SEO - Статьи Что делать если сайт заболел вирусом?

Что делать если сайт заболел вирусом?

Данная статья ориентирована на новичков, опытным специалистам, она скорее всего покажется бесполезна, но, надеюсь кому-то данная статья поможет сберечь нервы и ценное время.

Вступление

И так… есть у Вас сайтик, продвигаете его, статьи для него пишите, с поисковиками дружите, посетители заходят, все счастливы и довольны. Просыпаетесь Вы одним добрым утром, птички поют, солнышко нежно греет своими лучами, заходите проверить - как он там? мой любимый! И тут гром среди ясного неба - любимый яндекс выдает: "Сайт может угрожать безопасности вашего компьютера" а статистика не показывает ни одного посетителя за сутки. Что делать? И почему это произошло именно с тобой?

Как это произошло и кто виноват?

Загрузить вредоносное ПО можно как через администратора, заразив вначале компьютер так и через дыру в сайте.

Дыра в сайте

Чаще всего этим грешат старые версии бесплатных (CMS). Если используется CMS WordPress, Joomla, или любой другой CMS с открытым исходным кодом, особенно если движок давно не обновлялся есть большая вероятность попасть под заражение через SQL инъекцию. Инъекция SQL (англ. SQL injection — «SQL-вторжение») — один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода. SQL инъекция может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные) , получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере. Если целью инъекции стоит заражение сайта, взломщик введет вредоносный код, как правило, с расширением JS. Код может выполнять разные функции, например: перенаправить пользователя на другую страницу или же заражает компьютеры посетителей сайта и многое другое.

Заражение через компьютер админа

Другая причина заражения сайта - это заражение сайта через зараженный компьютер администратора откуда вредоносное ПО уводит все логины и пароли доступа к хостингу. После чего вирус самостоятельно внедряется через FTP. Очень часто вирусы получают пароли к сайту из служебных файлов Total Comander'а хранящихся в папке Windows.

Как попадает вирус компьютер администратора?

Основные причины это халатность, редкое обновление антивирусных систем, невнимательность, посещение зараженных сайтов, скачивание пиратского контента все это способствует заражению компьютера вирусами.


Что делать?

Лечение сайта от заражения может быть очень трудным и кропотливым занятием, особенно если приходиться это делать впервые.
1)Для начала следует обновить антивирусные системы на своем компьютере, особенно если они давно не обновлялись. Проверить на вирусы, а также попытаться самостоятельно найти вирус через диспетчер задач. Помните, пока заражен Ваш компьютер, будут заражены и Ваши сайты. Если доступ к управлению сайтом имеют и другие люди то Ваша задача проконтролировать чтобы и другие пользователи проверили свои компьютеры на вредоносные ПО.

2) Измените все пароли, связанные с вашим сайтом, администратора админ панели, FTP, MySQL, панели управления, все, все, все!
3)Загрузите все файлы с вашего веб-сайта (для обзора и анализа взломал кода), так же проблема может заключаться в том, что на самом сайте может не быть вредоносного ПО, которое способно обнаружить антивирус. Обычно в коде сайта могут быть спрятаны iframe или блоки JavaScript, которые загружают вредоносное ПО с другого сайта. Для их обнаружение придется работать вручную, проглядывая весь код сайта. Самый простой и логичный способ это скачать весь сайт и отсортировать файлы по дате их изменения. Наиболее вероятно, что файлы представляющие угрозу, будут иметь самую свежую дату изменения файла.

Чаще всего, вредоносные файлы находятся в index.php внутри которого можно увидеть вставки [iframe][/iframe] или же скрипт

они находятся либо сразу за тегом [BODY], либо в самом низу страницы.

Впринципе, эти вредоносные коды, как правило, довольно легко обнаружить, если вы знаете, что, где и как искать. Вам нужно найти каждый зараженный файл и почистить его от вредоностного кода. Будте внимательны, перед загрузкой сайта обратно на хостинг провертье все несколько раз.

4) Так же если у Вас есть резервная копия сайта можете просто загрузить ее не копаясь в коде.

Как обезопасить себя?

1)Если вы используете такие CMS как Joomla или WordPress
а)Обновите вашу версию на более новую
б)Скройте админку из тех месте где она стоит по умолчанию
в)Измените имя администратора
г)Установите утилиты резервного копирования.

2)Постоянно обновляйте антивирусы на компьютере, а так же следите чтобы это делали и пользователи других компьютеров имеющих доступ к управлению сайтом.
3)Вашего сайта безопасного означает, что вы должны держать свой персональный компьютер безопасным, как и все сотрудники или фирм, которые имеют доступ к вашему сайту. Вы все ответственные за поддержание вашего сайта защищены. Помните, вы должны убедиться, что все компьютеры, доступ к вашему сайту через FTP находятся в безопасности, а также. Вот некоторые основные шаги, которые можно предпринять:
4)Следите за обновлениями ОС и патчами.
5) Не сохраняйте пароли в FTP программах.
6) Если у вас несколько FTP пользователей, назначать разные права для разных целей, не давайте пользователем доступ к FTP даже если это клиент, покрайней мере до тех пор пока Вы администрируете или продвигаете его сайт.

Удачи!

 

С вашего позволения добавлю:
Как правило, после заражения сайта вирусом, его мало почистить. Обычно он попадает под определённый фильтр ПС (например "сайт содержит опасное содержимое"). Можно конечно просто подождать и при следующей проверке сайта ПС ограничение снимут, но лучше написать самому в соответствующие контакты (аддурилка яндекса или гугла, например), что проблема с сайтом решена. В этом случае его гораздо быстрее (обычно 1-2 дня) выведут из под фильтра.

 

Ммм добавлю инфы из личного опыта по чистке сайта на joomla.


<------Вступление, не интересно и можно не читать ------->
Совершенно недавно, начал заниматься сайтом по работе - та "контора" что занималась этим до меня, делали все крайне медленно, некачественно и неэффективно, а как дитя компьютера, линукса кусок, да и вообще качеств хороших хоть отбавляй (по мнению руководства естественно, сам то я себя таковым не считаю), то в нагрузку к основной работе, на меня повесили, все это дело.

<---- Сабж ---->

В первый же день, как "передала" эта контора мне сайт - навернулась машина на хостинге. Не беда, благо бэкапы были, перенес на свой вебсервер (занимаюсь ради интереса и хобби - свой игровой портал, с популярными игрушками от валвов держу)

Сменил все пассы, понеслось, зашуршало, заработало.

Все началось тихим пятничным вечером, я сидел, пил кофе и расслаблялся в старую добрую цыву, как внезапно позвонил начальник и говорит мол "сайт поломали".

захожу по прямой ссылке всеок, я уже подумал успокоиться, как вдруг околоадминское чютье подсказало зайти с поисковика...И точно, редерикт на фишинговую страничку, вида обнови оперу, скачай порно, каждый раз рандомная...и в общем то очень неприятная.

Начал искать в чем проблема, за пол часа было раскуренно, что беда во вредоносном коде вида
base64_decode()
- в тела пых файлов в рандомном месте была добавлена строчка, сам код бэйс64 давал редирект 301 с указанием реферов. противная штука.
используя кота, греп и такуюто мать, составил себе список измененных файлов

и все подчистил.
Задумался о том, как же мне такую бяку залили, очевидно шелл, но как, почему, пассы то все сложные.
Читал логи, много думал, через n времени догадался сменить все пассы, включая мускуль.

Пока я все чистил, яндекс решил, что сайт опасен для общества и блокнул его, благо в выходные нагрузки не такие большие и повторная проверка прошла быстро, сайт в глазах поисковика был реабелитирован.
И успокоился....

Все бы ничего, но через неделю новая беда - изменение js.
С добавлением, безобидного обхода антивирей.

Тут уже начал грешить на сам сервак, что поломали...
ибо ispconfig, да и неприятные новости взялся за сервак. основательно все обновл, в том числе панель, проверил на руткиты и прочую прелесть...
снова сменил пассы.

буквально через пару часов снова гадость начала лезть. Ну тут я уже не выдержал сам искать решение проблемы...
и обратился к айболиту
сия няшка в отчете поведала мне, о заражении чуть более 600 файлов.

Психанул, сделал откат почти на месяц (благо, все хранилось в базе и инфы потерялось - всего ничего)

Перезалил сайт, сменил пассы, начал анализировать то, что осталось от старого сайта.

Вирусня заливалась методом POST через админпанель, я просто обалдел, пароль сложный подобрать его никак.
А судя по логам, авторизация проходилась с первого раза.

В итоге все оказалось намного прозаичнее, поскольку движек не обновлен (1.5.22 ибо совместимости и много изменений в код внесено) через дырку, что валяется в паблике, мне залили всего одну пхп страничку....но какую
я собственно каждый раз логинясь - отдавал пароли, печенюшками, так глупо, что даже смешно, ну а дальше уже логинились в админку боты и заливали, заливали, заливали...

На деррикторию с админой поставил доступ с определенных айпи.
А дальше решил поиметь хоть какой то профит с этого.

Написал скриптец, на поиск в логах строчек вида " " 403 /adm...", выдергивания из них айпишнеки и добавления их в айпитеблз.

Ну собственно на этом моей истории конец, могу только посоветывать зарание побеспокоиться о безопасности и не косячить.

Надеюсь мой горький опыт кому-нибудь поможет.

 

И еще совет от меня непосредственно.
Не выставляйте на всееобщее обозрение ящик, к которому привязан хостинг и домен.


PS
а кстати, есть шелл. который может менять время измения файла: r57

 

Самое плохое если такое случается, то удалить шелл как всем известно не достаточно. Ищишь причину проблемы. Что то чинишь и ждешь зальют не зальют. Да и как определить что залили веднь не всегда в одно место заливают. Вот тут поможет сервис мониторинга сайта , дырку он конечно не закроет, но можно будет знать 2 вещи наверняка: залили ли шел по новой и куда.

 

Wso с этим тоже элементарно справляется.

 

Да но мониторится не только время, а добавление файла, удаление, изменение размера, времени, прав доступа.

 

xD прочитайте

touch -t200811182005 WSO.php


будет полезно

 

Если кривые руки - то будет мониториться вообще всё на свете. От шелла это не зависит.

 

Учавствовал в разработке инструмента для обеспечения безопасности сайтов САНТИ http://santivi.com, инструмент бесплатный и позволяет как мониторить целостность файлов на сайте, автобекапить, имеет разные виды уведомлений о изменении файлов и найденных вирусах, кроме того куча интсрументария для лечения сайта. Пользуйтесь наздоровье и добро пожаловать в ряды испытателей, инструмент продолжаем модифицировать и улучшать.