угрозой не только сайты крупных компании, но и мелкого бизнеса, и просто личные блоги.
В статье расскажем, как проверить сайт на вирусы и как распознать, что он заражен. Какие есть способы защитить свой сайт от вирусов.
Реклама: 2VtzqvbDur1
Читайте также: Лучшие курсы по обучению SEO
Как понять, что сайт заражен вирусом
В идеале, стоит изначально настроить автоматическую защиту и проверку сайта на вирусы. Например, поставить плагин антивируса, если используете CMS. Тогда в случае заражения или попыток внести изменения на сайт, владелец получит уведомление и сможет сразу принять меры.
Но есть явные признаки, по которым и без уведомлений понятно, что сайт заражен. Тогда нужно проверять и «лечить» сайт от вирусов как можно скорее.
Признаки заражения сайта вирусом:
- заметны явные изменения в работе сайта — например, страницы стали долго загружаться, пропала часть информации, появился контент, который вы не загружали, резко и сильно изменилась скорость загрузки в Google PageSpeed;
- на сайте появилась нежелательная реклама;
- при попытке зайти на сайт происходят многочисленные редиректы (автоматические перенаправления страниц) — это стопроцентный признак заражения;
- сайт попал под фильтры поисковых систем, хотя вы ничего не нарушали — обычно этот признак указывает на то, что сайт заражен уже долгое время (больше 2 недель, хотя это зависит от степени заражения);
- сайт пропал из выдачи (он уже под фильтрами) или резко опустил свои позиции в поиске;
- появились лишние файлы и папки — чаще всего это видно не на самом сайте, а на сервере, если зайти в папки через FTP;
- антивирус прислал уведомление о заражении сайта;
- хостинг-провайдер прислал предупреждение о проблемах с безопасностью сайта;
- на сайте появилось много исходящих ссылок, ведущих на чужие ресурсы (вы эти ссылки не добавляли);
- иногда сайт может вообще не открываться;
- при открытии сайта вместо него показывается предупреждение от браузера, что ресурс небезопасный и может украсть данные посетителя (неявный признак, иногда такое бывает, если вовремя не обновить SSL-сертификат или не перейти на https-протокол);
- резко увеличилась или упала посещаемость сайта — в первом случае это могут быть заходы ботов;
P.S. У сайта может быть один или несколько признаков заражения (то есть, не все сразу). Например, редиректы и много исходящих ссылок.
Это интересно: 16 способов увеличить скорость загрузки сайта
Как проверить сайт на вирусы
Есть несколько способов проверить сайт на вирусы. Методы можно использовать по отдельности или провести комплексную проверку. Важно, что вирус может быть как в коде сайта, так и в контенте, поэтому стоит использовать способы, которые позволяют проверить и то, и другое.
Способы проверки:
1. Через хостинг
У большинства современных хостинг-провайдеров в панели управления сайтом есть инструменты для его проверки на вирусы. Если для управления вашим сайтом используется cPanel, инструмент может так и называться — «Антивирус». Если нажать на него, можно запустить сканирование всех папок с сайтом на хостинге.
В зависимости от хостинга и панели инструмент может находиться в разделе «Безопасность», «Дополнительно», «Расширенные». Называться он тоже может по-разному, например, «Защита от вирусов», «Сканирование на вирусы». Может быть добавлен конкретный антивирус в панель, например, в cPanel часто добавляют ImunifyAV.
2. Через онлайн-сервисы
Самый простой способ — использовать сервисы. Некоторые вирусы можно обнаружить даже на бесплатных тарифах. Принцип работы у сервисов похожий. Если наш список вам не подойдет, всегда можно найти аналог по запросу «Онлайн проверка сайта на вирусы».
Несколько сервисов:
Sucuri — заграничный сервис, в котором есть несколько инструментов для обеспечения безопасности сайта. Стоит от 199.99 долларов в год, но проверить сайт на вирусы можно и бесплатно. Для этого нужно зайти на страницу sitecheck.sucuri.net и ввести домен сайта. Затем нажать зеленую кнопку «Scan Website».
Бесплатный сканер имеет ограниченные возможности, но даже этого достаточно, чтобы обнаружить некоторые вирусы на сайте. Чтобы посмотреть более подробный отчет и очистить сайт, нужно зарегистрироваться и оплатить доступ.
Пример сайта, зараженного файлом с вредоносным кодом. Сервис показывает, какие части сайта затронуты вирусом.
Этот же сайт, но после очистки от вирусов:
VirusTotal — еще один заграничный сервис, позволяет проверить сайт по ссылке, через загрузку файла или из поиска. Можно просканировать без регистрации на сайте. Сервис использует большую базу по более, чем 65 антивирусам, что позволяет с большой вероятностью обнаружить вирус.
Kaspersky Threat Intelligence Portal (бывший Kaspersky VirusDesk) — онлайн сканер от вируса Касперский. Позволяет проанализировать сайт по адресу, из поиска или через загрузку файлов сайта с компьютера. Бесплатная версия ограничена.
Norton Safe Web — онлайн сервис от известного антивируса Norton Security. Работает аналогично предыдущим — вставляем ссылку на сайт и жмем на кнопку поиска.
Так он определяет безопасный сайт:
3. Через инструменты поисковиков
Это Google безопасный просмотр и Yandex Site status check.
Работают стандартно — нужно ввести адрес сайта в поле на сервисе. Вот как это выглядит в Google:
Если все ок, сервис напишет, что небезопасный контент не найден.
Сервис от Яндекса работает также — пишем адрес сайта в поле сканера, жмем кнопку «Check»:
Если все ок, сканер напишет «No threats detected on адрес сайта».
Насколько эти сканеры информативны, судить сложно. Но если поисковик уже заметил вирусы на сайте, то скорее всего, скоро он может попасть под фильтры в черный список (а может уже попал). Скорость обнаружения вирусов через сканеры поисковиков может зависеть от того, насколько часто поисковые роботы посещают ваш сайт.
4. Через антивирус, установленный на сайте
Когда заводите сайт, лучше сразу позаботиться о дополнительной безопасности и установить на него антивирус. Если сайт на движке, обычно ставят плагины. Например, для Вордпресс это AntiVirus, WP Antivirus Site Protection, iThemes Security, Centrora WordPress Security, Anti-Malware Security and Brute-Force Firewall.
Такие плагины препятствуют заражению сайта, предупреждают о попытках взлома и позволяют продиагностировать сайт на предмет наличия вирусов.
Есть также плагины специально для сканирования сайта и поиска вредоносного кода, например, Wemahu, Exploit Scanner. Но лучше все-таки установить комплексный плагин, который и сканирует, и защищает сайт.
5. На своем ПК
Как один из способов — скачать архив с содержимым сайта с сервера (через FTP) и проверить антивирусом, установленным на компьютере. Если антивирус находит угрозы — удалить и перезалить пролеченные папки обратно на сервер. Главное, убедиться, что антивирус не принял за угрозу важный файл, который влияет на работоспособность сайта.
Также обязательно нужно проверить, не успел ли сайт попасть под фильтры поисковиков (если нет явных признаков, что уже попал). Для проверки на фильтры от Google нужно зайти в Google Search Console — «Поисковый трафик» — пункт «Меры, принятые вручную». Для проверки в Яндексе нужно зайти в Яндекс.Вебмастер, раздел «Диагностика» — пункт «Безопасность и нарушения».
Очистка сайта от вирусов
В данной статье мы не будем подробно описывать процесс очистки — он зависит от степени поражения сайта. В одном случае достаточно удалить зараженный файл, в другом придется полностью восстанавливать сайт из исходной версии, нередко с потерей данных. Новичкам лучше обращаться к специалистам или использовать программы и плагины для очистки сайта от вирусов.
*Для возможности восстановить и использовать более старую версию сайта советуем настроить бэкапы — это периодическое сохранение версий сайта в архив. Например, раз в неделю или каждый день. В случае, если нужно полностью восстанавливать сайт, старая версия убирается с сервера, и вместо нее загружается версия из бэкапа. Регулярное создание бэкапов может быть одной из функций вашего хостинга. Для CMS созданы плагины бэкапов.
Как обезопасить сайт от заражения вирусами — несколько простых рекомендаций
Минимальные шаги, которые можно предпринять:
1.Выбрать надежного хостинг-провайдера со встроенным антивирусом, сканером и, в идеале, инструментом регулярного создания бэкап версий сайта. Если инструмента создания бэкапов нет — нужно ставить отдельный плагин на сайт.
2.Установить антивирус на сайт в самом начале его работы. Выбирайте антивирус, у которого регулярно обновляются базы и есть несколько степеней защиты.
3.Если у вас сайт на Вордпрессе — спрячьте стандартный адрес админки. Для этого есть специальные плагины, например, Rename wp-login.php, WPS Hide Login, Clearfy Pro.
4.Придумать сложный пароль для входа в админ-панель сайта.
5.Если у вас есть сотрудники, работающие с сайтом, создайте для них отдельные профили в админке без права администрирования сайта и без доступа к его файлам. Если все же необходимо дать доступ к админке или к FTP — после завершения работ все равно стоит поменять пароли.
6.Периодически проводить сканирование сайта на вирусы.
7.Настроить регулярное создание бэкапов — если сайт все-таки будет заражен, его будет легче восстановить.
8.Не давать данные для входа в админку, на хостинг и сервер третьим лицам.
*Иногда мошенники представляются SEO-специалистами, программистами, дизайнерами и предлагают услуги по улучшению работы сайта. Получив данные от админки, на сайт запускают вирус. Прежде чем сотрудничать с кем-либо, внимательно изучите историю компании и отзывы.
9.Если не удалось избежать заражения сайта, после его лечения нужно поменять все пароли и усилить защиту сайта. Например, поставить более мощный антивирус.
10.Не ругаться с программистами, создавшими ваш сайт))
Заключение
Всегда проще предотвратить проблему, чем бороться с последствиями. Для начала постарайтесь максимально защитить свой сайт от вирусов и взлома. Затем проводите периодическое сканирование и следите за работой сайта, а также трафиком. Если заметите признаки заражения, описанные в данной статье — нужно незамедлительно проверить сайт любым из описанных способов и срочно принимать меры по его лечению, если угроза будет найдена.
Полезные статьи:
- Что такое микроразметка и как ее добавить на сайт
- Как проиндексировать сайт в Google и Яндекс
- Как удержать пользователя на сайте — 27 способов
Каждый вебмастер обнаружив вредоносный код на своем сайте, получает массу не очень приятных впечатлений. Владелец сайта сразу же, в панике пытается найти и уничтожить вирус, и понять каким же образом эта гадость могла попасть на его сайт. Но как показывает практика, найти вредоносный код на сайте не так уж и просто. Ведь вирус может прописаться в один или в несколько файлов, из огромного количества которых состоит сайт, будь то движок работающий на вордпрессе или обычный сайт на html.
Вчера, проверяя свою почту, я обнаружил письмо от Google, о том что посещение определенных страниц моего сайта может привести к заражению компьютеров пользователей вредоносными программами. Теперь пользователям, переходящим на эти страницы по ссылкам в результатах поиска Google.ru, отображается страница с предупреждением. Этот сайт не был добавлен мной в панель вебмастера Google, поэтому я был оповещен по почте. В панели вебмастера у меня находилось еще несколько сайтов, зайдя туда я в ужасе увидел предупреждение о вредоносном коде еще на двух своих сайтах.
В итоге, на трех моих сайтах поселился вредоносный код, который мне предстояло найти и уничтожить. Один из сайтов работал на вордпрессе, другие два состояли из обычных php страниц.
Стоит заметить, что Google среагировал гораздо быстрее Яндекса на наличие вредоносного кода. В панели вебмастера Яндекса, предупреждение о наличии вируса на сайте так и не появилось. Благо, в течении нескольких часов я успел найти этот злосчастный вирус.
Как правило, чаще всего сайты заражает так называемый iframe-вирус. По сути, этот вирус состоит из кода <iframe>….</iframe>. Вирус ворует все пароли с Total Commander или другого ftp-клиента. В моем случае, произошло тоже самое, код iframe прописался в нескольких десятках файлов на моем сайте. На сайте, который работал на вордпрессе, вредоносный код успел обосноваться лишь в footer.php.
И так, как найти вредоносный код, если Вы обнаружили что Ваш сайт заражен:
1. Заходим в панель управления хостингом и меняем пароль. Елси у Вас несколько сайтов, то проделываем это со всеми своими сайтами.
2. Меняем и удаляем пароли в ftp-клиенте. Больше никогда не храним пароли в ftp-клиентах, всегда вводим их вручную.
3. Можно зайти на хостинг по ftp, и посмотреть что изменилось в Ваших файлах. Отсортируйте файлы по дате последнего изменения. У тех файлов, которые заражены, дата должна быть свежая и одинаковая. Откройте эти файлы и ищите код iframe, как правило этот код располагается в самом конце. В основном, вредоносный код прописывается в файлах: index.php, index.html, в файлах с расширением .js. Нередко, эта зараза проживает между тегами <script>…</script>.
Для самописных сайтов, очень внимательно просмотрите все файлы и папки скриптов, вирус частенько прописывается именно там. Так же, излюбленное место обитания этого вируса, в кодах счетчиков для сайта, и в рекламных кодах.
4. Проверьте файл .htaccess на наличие подозрительного кода. Иногда вредоносный код проникает и в этот файл. Обычно в файлах движка существует несколько директорий, в которых может находиться файл .htaccess. Проверьте все эти файлы и убедитесь в «чистоте» кода.
Что касается файлов вордпресса или другой CMS, как правило любая CMS состоит из множество файлов и папок, и найти в них вредоносный код очень сложно. Например, для вордпресса могу порекомендовать плагин TAC. Этот плагин проверяет файлы во всех темах в папке themes на наличие стороннего кода. Если TAC найдет не желательный код, то покажет путь к этому файлу. Таким образом, можно вычислить и маскирующийся вирус.
Скачать плагин TAC: wordpress.org
Вообще, стоит постоянно держать в памяти все действия, которые Вы производили со своими файлами сайта. Помнить, что меняли или добавляли в тот или иной код.
Когда найдете и удалите вредоносный код, то не помешает проверить свой компьютер на наличие вирусов.
И если Ваш сайт был помечен Гуглом или Яндксом как зараженный, то через панель вебмастера надо отправить запрос на повторную проверку. Как правило, в течении суток все ограничения с Вашего сайта поисковики должны убрать. Мой запрос на повторную проверку Гугл обрабатывал не долго, и через несколько часов с моих сайтов были сняты все ограничения.