Что делать, если Ваш сайт всё-таки был заражён трояном?! Попробуем поговорить о действиях, которые следует немедленно предпринять для удаления вирусного когда с вашего сайта!
Вирус на сайте — это дело серьёзное и нужно предпринимать срочные меры по его обнаружению и удалению, так как сайт повреждён, а посетители сайта рискуют «подхватить» трояна на свой компьютер. Наличие вирусов на сайте очень опасно не только для посетителей, но может стать причиной бана сайта в поисковых системах.
На поиск вирусов и лечение сайта поисковые системы дают всего несколько дней. В течение этого времени заражённый сайт всё ещё продолжает находиться в результатах поиска, но возле него выводится специальное уведомление о существующей опасности со стороны сайта для его посетителей.
Ниже будет описана инструкция, подробно рассказывающая о том, как почистить сайт от вирусов. Если разбираетесь в программировании сайтов, то сможете очистить сайт своими силами. Но мы рекомендуем обращаться к профессионалам, чтобы нечаянно не вывести сайт из строя.
Порядок действий
- Срочно проверьте свой компьютер на наличие вирусов. Пароли доступа ФТП обычно воруют трояны, которые заразили Ваш компьютер или компьютер другого сотрудника, знающего доступ ФТП к сайту.
- Срочно смените ФТП доступ к сайту. Чаще всего именно по ФТП происходит заражение сайтов.
- Подготовьтесь к лечению сайта. Сделайте бекап сайта, сохраните веблоги посещаемости сайта и запросите у техподдержки хостинга лог подключений по ФТП к сайту. Логи могут потребоваться для поиска хакера и выявления способа заражения сайта.
- Приступайте к поиску и удалению вируса.
Действовать нужно именно в указанном порядке: сначала проверяйте компьютер и только потом меняйте доступ ФТП. Иначе, смысла не будет. Если Вы сначала поменяете доступ ФТП к сайту, а компьютер всё ещё будет заражён вирусом, то новые пароли снова будут украдены!
Только убедившись, что Ваш компьютер больше не заражён и, сменив ФТП доступы к сайту, можно переходить к следующим этапам, непосредственно к поиску и удалению вируса с сайта.
Поиск и удаление вируса с сайта
Прежде, чем искать вирусы на сайте, необходимо знать как они выглядят и где именно их следует искать. Как может выглядеть код вируса на сайте?
Существуют всего несколько самых распространённых кодов вирусов, которые используются для размещения на страницах сайтов. Все они используют одну и ту же уязвимость переполнения буфера браузеров, особенно, «IE». Уязвимость заключается в том, что с помощью специального кода (iframe) можно незаметно загрузить и запустить на компьютере жертвы любой файл.
Первое, на что следует обратить внимание — это подозрительный HTML код с подключением <iframe>. Обычно, подобные ифреймы стараются сделать незаметными для посетителей сайта, поэтому в свойствах тега указывают специальные параметры. Например, width=”0″ height=”0″, что делает их невидимыми на страницах.
Например, код вставки вируса может выглядеть так:
Согласитесь, включения подозрительных iframe обнаружить достаточно просто. Злоумышленники постоянно совершенствуют свои атаки, стараются усложнить лечение и маскируют iframe с вирусами таким образом, чтобы они были неузнаваемыми не профессионалами.
Маскирование делается с помощью шифрования кода (обфускации). В результате опознать подозрительный код можно только по наличию специфичных функций JavaScript unescape() или fromCharCode(), которые используются для шифрования.
Обнаружение на страницах сайта таких функций как unescape, fromCharCode или включений ифреймов не гарантирует, что на сайте вирус! Именно поэтому, код всех подозрительных файлов нужно проверять визуально. Удалять вредоносный код следует очень аккуратно, чтобы случайно не удалить важные данные и не сломать сайт.
Второе, на что следует обращать особое внимание — это подозрительное использование функции unescape().
Существуют и другие приёмы маскирования кода трояна, но смысл остаётся тот же — это особым образом вставленный скрытый тег iframe!
В каких файлах следует искать код вируса? Как правило, заражению подвергаются файлы PHP скриптов (в названии таких файлов используется расширение php) и обычные HTML страницы (расширение html или htm). Следует обращать внимание на дату модификации файлов. Посмотрите, какие из файлов были изменены совсем недавно!
Если файлов на сайте немного, то их все можно просмотреть в ручную и визуально найти подозрительные коды HTML или JavaScript, которые нужно будет удалить. Если же Ваш сайт достаточно развит и содержит сотни и даже тысячи страниц, то искать и удалять чужеродные скрипты задача не из простых.
Теперь Вы должны хорошо представлять, что искать на сервере и в каких файлах. Убедившись, что сайт был действительно подвержен заражению, актуальной становится проблема по поиску и чистке всех испорченных файлов.
Как выявить все испорченные файлы? Как мы уже заметили ранее, файлов и различных скриптов на сайте может быть очень много. И проверить их все вручную слишком накладно. Для решения задачи нужен правильный, оптимальный подход.
Задача состоит в поиске файлов, содержащих определённые участки кода, например, iframe или unescape. Подобный поиск лучше всего делать, используя регулярные выражения. Одни, используют встроенные средства поиска и утилиты операционной системы, другие, пишут свои скрипты на языке PHP, индивидуально настраивая регулярные выражения для лечения конкретного заражения сайта.
Приведём полезный пример, который может значительно облегчить поиск заражённых файлов на сервере.
Подозрительные файлы можно выявить командами следующего вида:
find $PWD -name '*.*' -exec grep -li "iframe" {} \;
find $PWD -name '*.*' -exec grep -li "unescape" {} \;
find $PWD -name '*.*' -exec grep -li "fromCharCode" {} \;
Выполнять их следует, подключившись к сайту по SSH и перейдя в корневую директорию сайта. Результатом выполнения команд будет нужный нам список файлов, которые содержат искомые подозрительные участки кода. Вам лишь потребуется проверить файлы по списку и в случае необходимости исправить их.
Не забывайте, если файл содержит вставку iframe, это ещё не гарантирует, что речь идёт о вирусе. Существует много полезных скриптов, которые вполне законно используют возможности html. Поэтому лечить файлы следует очень аккуратно и внимательно.
Коды троянов размещаются на сайте часто вперемешку с кодом PHP. Для корректного удаления кодов троянов нужно быть немного программистом. Поэтому, будьте осторожны и лучше обращайтесь к профессионалам. Удаление вирусов с сайта обычно обходится в 1000-2000 рублей.
Скрипт для поиска подозрительных файлов
Если Вам сложно использовать команды SSH для поиска файлов по шаблону, предлагаем воспользоваться нашим несложным скриптом quick-search.php на языке PHP (у скачиваемого файла расширение .txt, чтобы Вы могли его скачать, а не запускать поиск вирусов на нашем сервере).
Чтобы воспользоваться нашим скриптом, сделайте следующее:
- Скачайте файл скрипта;
- Измените расширение с .txt на .php;
- При необходимости, измените настройки скрипта согласно своим нуждам. По умолчанию указаны настойки, подходящие для большинства случаев;
- Закачайте скрипт на свой сервер, например, в корень веб-сайта;
- Запустите скрипт, зайдя на свой сайт, например, по адресу: http://www.vashmaster.ru/quick-search.php (конечно, вместо www.vashmaster.ru следует указать название своего сайта);
- Обязательно визуально проверьте содержимое всех подозрительных файлов, найденных скриптом. В случае обнаружения в них кода вируса, удалите его из каждого файла вручную.
Скрипт quick-search.php можно использовать для поиска любых файлов, а не только содержащих iframe. Нужно только правильно настроить шаблон поиска текста. Убедитесь, работать с ним очень просто!
Чтобы уменьшить будущие риски заражения Вашего сайта, рекомендуем создавать сложные пароли и не хранить их в программах. А также, обязательно установите на свой компьютер рекомендуемый пакет программ для защиты от вирусов.
Программы для защиты компьютера
Защитить свой компьютер совсем несложно. Достаточно иметь выход в Интернет и немного средств на покупку лицензии на использование антивирусной программы и файрвола. Вот связка основных программ, рекомендуемых к использованию:
- Антивирус: Kaspersky Internet Security 2011 или ESET NOD32;
- Файрвол: Outpost Personal Firewall Pro.
Желаем Вам безопасного Интернета и чистых сайтов!
Немає коментарів:
Дописати коментар