Как найти зараженные файлы на сайте

Обновлено: 06.07.2024

В прошлой статье мы рассказывали о вирусах на сайте: какими они бывают и как попадают на сайт. В этот раз поговорим о способах устранения вредоносного кода с помощью специальной программы — Антивирус для сайта RU-CENTER.

Что говорят цифры

Отчет об актуальных угрозах за первый квартал 2020 года от Positive Technologies показывает, что из-за эпидемии коронавируса цифры по киберинцидентам и атакам на сайты только растут. В 2020-м бизнес срочно уходил в онлайн, и продолжает делать это сейчас. Часто переход в онлайн происходит в сжатые сроки и предприниматели оставляют вопросы безопасности данных на потом, в первую очередь думая о том, как сохранить клиентов и организовать удаленную работу для сотрудников.

По данным компании Sitelock, глобального поставщика решений по кибербезопасности и защите данных, по состоянию на 2020 год в мире от вирусов страдают уже около 12 миллионов сайтов. Это означает, что 1 из 100 сайтов в сети заражен.

Поисковики и браузеры постоянно работают над тем, чтобы защитить пользователей от попадания на такие сайты и, как следствие, заражения. «Гугл» делает это с помощью сервиса «Безопасный просмотр» — предупреждает пользователей о том, что сайт опасен, в строке поиска или уведомлением в браузере.

Но вирусы с каждым годом становятся умнее и маскируются все лучше. По данным того же отчета SiteLock, 9 из 10 зараженных сайтов свободно работают — поисковики не занесли их в черный список. Это значит, что любой пользователь может зайти на один из этих сайтов и поймать вирус. Также это означает, что владелец зараженного сайта может долго не замечать, что с сайтом что-то не так.

Чтобы не узнавать о заражении от поисковиков в момент, когда сайт уже недоступен, важно регулярно сканировать его на предмет уязвимостей. Покажем, как в этом помогает Антивирус RU-CENTER.

Что такое Антивирус для сайта

Антивирус для сайта делает то же самое, что и антивирус для ПК: ищет вирусы и устраняет их. Только проверяет он не файлы на компьютере, а файлы сайта в папках на хостинге.

Посмотрите интервью с Георгием Казаровым — экспертом по безопасности RU-CENTER — « Антивирус для сайта: как использовать эффективно ».

Там мы обсуждаем безопасность сайтов, вирусы и другие виды угроз, защиту от заражения и показываем, как работает Антивирус для сайта.

Антивирус RU-CENTER ищет вредоносный код в двух направлениях — по сигнатурам и с помощью эвристического анализа.

Сигнатуры вирусов — неизменные общие участки кодов известных вирусов. У каждого антивируса есть база таких сигнатур. Антивирус ищет в коде файлов сайта известные ему сигнатуры и, если находит, отмечает подозрительными.

Этот принцип работы антивируса работает не всегда. Например, полиморфные вирусы так обнаружить нельзя — они не имеют сигнатур, их коды постоянно изменяются. Плюс постоянно появляются новые вирусы, которых еще нет в базах антивирусов, а значит, поиск по сигнатурам невозможен.

Эвристический анализ работает иначе. Антивирус наблюдает за работой кодов программ и отслеживает те, которые ведут себя как вирусы, — выявляет паттерны поведения. С помощью эвристического анализа Антивирус может находить полиморфные вирусы и определять угрозу до того, как в базу попадет ее сигнатура.

Такой принцип работы позволяет Антивирусу RU-CENTER распознавать все самые популярные и опасные уязвимости:

• XSS или межсайтовый скриптинг,
• LFI — включение локального файла,
• SQL-инъекции,
• Malware,
• Spyware,
• Трояны,
• Червей,
• Rootkits,
• Keyloggers,
• Майнеры и др.

Подробно о том, чем опасны эти вирусы, мы рассказали в статье «Вирусы на сайте: какие бывают и как могут навредить».

Как работает Антивирус для сайта

Антивирус начинает поиск вирусов сразу же с момента подключения к хостингу. Он будет активен весь период действия услуги, если не остановить его работу принудительно. Расскажем об основных функциях Антивируса.

Находит и удаляет вредоносный код

Антивирус автоматически ищет вредоносный код в файлах сайта. Автопоиск можно настроить на каждые 6, 12 или 24 часа — периодичность выбирается в панели управления услугой.

Запускать автопоиск вирусов желательно чаще — каждые 6 часов, если вы постоянно обновляете контент на сайте: загружаете новые файлы по FTP, скачиваете темы для сайта и т. д. Если же изменения на сайте происходят нечасто, достаточно проверять площадку раз в сутки. Делать это лучше в нерабочее время компании: во время проверки тратятся вычислительные мощности хостинга — хоть и незначительные, но сайт может работать медленнее.

График проверки и отчет сканирования в панели управления Антивирусом

Результаты сканирования сайта в отчете Антивируса RU-CENTER

В окне отчета доступны следующие опции:

• вылечить вирус — антивирус уничтожит кусок вредоносного кода в файле, сохранив остальной код нетронутым;
• удалить файл с вирусом полностью;
• добавить файл в исключение — чтобы при следующей проверке он снова не попал в отчет.

Антивирус позволяет лечить вирусы вручную и автоматически.

Лечение вручную актуально, например, когда разработчик вашего сайта писал код самостоятельно и использовал при этом нетиповые подходы к разработке. Антивирус может посчитать неизвестные ему участки кода опасными и ошибиться — такое случается с любыми антивирусами.

Вы сможете посмотреть, что именно Антивирус посчитал угрозой, вылечить реальные вирусы и добавить безопасные файлы в список исключений для будущих проверок.

Антивирус предлагает вылечить зараженный файл php

Если вы не разбираетесь в коде, доверьте дело разработчику или самому Антивирусу — он сделает все автоматически.

В режиме Автоматического лечения программа сама решает, удалять вредоносные файлы или лечить их. Если решает лечить, то вырежет из кода только опасную часть, а сами файлы оставит.

Антивирус предлагает автоматически лечить зараженные файлы

Информацию о вылеченном файле можно будет посмотреть в отчете, где было найдено заражение.

Отчет о вылеченном файле

Все удаленные файлы записываются в отдельную директорию на хостинге сайта. Они становятся резервными копиями и не несут опасности для сайта или его посетителей. Делается это на случай, если какой-то файл удалится случайно — тогда из директории его можно будет быстро восстановить.

Менеджер файлов: позволяет управлять файлами хостинга и просматривать зараженный код

Антивирус RU-CENTER поддерживает встроенный Менеджер файлов — инструмент, с помощью которого можно совершать все стандартные операции с файлами и директориями на хостинге: удалять, добавлять и искать их. Это аналог стандартного FTP-клиента.

Панель Менеджера файлов Антивируса RU-CENTER

Также с помощью Менеджера файлов вы можете работать с зараженными файлами — просматривать вредоносный код, который они содержат. Обычно файлы состоят из тысяч строк кода, и вредоносный код среди них найти непросто. Для удобства Менеджер файлов подсвечивает такие участки кода.

Подсвеченный участок вредоносного кода в Менеджере файлов Антивируса

Помогает найти сайт в черных списках

Черные списки поисковиков и браузеров — это базы опасных, зараженных доменов, IP-адресов и ресурсов. В такие списки попадают сайты, которые распространяют вирусы, занимаются фишингом, перенаправляют посетителей на опасные страницы и т. д.

Если сайт оказывается в черном списке Яндекса или «Гугла», он теряет позиции в поиске или вовсе исключается из него. Если в черном списке браузера — пользователь будет видеть предупреждение об опасности, когда попытается зайти на такой сайт. В обоих случаях попасть в черный список означает потерять трафик, репутацию и клиентов.

Антивирус RU-CENTER проверяет сайт по всем известным черным спискам. Проверка происходит автоматически, не зависит от периодичности проверки сайта на вирусы и не требует настройки.

Если сайт был обнаружен в черных списках, в панели управления появится специальная иконка.

Иконка в панели управления Антивирусом сообщает, что сайт попал в черный список

Если нажать на иконку, можно увидеть детали отчета и базы, в которые попал сайт.

Антивирус сообщает, что сайт попал в 5 черных списков

В этом же окне Антивирус предлагает рекомендации по удалению сайта из черного списка. Чтобы увидеть рекомендацию, нужно кликнуть на знак вопроса рядом с названием списка, в который попал сайт.

Антивирус рассказывает, что делать, чтобы удалить сайт из черного списка

Web App Firewall для популярных CMS

Web App Firewall (WAF) — еще одна важная опция Антивируса. WAF сканирует весь трафик, поступающий на сайт, и блокирует все запросы, которые хоть немного похожи на подозрительные: попытки взлома, деятельность ботов и другие.

Окно WAF в интерфейсе Антивируса. На верхнем графике справа виден всплеск трафика

Следить за объемом и качеством трафика очень важно. Активность ботов съедает ресурсы сайта, нагружает его — это может привести к тому, что сайт будет недоступен для пользователей. Но самое опасное, что через подобные атаки злоумышленник может взломать сайт.

Сервис Web App Firewall в рамках услуги Антивирус доступен только для сайтов, использующих следующие CMS-системы:

Yii framework 2.x

Если вы используете самописную CMS-систему или систему не из списка выше, то сервис WAF будет недоступен для вашего сайта. Работа WAF основана на определенных свойствах CMS и их поведении при обработке поступающих запросов извне. Зная эти свойства, WAF обнаруживает нелегитимные запросы и блокирует их. Пока WAF знаком только с работой вышеперечисленных систем управления сайтом — этот список будет дополняться по мере развития сервиса.

Какой тариф Антивируса выбрать

RU-CENTER предлагает три тарифа Антивируса. Тариф выбирают в зависимости от потребностей, бюджета и квалификации специалистов, которые отвечают за безопасность сайта.

Тарифы Антивируса RU-CENTER

Тарифы «Персональный» и «Профессиональный» подойдут тем, у кого большой опыт и достаточно знаний в области безопасности, кто самостоятельно следит за сайтом, контентом и проблемами с ним. Эти тарифы упростят ручную работу и позволят оперативно узнавать о проблемах. Здесь нет дополнительных функций, которые не нужны опытным специалистам безопасности.

Тариф «Для бизнеса» подходит тем, кто не очень разбирается в сфере безопасности, и крупным компаниям — тем, кому важны надежность сайта, быстрое решение проблем и автоматизация. В этот тариф включены опции автоматического лечения и WAF.

Антивирус RU-CENTER можно подключить к любому сайту, независимо от того, у какой хостинговой компании обслуживается ваш сайт. Главное, чтобы хостинг поддерживал PHP.

Подключить и настроить Антивирус можно за несколько несложных шагов: мы подробно рассказали о них в разделе «Помощь».

Чек-лист защиты от вредоносного кода

Работайте с опытными и компетентными разработчиками и старайтесь как можно реже их менять. Специалисту будет легче работать над кодом, который он написал, и вероятность неожиданной ошибки сведется к минимуму. А каждому новому специалисту будет все сложнее анализировать чужой код и находить в нем уязвимые места.

Не размещайте сайт у сомнительных хостинг-провайдеров с плохими отзывами. Такие хостеры могут экономить на защите своих серверов — это может привести ко взлому со стороны веб-сервера хостера.

Устанавливайте разные пароли. Если злоумышленник подберет один ключ, он не сможет открыть им все остальные двери.

Прочитайте все о CMS вашего сайта, обратите особенное внимание на ее минусы и слабые места. Так вы будете во всеоружии, если злоумышленники попробуют пробить защиту сайта.

Используйте лицензионные CMS и вовремя обновляйте их. Устаревшая версия CMS — одна из самых популярных уязвимостей, из-за которой вирусы проникают на сайт.

Не устанавливайте сторонние плагины и скрипты для CMS из непроверенных источников. Удаляйте старые неиспользуемые плагины.

Ежедневно проверяйте сайт Антивирусом от RU-CENTER. Лучше использовать полный тариф — «Для бизнеса». В этом случае программа сможет не только защищать сайт от вирусов, но и будет автоматически лечить зараженные файлы и фильтровать подозрительный трафик с помощью Web App Firewall.

Зараженный ресурс рассылает спам, вредит компьютерам ваших клиентов, портит выдачу в поисковых системах и т. д. Вы обязаны заботиться о его безопасности, если не хотите потерять клиентов, позиции и репутацию.

Не знаете, что и как делать? Не проблема, эта статья снимет все вопросы и поможет разобраться в диагностировании, лечении и предотвращении заражения.

Как понять, что произошло заражение сайта

Самые популярные маркеры того, что с сайтом что-то идет не так:

– ресурс заблокирован антивирусом или интернет-браузером;

– произошли резкие изменения в статистических параметрах сервера или индексации поисковых систем;

– сайт находится в черном списке Google или другой базе нежелательных адресов;

– сайт не работает должным образом, выдаются ошибки, предупреждения;

– в коде сайта есть подозрительный текст.

Однако проверить свой сайт стоит в любом случае, даже если вы ничего из вышеперечисленного не замечали. Выдохнуть спокойно можно, когда подозрения на наличие вирусов на сайте не подтвердятся. Хотя нет, только после того, как примете превентивные меры защиты.

Наиболее частые источники или причины заражения

Основных причин и факторов, по которым ваш сайт может подхватить вирус и распространять его после этого по всему Интернету, не так и много. Ниже приведен список основных и наиболее встречающихся.

• использование вирусного ПО для кражи учетных данных, доступов от FTP, хостинга или панели управления сайтом;
• уязвимые компоненты в популярных CMS-платформах, например, Joomla, Wordpress, Bitrix, osCommerce;
• брутфорс – взлом пароля перебором.

Теперь мы знаем, что сайт может быть заражен как по вашей вине, так и благодаря стараниям сторонних «доброжелателей». Самое время рассмотреть, пожалуй, главное – идентификацию проблемы и ее устранение.

Что и чем проверять, и как лечить

Есть несколько подходов по выявлению причины проблемы и также несколько советов по ее излечению. Как и в других сферах, нет 100% гарантии, что проверка одним способом поможет решить все косяки. Мы советуем для надежности использовать несколько методов.

Когда проверили сайт, нашли проблемы и устранили их, необходимо сменить пароли ко всем аккаунтам (панели управления хостингом и CMS, FTP, SSH, и т. д.).

Как защитить сайт?

Как уже неоднократно говорилось выше, лучше предупредить заражение, чем потом его лечить и исправлять последствия. Поэтому настоятельно рекомендуем соблюдать следующие меры безопасности.

1. Делайте резервные копии сайта. Желательно, чтобы период копирования был не менее 6 месяцев, т. к. при запущенной стадии заражения незатронутые вирусом файлы могут быть только в самых ранних версиях.

2. Используйте криптостойкие пароли. Их желательно ежемесячно обновлять.

3. Cкачивайте и устанавливайте актуальные версии ПО, регулярно их обновляйте. Своевременно устанавливайте все необходимые патчи, это поможет снизить риск атаки с использованием эксплойтов.

4. Не будет лишней и установка плагинов или компонентов с защитными свойствами. Например, изменяющие адреса админки или блокирующие IP вредителей, которые пытаются подобрать пароль. Можно добавить двойную авторизацию с помощью файлов *.htpasswd, отключив стандартный модуль восстановления пароля.

5. Настройте автоматическую проверку вашего сайта средствами хостинга.

6. Установите надежный антивирус на все компьютеры, с которых работаете с сайтом.

7. Не пересылайте пароли и запретите это делать всем сотрудникам, работающим с сайтом, любыми каналами связи (ВКонтакте, Facebook, Skype, различные мессенджеры и т.д.). Регулярно меняйте пароль от почты, с которой связан ваш сайт.

8. Повысьте безопасность специальными правилами в файле *.htaccess. Например, запретите php в папках, загружаемых пользователем через сайт, закройте загрузку исполняемых файлов.

9. Дополнительно можно ограничить показ сайта только в странах с вашей аудиторией. Очень часто преступники пользуются программами, шифрующими их местоположение IP других стран.

10. Если не используете SSH, то лучше вообще отключите его.

Выводы

К сожалению, не существует той самой таблетки, которая избавит вас от заражения раз и навсегда. Кибер-преступники не сидят на месте и изобретают новые способы, находят новые дыры, пишут новые вирусы. Однако каждый может повысить надежность своего сайта, соблюдая основные правила безопасности, поддерживая чистоту сайта и компьютера.

Ваш сайт уже заражен, а вы не можете найти причину или не знаете, как ее устранить? Или хотите проверить ресурс и убедиться, что с ним все в полном порядке? С радостью поможем. Просто оставьте заявку на проверку .

Довольно часто причиной некорректной работы сайта являются вирусы. Под вирусами подразумеваются вредоносные программы или включения вредоносного кода в файлы сайта, которые нарушают стандартное функционирование. Основной причиной заражения являются действия злоумышленников, желающих обогатиться за чужой счет, например, получая деньги за трафик, перенаправляемый со взломанных интернет-ресурсов.

Не все пользователи четко представляют, что необходимо делать, если в работе сайта замечены какие-то сбои. Timeweb публикует советы о том, как определить, заражен ли ваш сайт, и какие действия необходимо осуществить для устранения проблемы.

Как обнаружить вирус?

Первым шагом в решении проблемы должна быть диагностика. Исследуйте свои файлы на содержание лишних элементов:

• Установите антивирусную программу, если ее еще у вас нет. Современные программы умеют определять вирусы, и если при заходе на сайт появляется предупреждение, то это значит, что вирус там точно есть. Однако если предупреждения нет, то это не значит, что сайт чист и заражения не произошло.
• Проверьте время последнего изменения индексного файла в FTP. Он может называться index.html, index.php, default.php и т.д. Если последнее изменение было совсем недавно, а вы не обновляли информацию на сайте в это время, возможно, страница была заражена.
• Посмотрите исходный код страницы в своем браузере. Чаще всего вирусы располагаются в тегах <script> и <iframe>. Если внутри этих тегов вы видите неизвестные адреса сайтов или зашифрованную мешанину из букв и цифр, вероятно, что это и есть код вируса.
• Воспользуйтесь сервисом Яндекс.Вебмастер. Этот удобный инструмент автоматически проверяет сайт на наличие вирусов при каждом обновлении и может оперативно присылать на e-mail предупреждения, если вредоносный код будет обнаружен.

Также, если вы обнаружили, что нагрузка на сервер внезапно возросла, или хостинг-провайдер пишет вам, что с сайта идёт рассылка спама - вероятно, ваш сайт был взломан и стал площадкой для размещения вредоносных программ.

Какие действия предпринять при заражении сайта?

Если ваш сайт заражен, не стоит паниковать или обвинять хостинг-провайдера в возникновении проблемы. В абсолютном большинстве случаев хостер не имеет отношения к появлению вирусов на вашем ресурсе. Более того, хостинг-провайдер заинтересован в их скорейшем устранении, так как это может затронуть интернет-ресурсы других клиентов компании. Однако для того, чтобы убедиться, на чьей стороне проблема, уточните у хостера, является ли она массовой или возникла только на вашем сайте.

Если проблема обнаружена только на вашем сайте, нужно исследовать, при каких обстоятельствах она возникла, и начать ее решение самостоятельно.

• Выполните полную проверку собственного компьютера на вирусы.
• После сканирования смените все пароли доступа к электронной почте, аккаунту на хостинге, приложениям браузеров и FTP-клиентам.
• Если вы используете популярную CMS, то, возможно, злоумышленник воспользовался ее уязвимостью. В этом случае нужно обновить CMS и ее модули до последних стабильных версий из официальных источников и отключить неиспользуемые или подозрительные модули.
• Попросите хостера проверить общую временную директорию сервера.

Как удалить вредоносные файлы?

После того, как вы определите причину некорректной работы и обнаружите вредоносные файлы, вам необходимо их удалить. Для этого вы можете использовать возможности консоли сервера (доступ по SSH). Большинство хостинг-провайдеров предоставляет клиентам доступ к их домашнему каталогу по SSH по умолчанию или же по обоснованному запросу.

Даже если вы успешно и “безболезненно” справились с проблемой, мы рекомендуем периодически проводить профилактические меры, повышающие защиту вашего сайта. Ниже несколько советов, о том, как защитить ваш проект:

• Не используйте устаревшие версии CMS и плагинов к ним. Следите за обновлениями.
• После определения причины заражения сайта не ограничивайтесь только одним лишь его лечением.
• Проверьте всё, что кажется вам подозрительным.
• Лучшая схема восстановления сайта после взлома - закрыть к нему доступ посетителей, найти причину взлома, восстановить сайт из бэкапа и далее устранить уязвимость.
• После устранения проблемы обновите CMS и убедитесь, что уязвимый компонент также обновился.

Перечисленные рекомендации помогут вам в короткие сроки самостоятельно устранить или как минимум обнаружить причину некорректной работы сайта. Помните, что надежный хостинг-провайдер всегда будет готов помочь решить проблему или дать необходимые рекомендации.

С помощью онлайн-сканера файлов Dr.Web вы можете бесплатно проверить подозрительные файлы на наличие вредоносных программ.

Вы отправляете свои файлы через браузер, они загружаются на наш сервер, их проверяет Dr.Web актуальной версии с самой свежей вирусной базой, и вы получаете результат проверки.

Как с помощью Антивируса Dr.Web просканировать в «онлайне» один или несколько файлов?

Добавьте форму онлайн-проверки файлов и ссылок (URL) в код своего сайта,

и любой его посетитель сможет бесплатно пользоваться этим сервисом.

Вылечите зараженное устройство с помощью Dr.Web

Антивирусный сканер Dr.Web поможет определить, инфицированы ли отправленные на проверку файлы, но не ответит на вопрос о том, заражен ли ваш компьютер.

Вылечите компьютер или сервер

Для полной проверки жестких дисков и системной памяти устройств под управлением Windows или Windows Server используйте бесплатную лечащую утилиту Dr.Web CureIt!

Вылечите сеть

Для проверки локальной сети воспользуйтесь централизованно управляемой сетевой утилитой Dr.Web CureNet!

Dr.Web vxCube

Антивирус считает файл «чистым», но у вас есть сомнения?

Для проверки используйте онлайн-сервис Dr.Web vxCube — облачный интеллектуальный интерактивный анализатор подозрительных объектов, предназначенный для специалистов по информационной безопасности и киберкриминалистов.

Уже через минуту вы будете знать, «чист» ли этот файл или опасен (и насколько), а также получите полный отчет, в том числе в видеоформате, о том, как именно он действует в системе, какие вносит в нее изменения, с какими ресурсами соединяется, а также увидите карту его сетевой активности и многое другое.

Экспертиза вирусозависимых компьютерных инцидентов (ВКИ)

В вашей компании произошло заражение и вы хотите узнать, как это случилось?

Компания «Доктор Веб» оказывает платные услуги по расследованию вирусозависимых компьютерных инцидентов.

Читайте также:

  
• Ибп ippon smart power pro ll 1600 как отключить пищалку
  
• Как вложить карту в планшет
  
• Не открывается файл docx на андроиде
  
• Как установить рамблер на компьютер
  
• Как восстановить agm аккумулятор для ибп