Как вылечить файлы сайта от вируса

Обновлено: 07.07.2024

Любой сайт, размещённый на хостинге, подвержен опасности заражения вирусами. Чем это грозит его владельцу? Поисковые системы в таком случае добавляют к сайту специальную отметку, которая видна в сниппете при выдаче результатов поиска. Она предупреждает пользователя, что переходить по ссылке опасно. В результате рейтинг такого сайта падает вместе с посещаемостью.

Даже после лечения сайта от вирусов восстановление посещаемости и репутации произойдёт не сразу. Особенно неприятно, если в продвижение ресурса были вложены деньги. Какой же есть выход?

Виды вирусов на сайте

Приведём пример. С началом пандемии стал бурно развиваться рынок онлайн-образования. Многие учебные заведения и платформы не имели защиты от киберугроз. К середине 2020 года на долю образовательной отрасли пришёлся 61% от общего количества кибер-атак. Одна из основных угроз — это фишинговые атаки.

Конечно, это не единственный вид кибер-угрозы, и учебные платформы — не единственная цель для вирусов.

Кратко перечислим основные виды вирусов.

Вирусные вставки кода на сайтах

Один из самых распространённых способов заражения - это iframe-вставки. С помощью специального кода, заключённого в теге iframe, можно загрузить и запустить на компьютере жертвы скрипт. Код спрятан в скрытое окно со значением 0 по высоте и по ширине, поэтому его визуально не обнаружить. Может быть добавление в код сайта функции eval.

Основные цели этих вставок:

  • Мошенничество.
  • Кража номеров кредитных карт.
  • Сбор логинов, паролей и прочей конфиденциальной информации.
  • Загрузка вирусов на компьютер клиента.

SQL-инъекции

Инъекции - это отдельный класс уязвимостей в OWASP Top-10. Это уязвимость в программном обеспечении, которая заключается в отсутствии или некорректном экранировании (фильтрации) специальных символов в участке кода, работающем с базой данных. Специальный код, как правило, переданный через поле ввода текста на сайте, даёт команды на выполнение и изменяет базу данных или делает копию её содержимого. Таким образом злоумышленник может получить/изменить пароли для управления сайтом.

Фишинговые атаки

Мошенники рассылают поддельные электронные письма или создают поддельные веб-сайты, имитирующие страницы входа известных сайтов, чтобы обманом заставить пользователей раскрыть свои логин и пароль. Эту практику иногда называют «фишингом» — отсылка к английскому слову «рыбалка», потому что мошенник выуживает информацию о личной учетной записи.

Веб-шелл

Это вредоносный скрипт, используемый злоумышленником для поддержания постоянного доступа к уже скомпрометированному веб-приложению. Сама веб-оболочка не может атаковать или использовать удаленную уязвимость, поэтому это всегда второй этап атаки (этот этап также называется пост-эксплуатацией). Веб-оболочки могут обеспечить постоянный бэкдор в веб-приложения и связанные с ними системы.

Бэкдоры

Это тип вредоносного ПО, которое отменяет обычные процедуры аутентификации для доступа к системе. В результате удаленный доступ предоставляется к ресурсам в приложении, что дает злоумышленникам возможность удаленно выполнять системные команды и обновлять вредоносное ПО. Установка бэкдора достигается за счет использования уязвимых компонентов в веб-приложении.

Дорвей

Инструмент «черного SEO». Сайт, созданный для перенаправления пользователей на другой интернет-ресурс. Такие ресурсы считаются поисковым спамом. Они создаются с целью занять высокие позиции в выдаче по выбранным поисковым запросам.

Спам-скрипты

Ведут рассылку спама через php-скрипты. Владелец сайта узнаёт от такой рассылке, как правило, только из предупреждения от хостинговой компании.

Как вирус попадает на сайт?

Какими путями может быть заражён сайт:

  • Через компьютер веб-мастера, который пользуется FTP-менеджерами, если он сохраняет пароли от админки в браузере и использует типовые имена учётных записей;
  • Высока доля веб-приложений с уязвимостями XSS (межсайтовое выполнение сценариев). Один из частых примеров - кража Cookies (файлы в браузере для хранения данных);
  • После утечки данных доступа к хостингу в письмах (стандартная практика взлома почтовых ящиков и их сканирования для поиска такой информации);
  • Установка плагинов, тем и расширений с уже имеющимся бэкдором внутри (например, из непроверенного источника);
  • Небезопасное восстановление паролей;
  • Уязвимости CMS, плагинов и расширений CMS;
  • Уязвимости в самописных или сторонних скриптах.

Самописные сайты или популярные движки — любой ресурс может оказаться целью атакующего. Причем CMS имеют открытый код. Когда злоумышленник находит уязвимость, он при помощи эксплоита (подвид вредоносных программ) или бота пытается ей воспользоваться на всех сайтах, имеющих эту версию движка. Поэтому атака бывает массовой, а из-за того, что вовремя обновляют версии менее половины владельцев сайтов, проблема может быть масштабной.

В среднем на одно веб-приложение приходится более 30 уязвимостей, шесть из которых имеют высокий уровень риска.


Что может произойти после проникновения вируса на сайт: заражение сайта с целью дальнейшего распространения вируса, кража данных пользователей сайта, кража внутренних данных сайта и сопряжённых систем.

Кому и зачем это нужно? Злоумышленники зарабатывают на распространении вирусов, размещении рекламы и ссылок, краже данных с банковских карт, краже и перепродаже коммерческой информации, шантаже и прочем.

Проверка сайта на вирусы онлайн

Защитить ваш сайт поможет ряд предосторожностей: регулярное обновление ПО сайта, правильные настройки, сложные пароли, которые нужно часто менять и не сохранять в браузере, отсутствие стандартных логинов (вроде admin), регулярные бэкапы.

Но этих мер недостаточно. Важен выбор хорошего проверенного провайдера, который заботится о безопасности сайтов своих клиентов.

SpaceWeb для безопасного размещения у себя на хостинге предлагает антивирус для сайта от лидера рынка веб-безопасности компании Virusdie.

Никаких сложных настроек и подключений к стороннему ресурсу не требуется. В панели управления можно в один клик запустить проверку сайта, а также вылечить обнаруженные вирусы.

Как работает антивирус для сайта

Virusdie поставляет своё решение в целом для всего хостинга, поэтому нет нужды думать, как подключить его для своего сайта. Все сайты в SpaceWeb автоматически проверяются на вирусы раз в месяц. Отчёт с результатами проверки доступен в панели управления. В случае выявления вирусов клиент дополнительно получает уведомление по email.

Вылечить сайт от вирусов

Инструмент активируется в разделе панели управления «Антивирус и трафик». В отчёте напротив каждого заражённого файла появляется кнопка "Вылечить". После её нажатия запускается модуль лечения. Кроме того, есть возможность массового лечения: нужно отметить флажком каждый зараженный файл и нажать кнопку «Вылечить» в блоке массовых действий. Если вы уверены, что файл не заражён и срабатывание антивируса ложное, то вы можете исключить файл из числа проверяемых, нажав на кнопку "Исключить".


Почему нужно именно лечить файлы, а не удалять? В большинстве случаев файл не полностью является вирусом, а содержит вирусные вставки. Его удаление может нарушить работу сайта. Модуль лечения удалит только вредоносную часть файла, сохранив стабильную работу сайта.

Если вы столкнётесь с угрозами, которые неизлечимы автоматически, их можно попробовать устранить вручную, сделав предварительно бэкап.

Антивирус Virusdie: отзывы, описание

Virusdie (Вирусдай) это облачный сервис, который автоматически выполняет проверку сайта на вирусы онлайн, находит вредоносные программы и помогает очистить от них сайт. Компания начала свою историю в 2012 г. и за это время превратилась в разработчика инструментов, которыми пользуются миллионы пользователей по всему миру.

Вирусдай имеет многоуровневую защиту при работе с сайтами и серверами хостинга: это значит, что он представляет собой множество отдельных подсистем, имеющих свою архитектуру и систему безопасности.

Взаимодействие с сервисом возможно благодаря:

  • Вирусдай.Сервер (SDK).
  • API лечения файлов.
  • API внешней проверки.

Все данные передаются в зашифрованном виде. Антивирус обнаруживает и автоматически очищает сайт от вирусов и разных видов заражений (шелы, редиректы, спамботы, трояны) в файлах PHP, JS, HTML, изображениях и системных файлах.

Что должен делать владелец сайта, чтобы защититься от кибер-угроз: менять пароли, регулярно делать бэкапы, своевременно обновлять CMS, их плагины, чаще проверять сайт на наличие вирусов. SpaceWeb предлагает хостинг сайтов с автоматической проверкой на угрозы безопасности и позволяет уделять этому минимум времени и сил.

Топ-6 сервисов для проверки кроссбраузерности сайта

NVMe SSD диски — обзор технологии

10 инструментов сжатия изображений

Надежный хостинг для сайта с бесплатным доменом и SSL за 159 ₽

Надежный хостинг для сайта с бесплатным доменом и SSL за 159 ₽

Еще на эту тему:





Стань партнером

Выгодное предложение SpaceWeb:

  • до 30% вознаграждение ежемесячно,
  • быстрая оплата на карту,
  • работа по договору

© 2001-2021 ООО "СпейсВэб" Все права защищены.
Лицензия на предоставление телематических услуг связи № 163230.

Стань партнером

Выгодное предложение SpaceWeb:

  • до 30% вознаграждение ежемесячно,
  • быстрая оплата на карту,
  • работа по договору

© 2001-2021 ООО "СпейсВэб" Все права защищены. Лицензия на предоставление телематических услуг связи № 163230.

Злоумышленник может получить пароли к администраторским панелям CMS, FTP или SSH аккаунтам. Обычно пароли подбирают или крадут с помощью троянских программ, заразивших компьютер вебмастера.

Уязвимости веб-приложения могут позволять посторонним размещать на сайте произвольный код.

Из-за заражения внешнего ресурса (партнерской программы, баннерной системы, счётчика) предоставленный вам код может стать опасным для пользователей.

Найдите браузерный вредоносный код

Проанализируйте информацию о заражении в Вебмастере на странице Безопасность и нарушения. Раздел содержит перечень зараженных страниц, даты проверок и вынесенные антивирусом вердикты. Перейдя по ссылке в названии вердикта, вы увидите его описание и примерный вид кода, соответствующего вердикту (кода, который непосредственно появляется на страницах сайта).

Вы также можете самостоятельно воспроизвести проблему с помощью виртуальной машины .

Найдите серверный вредоносный код

Остановите веб-сервер, чтобы оградить посетителей сайта от потенциальной опасности. Затем проверьте антивирусом файлы веб-сервера и все рабочие станции, с которых администрируют сервер (можно использовать бесплатные антивирусные утилиты) и смените все пароли: root, FTP, SSH, от административных панелей хостинга и CMS. Если до заражения была сделана резервная копия сайта, восстановите ее. Обновите до последних версий все используемые сайтом программы и поищите описания исправленных уязвимостей. Возможно, это поможет понять, каким образом сайт был заражен. Удалите лишних пользователей с расширенными правами и тщательно проверьте сервер на наличие веб-шелла, с помощью которого злоумышленник может изменять код сайта в обход авторизации.

во всех серверных скриптах, шаблонах CMS, базах данных;

в конфигурационных файлах веб-сервера или интерпретатора серверных скриптов;

если вы используете shared-хостинг, проверьте другие сайты, расположенные на том же сервере — может быть заражен весь сервер.

Признаки вредоносного кода:

Код посторонний или незнакомый, не соответствует резервной копии или системе контроля версий.

Обфусцированный (нечитаемый, неструктурированный) код.

Дата модификации файлов совпадает с временем заражения или более поздняя. Этот параметр ненадежен, так как дата модификации файлов может быть изменена вирусом.

Использование характерных для вредоносного кода функций. Примеры таких функций для языка PHP:

динамическое исполнение кода ( eval , assert , create_function );

обфускация ( base64_decode , gzuncompress , gzinflate , str_rot13 , preg_replace );

загрузка удаленных ресурсов ( file_get_contents , curl_exec ).

Вредоносный код удален, что дальше?

Пометка об опасности сайта в результатах поиска будет снята, если при очередной проверке робот Яндекса не обнаружит заражения. Чтобы ускорить перепроверку, в Вебмастере на странице Безопасность и нарушения нажмите кнопку Я все исправил .

Рекомендуем в течение нескольких недель после заражения регулярно перепроверять файлы и код сайта на тот случай, если использованная уязвимость не была устранена или злоумышленники по прежнему имеют доступ к сайту.

Если вы нашли что-то интересное

Яндекс постоянно ищет и исследует новые виды заражений и публикует результаты исследований в блоге Яндекса для вебмастеров.

Если вы обнаружили на своем сайте вредоносный или подозрительный код, отправьте его на анализ специалистам.

Вылечить сайт от вирусов еще совсем недавно можно было только на платной основе и совсем не дешево. Прежде всего, мало кто на первых порах создания своего сайта, задумывается о его безопасности. А в случае заражения, желательно кого-нибудь обвинить, но только не себя. А между тем, в большинстве случаев, скажем прямо, мы сами виноваты в этом, «что тут петли-то крутить!»

вылечить сайт от вирусов

Но и установкой одного антивируса здесь тоже не обойтись. Я не буду перечислять причины, а сразу перейду к главному вопросу. Если уж так случилось, что вы сами обнаружили или инструменты веб-мастера яндекса и гугла вам подсказали о присутствии вредоносного кода или вируса на вашем сайте, необходимо сразу принять меры, иначе о последствиях просто подумать страшно. Простой бан поисковиков вам покажется сказкой.

Если у вас статичный сайт-визитка созданный на простом html-шаблоне или сверстан вами самостоятельно, то вылечить такой сайт от вирусов покажется простым баловством. Ведь наверняка всегда есть копия такого сайта на локальной машине, старый удалил, новый закачал на хостинг и все готово. Но если вы используете cms-системы, здесь проблема посерьезней и решить ее на раз-два не получиться.

Конечно очень желательно иметь в запасе резервную копию сайта, но как всегда об этом можно и «позже» подумать.

Как вылечить сайт от вирусов созданный на cms

Знал о нем давно, но не было повода для близкого знакомства. Но как говориться, не стоит доверять одному антивирусу как и одному врачу, а вдруг ошибка в диагнозе! И я решил протестировать на своем блоге. Все этапы проверки я зафиксировал с помощью подробных скриншотов.

Сервис проверки сайта на вирусы и его лечение

Для начала регистрируемся и получаем письмо с просьбой о подтверждении регистрации. Затем добавляем адрес сайта в специальное поле и процесс пошел.

вылечить сайт от вирусов

На втором этапе необходимо скачать файл синхронизации и добавить в корень сайта. При добавлении файла, название самого файла менять не нужно. Как все будет готово, жмем на зеленую ссылку.

Добавлять файл можно вручную, или автоматически, если есть данные для ftp-доступа

лечение сайта от вирусов

Вылечить сайт автоматически

Если все сделано правильно и перейдя по ссылке у вас не будет ошибок, а будет вот такая картинка, тогда все отлично и можно выбрать способ лечения платный и бесплатный поиск, а лечить будем самостоятельно. В бесплатном режиме можно проверить только один раз, но а если нет желания постоянно думать о безопасности и тратить время на проверку и лечение сайта от вирусов, можно довериться сервису за не большую плату, всего 2499 рублей в год. Что называется, заплатил и спи спокойно.

Проверка сайта на вирусы

Бесплатно вылечить сайт

Я выбрал бесплатную проверку сайта на вирусы и лечение в ручном режиме. Почему? Что касается денег, то они здесь ни при чем, а вот про ручной режим немного расскажу.

При наличии на сайте специальных расширений, которые тоже могут вызвать подозрение у разных проверочных сервисов, можно по незнанию в один миг нарушить работу всего проекта. А вот в ручном режиме, желательно разобраться что за файл и для чего он предназначен.

Кроме этого, сервис присылает отчет о проделанной работе на почтовый ящик, где так же можно просмотреть название подозрительных файлов и каждый файл является ссылкой на статью об этом файле.

Сам процесс проверки показан на картинке ниже.

процесс проверки сайта на вирусы

Подведя итог, можно сказать о том, что с помощью данного сервиса мы сможем бесплатно не вылечить сайт от вирусов, а произвести поиск подозрительных или зараженных файлов. Лечение соответственно платное, но если учитывать сложность поиска таких файлов, то помощь таких сервисов быстро решает данную проблему

Чтобы обезопасить себя и развеять все сомнения о подозрительных файлах найденных у меня на блоге, я пропустил все эти файлы еще через 50 антивирусов сервиса virustotal.

Как бесплатно вылечить сайт от вирусов самостоятельно

Проверка подозрительных файлов на вирусы

Хоть я точно знаю к каким плагинам относятся мои «подозрительные» файлы и лечить их от вирусов нет необходимости, все же решил устроить дополнительную проверку. Скопировал все файлы к себе на компьютер, запаковал в архив и с помощью virustotal проверил вначале архивом. Но и этого мне показалось мало, и я проверил весь сайт на вирусы с помощью следующей функции сервиса-это добавляя адрес сайта.

В результате ничего подозрительного выявлено не было. Я не сомневался в этом потому что отслеживаю периодически эти моменты.

Проверка архива на вирусы

Вылечить сайт от вирусов можно и вручную, но это для любителей работать ручками и копаться в файлах в поисках вредоносного кода или подозрительного файла. Об этом в другой раз. Если конечно это интересно, оставляйте комментарии.

Никто не хочет, чтобы с его сайта пропали данные или ресурс стал источником заражения других устройств. Но такое случается.

Практика показывает, что в основном заражение сайта происходит через системы управления контентом (CMS) и плагины к ним.

Варианта два. Вы либо скачиваете из неофициального источника уже зараженный файл. Либо скачиваете из официального, но продукт с ошибкой, о которой пока никто кроме хакеров не знает. Такие ошибки называют уязвимостями.

Хакеры хранят информацию о них и постоянно сканируют интернет в поисках уязвимых сайтов. Когда находят — загружают в файлы сайта вредоносный код. Он-то и рассылает спам, перенаправляет пользователей на зараженные страницы или крадет данные.

Бывает и по-другому, но редко.

Как понять, что сайт заражен

Обычно о заражении сообщает браузер, настольный антивирус или панель веб-мастера. Чтобы удостовериться, проверьте с помощью бесплатных сервисов:

Что делать, если сайт заражен

Обновите программное обеспечение. Как только об уязвимостях становится известно, их исправляют и выпускают обновления. Устанавливайте обновления только с официальных сайтов: WordPress , Joomla! , Drupal .

Удалите пиратские плагины. Устанавливайте плагины только от официальных разработчиков. Если на каком-то сайте размещен бесплатный аналог платного плагина, то скорее всего он уже содержит вирус. Лучше заплатить за оригинальное ПО, чем лечить зараженный сайт.

Поменяйте пароли. Часто вирус попадает на сайт используя пароль от админских панелей FTP или CMS, которые крадет во взломанной почте или компьютере. Смените пароли доступа к панели управления сервером, FTP/SSH-аккаунтам, MySQL, CMS. Используйте сложные пароли: не менее 10 символов, заглавные и строчные буквы, цифры и специальные символы. Для быстрой генерации используйте бесплатные сервисы: 1 , 2 .

Настройте права доступа к файлам. Через FTP или ISPmanager установите права доступа к файлам сайта. Права определяют, кто может просматривать, записывать и исполнять код. Для файлов сайта подходит значение 644 (изменять содержимое может только администратор, читать и исполнять код — любой посетитель сайта), для директорий лучше установить 755 (администратор может читать и редактировать, все остальные — только читать содержимое).

Восстановите резервную копию. Если вы знаете, когда произошло заражение сайта, восстановите созданную до заражения резервную копию. Это избавит от необходимости «лечить» ресурс.

Заблокируйте неиспользуемые функции в файлах конфигурации PHP. В файле конфигурации PHP (php.ini) добавьте disable_functions к неиспользуемым функциям из вот этого списка: passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source.

Лечим сайт вручную

Лечить сайт можно вручную и с помощью антивирусов.

Если вы умеете работать с консолью сервера, очистите код сайта вручную. Для начала найдите чужеродный код: проверьте зараженные файлы, сравните их с незараженными из резервной копии. После, используя тип файла и фрагмент кода, найдите все зараженные файлы и удалите вредоносный код.

Пример команды для поиска паттернов вирусов в файлах php* и htm* директории /var/www/*/data/www/.

Лечим с помощью антивирусов

Если вы не умеете работать с консолью сервера, используйте готовые решения. Самые большие базы паттернов вирусов, распространенных в рунете, содержат два антивируса: Virusdie и AI-Bolit.

Virusdie

Платный инструмент. Автоматически находит вредоносный код и удаляет его. Помогает снять санкции браузера. С Virusdie работать просто, так как антивирус интегрирован с панелью управления веб-сервером ISPmanager.

На всю весну — с 1 марта до 31 мая — снижаем цену на антивирус для сайта Virusdie в ISPmanager . Он будет стоить 5€ вместо 13€.

AI-Bolit

Бесплатный сканер вирусов. Проверяет сайт на взлом, вирусы и хакерские скрипты. Анализировать отчет можно самостоятельно. Помощь от специалистов компании-разработчика AI-Bolit — за отдельную плату.

Читайте также: