Как обнаружить и удалить вирус на сайте? Где и откуда начинать поиск?

Ваш веб-сайт не работает должным образом, есть перенаправления на другие веб-сайты или некоторые подстраницы не открываются вообще? Это могут быть признаки вредоносного кода, попавшего на ваш сервер.

Наиболее подвержены атакам незащищенные сервера и хостинги, как правило это устаревшие CMS или же сервера работающие на устаревших операционных системах и ненадежном программном обеспечении. В любом случае если вы не желаете сталкиваться с вирусами лучше заранее все предусмотреть. Тем более что сейчас такие компании как strust.ru  могут предоставить полный комплекс услуг по защите Вашего сайта (ов). А зачастую одной правильной настройки достаточно дабы не думать об этом в течении нескольких лет.

Откуда появляются вирусы на сайтах?

Когда наш сайт становится жертвой атаки, то приходят в голову разные теории. Многие думают, что нападение должно было быть совершено вручную, поэтому кто-то наверняка "прилип" к нам и пытается причинить вред. Так вот такое бывает очень редко. Конечно, такую ситуацию нельзя исключать, но в большинстве случаев реальность менее сенсационная.

Наиболее распространенной причиной заражения сайта являются уязвимости в безопасности. Если используются старые версии систем CMS WordPress, Joomla, то можно быть уверенным, что они уже обнаружили в них уязвимости. Они часто используются автоматическими ботами для ввода вредоносного кода на сайты. Проблема заключается в том, что люди не обновляют системы CMS на постоянной основе, а также плагины, которые используют. И как только в сети появляется информация об уязвимости той или иной CMS начинается массовый поиск таких сайтов.

Вторая причина — утечка данных. В результате чего данные для входа на FTP-сервер и в базу данных, на панель администратора могут попасть в чужие руки. Наиболее распространенной причиной является незащищенный компьютер, который используется для входа в административную панель или на FTP-сервер. Пароль украден непосредственно с устройства (например, с помощью клавиатурных шпионов) или просто взломан из-за низкого уровня сложности (например, «password123»). Когда кто-то получает доступ к учетной записи FTP и учетной записи администратора на сайте, он может делать все, что захочет.

Какой вред могут нанести вирусы веб-сайтам?

Вирусы имеют разные способы действия, но чаще всего они просто мешают правильному функционированию сайта, что может иметь катастрофические последствия. Ваш сайт может внезапно начать перенаправлять пользователей на другие страницы сомнительного качества. Довольно часто это порнографические сайты, которые влияют, таким образом, на посещаемость оных. Вирус также может полностью удалить файлы с сервера, поэтому сайт полностью перестанет открываться — даже для администратора. А иногда бывают и более незаметные вирусы, которые банально размещают ссылки на страницах Вашего сайта и при этом не мешая основной функциональности последнего.

Часто встречаются также инфекции, нацеленные на "robots.txt" и "sitemap.xml" . Первый позволяет блокировать индексацию страницы в выбранных поисковых системах, а удаление второго может привести к снижению позиции в результатах поиска. Это вирусы, направленные на понижение нашего SEO, и, следовательно, понижений позиций в поисковых системах.

Описанные примеры являются простейшими способами запуска вредоносного кода. Однако их достаточно, чтобы испортить наш сайт, разрушить его позиции в поисковых системах и эффективно удерживать посетителей от него.

Как удалить вирус с сайта? — основы

Первым шагом должно стать изменение пароля к FTP-серверу. Одной из причин заражения являются утечки данных, чтобы кто-то мог получить доступ к нашему FTP-серверу и нанести ущерб.

Самое простое решение — сменить пароль. Для этого на хостинге надо войти в панель клиента и перейти в "Серверы> Учетные записи FTP". Выбрать свою аккаунт FTP и ввести новый пароль. Также стоит сменить пароль на административную панель вашего сайта.

Следующим шагом должно стать восстановление сайта из резервной копии.

Копия включает в себя все файлы на FTP-сервере, а также в базе данных. Боле подробные инструкции по восстановлению вашей резервной копии можно найти на сайте вашего поставщика услуг.

Если вовремя было замечено, что сайт был атакован вирусом, то, скорее всего, резервная копия чистая, и ее восстановление решит проблему.

Следующим шагом является обновление системы CMS и используемых плагинов до последней версии. Это можно сделать из административной панели вашего сайта, перейдя на вкладку с обновлениями. Обновление сайта без заражения может защитить его от повторной атаки. Не забудьте также обновить плагины!

У владельцев WordPress есть еще один вариант — переустановка основных файлов CMS. Все, что нужно сделать — это перейти на вкладку "Обновления" и затем выбрать опцию "Переустановить". Основные файлы WordPress будут снова загружены с официального сервера и переустановлены. Эта опция будет переустанавливать только основные файлы WordPress, которые никогда не должны изменяться.

Если восстановление страницы из резервной копии и ее обновление до последней версии не помогло, то придется самостоятельно удалить вирусы. Заражения вопреки внешнему виду не трудно отследить, и при этом не нужны знания программирования для их устранения. Все, что нужно, это терпение. Тем более что большинство из них используют похожие схемы.

Какие файлы следует проверять в первую очередь?

Открытие каждого файла на сервере и поиск вредоносного кода в строке — это безумие. Вам необходимо сформировать список файлов, которые стоит проверить на заражение. Надо просканировать весь сервер. Результаты этого сканирования предоставляются в виде файла для загрузки. Там будет список потенциально зараженных файлов — это должны быть первые файлы, которые вы будете искать в поисках вредоносного кода.

Кроме того, стоит войти на FTP-сервер, а затем пересмотреть даты изменения файлов.

Большинство файлов должны иметь изменения, которые соответствуют дате, когда страница была загружена на сервер, или дате последнего обновления CMS. В FTP-клиенте FileZilla вы можете сортировать файлы и папки после даты последнего изменения. Если вы видите, что все файлы имеют дату изменения, например, с прошлого месяца (последнее обновление CMS), но среди них есть один файл PHP, дата изменения которого, например, вчера или сегодня, стоит посмотреть поближе. Существует высокая вероятность того, что вредоносный код был добавлен в этот файл.

Очистка файлов от вредоносного кода и заражения

Это самая сложная часть — у вас уже есть список потенциально опасных файлов, и теперь нужно проверить, какая часть кода отвечает за ущерб, нанесенный вашему серверу. Если вы не знакомы с программированием, то может быть не просто найти записи, которых не должно быть. Для редактирования и просмотра файлов рекомендуется использовать NotePad ++. Он не только отображает содержимое файлов вместе с соответствующим форматированием и раскраской кода, но также показывает количество строк, что полезно для сравнения файлов с их исходными версиями.

Вредоносный код чаще всего склеивается в самом начале файла или в самом конце. Это значительно облегчает отслеживание зараженного кода, потому что известно, где примерно искать. Гораздо проще найти что-то в конце или в начале кода, чем где-то посередине.

Если ваш веб-сайт использует движок CMS и вы ищете заражение в главных файлах, которые отвечают за сайт, то стоит сравнить их с исходными файлами из чистой версии.

Советуем ознакомиться

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *