Вирусы на сайте: как лечить, диагностика и удаление вирусов с сайта

13 окт в 2016 Администрирование #Серверы #Вирусы #Безопасность #Оптимизация

Довольно часто причиной некорректной работы сайта являются вирусы. Под вирусами подразумеваются вредоносные программы или включения вредоносного кода в файлы сайта, которые нарушают стандартное функционирование. Основной причиной заражения являются действия злоумышленников, желающих обогатиться за чужой счет, например, получая деньги за трафик, перенаправляемый со взломанных интернет-ресурсов.

Не все пользователи четко представляют, что необходимо делать, если в работе сайта замечены какие-то сбои. Timeweb публикует советы о том, как определить, заражен ли ваш сайт, и какие действия необходимо осуществить для устранения проблемы.

Как обнаружить вирус?

Первым шагом в решении проблемы должна быть диагностика. Исследуйте свои файлы на содержание лишних элементов:

  • Установите антивирусную программу, если ее еще у вас нет. Современные программы умеют определять вирусы, и если при заходе на сайт появляется предупреждение, то это значит, что вирус там точно есть. Однако если предупреждения нет, то это не значит, что сайт чист и заражения не произошло.
  • Проверьте время последнего изменения индексного файла в FTP. Он может называться index.html, index.php, default.php и т.д. Если последнее изменение было совсем недавно, а вы не обновляли информацию на сайте в это время, возможно, страница была заражена.
  • Посмотрите исходный код страницы в своем браузере. Чаще всего вирусы располагаются в тегах и . Если внутри этих тегов вы видите неизвестные адреса сайтов или зашифрованную мешанину из букв и цифр, вероятно, что это и есть код вируса.
  • Воспользуйтесь сервисом Яндекс.Вебмастер. Этот удобный инструмент автоматически проверяет сайт на наличие вирусов при каждом обновлении и может оперативно присылать на e-mail предупреждения, если вредоносный код будет обнаружен.

Также, если вы обнаружили, что нагрузка на сервер внезапно возросла, или хостинг-провайдер пишет вам, что с сайта идёт рассылка спама — вероятно, ваш сайт был взломан и стал площадкой для размещения вредоносных программ.

Какие действия предпринять при заражении сайта?

Если ваш сайт заражен, не стоит паниковать или обвинять хостинг-провайдера в возникновении проблемы. В абсолютном большинстве случаев хостер не имеет отношения к появлению вирусов на вашем ресурсе.

Более того, хостинг-провайдер заинтересован в их скорейшем устранении, так как это может затронуть интернет-ресурсы других клиентов компании.

Однако для того, чтобы убедиться, на чьей стороне проблема, уточните у хостера, является ли она массовой или возникла только на вашем сайте.

Если проблема обнаружена только на вашем сайте, нужно исследовать, при каких обстоятельствах она возникла, и начать ее решение самостоятельно.

  • Выполните полную проверку собственного компьютера на вирусы.
  • После сканирования смените все пароли доступа к электронной почте, аккаунту на хостинге, приложениям браузеров и FTP-клиентам.
  • Если вы используете популярную CMS, то, возможно, злоумышленник воспользовался ее уязвимостью. В этом случае нужно обновить CMS и ее модули до последних стабильных версий из официальных источников и отключить неиспользуемые или подозрительные модули.
  • Попросите хостера проверить общую временную директорию сервера.

Как удалить вредоносные файлы?

После того, как вы определите причину некорректной работы и обнаружите вредоносные файлы, вам необходимо их удалить. Для этого вы можете использовать возможности консоли сервера (доступ по SSH). Большинство хостинг-провайдеров предоставляет клиентам доступ к их домашнему каталогу по SSH по умолчанию или же по обоснованному запросу.

Даже если вы успешно и “безболезненно” справились с проблемой, мы рекомендуем периодически проводить профилактические меры, повышающие защиту вашего сайта. Ниже несколько советов, о том, как защитить ваш проект:

  • Не используйте устаревшие версии CMS и плагинов к ним. Следите за обновлениями.
  • После определения причины заражения сайта не ограничивайтесь только одним лишь его лечением.
  • Проверьте всё, что кажется вам подозрительным.
  • Лучшая схема восстановления сайта после взлома — закрыть к нему доступ посетителей, найти причину взлома, восстановить сайт из бэкапа и далее устранить уязвимость.
  • После устранения проблемы обновите CMS и убедитесь, что уязвимый компонент также обновился.

Перечисленные рекомендации помогут вам в короткие сроки самостоятельно устранить или как минимум обнаружить причину некорректной работы сайта. Помните, что надежный хостинг-провайдер всегда будет готов помочь решить проблему или дать необходимые рекомендации.

Администрирование #Серверы #Вирусы #Безопасность #Оптимизация

Решение проблем с открытием некоторых сайтов в Windows 7 10 лучших программ для стриминга Лучшие сервисы для распознавания шрифта с картинки Вирусы на сайте: как лечить, диагностика и удаление вирусов с сайта Вирусы на сайте: как лечить, диагностика и удаление вирусов с сайта Критическая уязвимость в GitLab позволяет выполнять код без аутентификации Вирусы на сайте: как лечить, диагностика и удаление вирусов с сайта Вирусы на сайте: как лечить, диагностика и удаление вирусов с сайта Подкаст «Релиз в пятницу»: как сервисы обманом заставляют покупать больше Вирусы на сайте: как лечить, диагностика и удаление вирусов с сайта Вирусы на сайте: как лечить, диагностика и удаление вирусов с сайта Вирусы на сайте: как лечить, диагностика и удаление вирусов с сайта Вирусы на сайте: как лечить, диагностика и удаление вирусов с сайта

Мастеркласс: лечим сайт от вирусов и возвращаем трафик

Чем сайту грозят вирусы? Не только изменением информации или файлов. В большинстве случаев страдает бизнес. Компания МастерКласс узнала о проблемах с сайтом в первую очередь потому, что в 3 раза снизилось количество заявок на ремонтные услуги! Вместо 10 звонков в день поступали 1 — 3. Трафик на сайт снизился до минимума.

Если на вашем сайте проявляется подозрительная активность, описанная в статье, рекомендуем немедленно обратиться в отдел

сопровождения сайтов

к специалистам для проведения исследования.

Подозрение на вирусы

Введение — Рекогносцировка

15 марта — начало истории. Клиент заметил падение трафика и через несколько дней обратился к нам.

Проблема видна невооруженным взглядом по Метрике. С начала марта посещаемость сайта поползла вниз.

Вирусы на сайте: как лечить, диагностика и удаление вирусов с сайта

Мы нашли подтверждение проблемы в вебмастере — снижение числа проиндексированных страниц в 4 раза. Трафик просел.

Внимательно посмотрев на сайт, обнаружили, что файл настроек адресов страниц urlrewrite.php и конфигурационный файл .htaccess изменились. Из-за этого все страницы каталога поменяли адреса. Поисковик не успел их проиндексировать, а старые удалил.

Тревожным звонком было то, то при первой попытке изменить файл .htaccess, он через несколько минут вернулся в прежнее состояние. Напоминаю, мы грешили на хостинг, и эту проблему устранили настройкой прав доступа к .htaccess.

На тот момент решили, что, возможно, клиент или хостинг случайно поменяли настройки. Мы починили файлы и отчитались клиенту о результате.

Вирусы на сайте: как лечить, диагностика и удаление вирусов с сайта

Через несколько дней файл сломался вновь, равно как и адреса страниц.

Удаление вредоносных файлов

Первая попытка — Разговор дипломатов

  1. Мы нашли на сайте несколько подозрительных файлов, похожих на вирусы, удалили их. На скриншоте видно, что 3 марта на сайте 1С-Битрикс появилась папка /wp-admin/ (для непосвященных, так называется системный каталог платформы WordPress;) Мы поняли, что сайт был взломан.
  2. Поменяли все пароли от хостинга, FTP, админки.
  3. Файл robots.txt заменили на тот, который был полгода назад (скопировали из веб-архива).
  4. Обновили битрикс до последней версии.

Вирусы на сайте: как лечить, диагностика и удаление вирусов с сайта

Причина падения трафика и выпадения страниц из индекса.

В недрах сайта был специальный php-файл, который делал 2 вещи:

  1. «обнулял» robots.txt для того, чтобы весь сайт был открыт для индексации;
  2. по GET-запросам к самому себе показывал страницу с текстом на корейском (или китайском) языке, нашпигованную ссылками на корейские же (или китайские) сайты.

Внутри этот феномен мы назвали «суровое китайское SEO».

Так как сайт был открыт для индексации, эти ссылки попали в поиск. Собственно, так и удалось найти этот файл — из отчета «Внешние ссылки» Яндекс.Вебмастера. Яндекс посчитал эти ссылки спамом, начал понижать позиции сайта. Это вторая причина падения трафика.

Дополнительно, провели несколько «реанимирующих» SEO работ:

  1. Собрали небольшое

    семантическое ядро

    и сгруппировали фразы по категориям каталога.

Лечение сайта от вирусов: чистим код вручную и автоматически

Никто не хочет, чтобы с его сайта пропали данные или ресурс стал источником заражения других устройств. Но такое случается.

Практика показывает, что в основном заражение сайта происходит через системы управления контентом (CMS) и плагины к ним.

Варианта два. Вы либо скачиваете из неофициального источника уже зараженный файл. Либо скачиваете из официального, но продукт с ошибкой, о которой пока никто кроме хакеров не знает. Такие ошибки называют уязвимостями.

Хакеры хранят информацию о них и постоянно сканируют интернет в поисках уязвимых сайтов. Когда находят — загружают в файлы сайта вредоносный код. Он-то и рассылает спам, перенаправляет пользователей на зараженные страницы или крадет данные.

Бывает и по-другому, но редко.

Как понять, что сайт заражен

Обычно о заражении сообщает браузер, настольный антивирус или панель веб-мастера. Чтобы удостовериться, проверьте с помощью бесплатных сервисов:

  • Rescan.Pro
  • Kaspersky VirusDesk
  • VirusTotal
  • Virusdie в ISPmanager

Что делать, если сайт заражен

Обновите программное обеспечение.Как только об уязвимостях становится известно, их исправляют и выпускают обновления. Устанавливайте обновления только с официальных сайтов: WordPress, Joomla!, Drupal.

Удалите пиратские плагины.Устанавливайте плагины только от официальных разработчиков. Если на каком-то сайте размещен бесплатный аналог платного плагина, то скорее всего он уже содержит вирус. Лучше заплатить за оригинальное ПО, чем лечить зараженный сайт.

Поменяйте пароли. Часто вирус попадает на сайт используя пароль от админских панелей FTP или CMS, которые крадет во взломанной почте или компьютере.

Смените пароли доступа к панели управления сервером, FTP/SSH-аккаунтам, MySQL, CMS. Используйте сложные пароли: не менее 10 символов, заглавные и строчные буквы, цифры и специальные символы.

Для быстрой генерации используйте бесплатные сервисы: 1, 2.

Настройте права доступа к файлам. Через FTP или ISPmanager установите права доступа к файлам сайта. Права определяют, кто может просматривать, записывать и исполнять код.

Для файлов сайта подходит значение 644 (изменять содержимое может только администратор, читать и исполнять код — любой посетитель сайта), для директорий лучше установить 755 (администратор может читать и редактировать, все остальные — только читать содержимое).

Восстановите резервную копию. Если вы знаете, когда произошло заражение сайта, восстановите созданную до заражения резервную копию. Это избавит от необходимости «лечить» ресурс.

Заблокируйте неиспользуемые функции в файлах конфигурации PHP. В файле конфигурации PHP (php.ini) добавьте disable_functions к неиспользуемым функциям из вот этого списка: passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source.

Лечим сайт вручную

Лечить сайт можно вручную и с помощью антивирусов.

Если вы умеете работать с консолью сервера, очистите код сайта вручную. Для начала найдите чужеродный код: проверьте зараженные файлы, сравните их с незараженными из резервной копии. После, используя тип файла и фрагмент кода, найдите все зараженные файлы и удалите вредоносный код.

Пример команды для поиска паттернов вирусов в файлах php* и htm* директории /var/www/*/data/www/.

grep -Rils —include=.{php,htm*} -e 'b=4594' -e 'e2aa4e' -e 'v58f57b98 = 0' -e 'forexam@pandion.im' -e 'pathToDomains' -e 'if(navigator.userAgent.match(' -e 'var vst = String.fromCharCode' -e 'Menufiles/jquery.js' -e 'i5463 == null' -e 'r57.gen.tr' -e '/rsize.js' -e 'feelthesame.changeip.name' -e '40,101,115,110,98,114,105,110' -e 'c99sh' -e 'Shell by' -e ' sh_ver' -e '.tcpflood' -e 'c999sh' -e 'Array(base64_decode' -e 'Attacker Perl File' -e 'bogel = ' -e '(!function_exists(«getmicrotime»))' -e'$d=substr' -e 'WSO ' -e 'r57shell' -e 'msg=@gzinflate(@base64_decode(@str_replace' -e '6POkiojiO7iY3ns1rn8' -e ' mysql_safe' -e 'sql2_safe' -e 'aHR0cDovLzE3OC4yMTEu' -e 'php function _' -e 'encodeURIComponent(document.URL)' -e '; if(isset($_REQUEST' -e 'UdpFlood' -e 'udp://1.1.1.1' -e ' (md5($_POST[' -e 'header(«Location: http' -e 'fx29sh' -e 'c999sh_surl' -e 'c99sh' -e '/request12.php' -e 'NlOThmMjgyODM0NjkyODdiYT' -e 'semi-priv8' -e 'JHNoX25hbWUgPSAiIj' -e '$shell_name' -e 'UvUbjYH4eJNgF4E1fedl' -e 'killall -9' -e 'Angel Shell' -e 'c100.php' -e 'c2007.php' -e 'c99 mod Captain Crunch' -e '$c99sh_updatefurl' -e 'C99 Modified By Psych0' -e 'php-backdoor' -e 'r577.php' -e 'wso shell' -e 'backdoor' -e 'eval(stripslashes(' -e 'Backdoor' -e 'Set WSHshell' -e 'WSHshell.Run DropPath' -e /var/www/*/data/www/

Лечим с помощью антивирусов

Если вы не умеете работать с консолью сервера, используйте готовые решения. Самые большие базы паттернов вирусов, распространенных в рунете, содержат два антивируса: Virusdie и AI-Bolit.

Virusdie

Платный инструмент. Автоматически находит вредоносный код и удаляет его. Помогает снять санкции браузера. С Virusdie работать просто, так как антивирус интегрирован с панелью управления веб-сервером ISPmanager.

На всю весну — с 1 марта до 31 мая — снижаем цену на антивирус для сайта Virusdie в ISPmanager. Он будет стоить 5€ вместо 13€.

AI-Bolit

Бесплатный сканер вирусов. Проверяет сайт на взлом, вирусы и хакерские скрипты. Анализировать отчет можно самостоятельно. Помощь от специалистов компании-разработчика AI-Bolit — за отдельную плату.

Как предотвратить заражение

  • Используйте программное обеспечение только из проверенных источников.
  • Генерируйте сложные пароли и не храните их в браузере.
  • Настройте создание резервных копий.
  • Изолируете сайты друг от друга, для этого создавайте каждый сайт на отдельном пользователе.
  • Используйте Virusdie постоянно.
  • Используйте ISPmanager для единовременного обновления всех установленных скриптов, или модуль интеграции ISPmanager с Softaculous.

Как вылечить зараженный сайт — Вебмастер. Справка

Проанализируйте способы заражения:

  • Злоумышленник может получить пароли к администраторским панелям CMS, FTP или SSH аккаунтам. Обычно пароли подбирают или крадут с помощью троянских программ, заразивших компьютер вебмастера.
  • Уязвимости веб-приложения могут позволять посторонним размещать на сайте произвольный код.
  • Из-за заражения внешнего ресурса (партнерской программы, баннерной системы, счётчика) предоставленный вам код может стать опасным для пользователей.

Проанализируйте информацию о заражении в Вебмастере на странице Безопасность и нарушения. Раздел содержит перечень зараженных страниц, даты проверок и вынесенные антивирусом вердикты. Перейдя по ссылке в названии вердикта, вы увидите его описание и примерный вид кода, соответствующего вердикту (кода, который непосредственно появляется на страницах сайта).

Вы также можете самостоятельно воспроизвести проблему с помощью виртуальной машины.

  1. Остановите веб-сервер, чтобы оградить посетителей сайта от потенциальной опасности. Затем проверьте антивирусом файлы веб-сервера и все рабочие станции, с которых администрируют сервер (можно использовать бесплатные антивирусные утилиты) и смените все пароли: root, FTP, SSH, от административных панелей хостинга и CMS.
  2. Если до заражения была сделана резервная копия сайта, восстановите ее.
  3. Обновите до последних версий все используемые сайтом программы и поищите описания исправленных уязвимостей. Возможно, это поможет понять, каким образом сайт был заражен.
  4. Удалите лишних пользователей с расширенными правами и тщательно проверьте сервер на наличие веб-шелла, с помощью которого злоумышленник может изменять код сайта в обход авторизации.
  5. Проверьте наличие вредоносного кода:
    • во всех серверных скриптах, шаблонах CMS, базах данных;
    • в конфигурационных файлах веб-сервера или интерпретатора серверных скриптов;
    • если вы используете shared-хостинг, проверьте другие сайты, расположенные на том же сервере — может быть заражен весь сервер.

Признаки вредоносного кода:

  • Код посторонний или незнакомый, не соответствует резервной копии или системе контроля версий.
  • Обфусцированный (нечитаемый, неструктурированный) код.
  • Дата модификации файлов совпадает с временем заражения или более поздняя. Этот параметр ненадежен, так как дата модификации файлов может быть изменена вирусом.
  • Использование характерных для вредоносного кода функций. Примеры таких функций для языка PHP:
    • динамическое исполнение кода (eval, assert, create_function);
    • обфускация (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);
    • загрузка удаленных ресурсов (file_get_contents, curl_exec).

Рекомендуем в течение нескольких недель после заражения регулярно перепроверять файлы и код сайта на тот случай, если использованная уязвимость не была устранена или злоумышленники по прежнему имеют доступ к сайту.

Яндекс постоянно ищет и исследует новые виды заражений и публикует результаты исследований в блоге Яндекса для вебмастеров.

Если вы обнаружили на своем сайте вредоносный или подозрительный код, отправьте его на анализ специалистам.

Была ли статья полезна?

Как удалить вирус с сайта

За долгие годы практики мы можем с уверенностью сказать, что, в основном, вредоносный код (вирус) попадает на сайт через систему управления (CMS).

Это происходит так: пользователь скачивает документ с неизвестного источника и публикует его без проверки антивирусником.

Или пользователь скачивает документ с официального источника / получает документ от доверенного лица с ошибкой, которую невозможно визуально увидеть. Так сайт становится уязвим.

Другой вариант: вы можете скачать «здоровый» файл на зараженный компьютер. И при передаче файла следующему получателю есть вероятность, что вы отправите файл вместе с вирусом. В данном случае вред будет исходить от вашего компьютера. Нужно регулярно проверять его антивирусом и лечить.

Сайт может стать уязвимым к вирусам из-за плохо проработанного кода. Злоумышленники постоянно находятся в статусе поиска подобных сайтов. Если кратко, то происходит это так: найдя уязвимость, хакеры внедряют на сайт вредоносный код. Проверяйте и защищайте ваш сайт современными антивирусниками, чтобы не попасть в зону риска.

Последствия от вредоносного кода могут быть любыми:

  • спам-рассылка для подписанных пользователей,
  • замена картинок, видео и текстового содержимого,
  • передача паролей и данных пользователей/клиентов третьим лицам,
  • просмотр отчетности и заказов злоумышленниками,
  • получение доступа к почтовым ящикам ваших сотрудников,
  • изменение вида веб-страниц сайта,
  • редирект (перенаправление) на другие сайты,
  • распространение рекламы на страницах сайта,
  • и другой вред, нарушающий обычный режим работы.

Также причиной взлома может стать простой пароль пользователя для входа в систему управления сайтом. Получив доступ, злоумышленник подвергает сайт любым изменениям даже если у пользователя был доступ только к редактированию текстового содержания страниц.

Как узнать, что на сайте есть вирус

Первые, кто могут сообщить вам о наличии вируса на сайте — браузер, ВебМастер, настольный антивирус. Чтобы удостоверится о наличии или отсутствии вируса нужно проверить сайт с помощью утилиты для удаления вирусов Dr.

WEB. Эта утилита знакома со всеми известными компьютерными и web-вирусами. Находит и показывает вредоносный код. Определяет есть ли ссылки на мошеннические сайты. Скачать антивирус Доктор Веб можно на официальном ресурсе.

Как распознать вредоносный код / файл

Имейте ввиду, что сайт состоит не только из строчек кода, но еще и папок с файлами. Коммерческие сайты и корпоративные порталы интересуют злоумышленников больше, нежели частные компьютеры. На сайтах компаний хранятся базы клиентов, юридические документы и другую секретную информацию, которую можно выгодно продать.

Изменениям, например, может подвергнуться исполнительный файл с расширением .exe. В этом случае вирус прячут в нем и поиск источника вреда усложняется. Настольный антивирус может не увидеть изменений в файлах сайта, потому что компьютерный вирус отличается от виртуального.

Как проверить сайт на вирусы? Например, у официальных хостинг-провайдеров в панели управления уже установлен антивирус. С его помощью можно проверить данные сайта на наличие вредоносных файлов. Или обратитесь в it-компанию, которая ведет деятельность по разработке сайтов, уж они точно знают, как проверить ресурс на наличие вирусов.

Что делать, если на сайте обнаружены вирусы

Восстановите резервную копию сайта. В среднем, специалисты технической поддержки проводят резервную копию сайта 1 раз в месяц. Вам повезло, если копия вашего сайта была сделана задолго до появления вредоносного кода. Это избавит от необходимости лечить сайт вручную.

Обновление программного обеспечения, CRM. Разработчики CRM постоянно ведут работу по устранению возможных уязвимостей в системе, исправляют их и выпускают обновления. Установите обновления с официального сайта вашей CRM, чтобы повысить степень защиты.

Удалите пиратские плагины (программный модуль для расширения возможностей системы). Мы рекомендуем устанавливать расширения с официальных сайтов.

Однако, не все следуют этому правилу и устанавливают бесплатные аналоги от неизвестных разработчиков. Скорее всего, такие плагины уже содержат скрытие вирусы.

Удалите плагины, проверьте систему на вирусы и установите оригинальное ПО.

Поменяйте админские пароли. Для доступа к сайту злоумышленники могут взломать вашу почту или поселить вирус в компьютер.

Генерируйте сложные пароли с наличием букв, цифр и специальных символов.

Но, если вы заметили подозрительные изменения или всплывающие окна, рекомендуется проверить компьютер на вирусы, сменить пароли от почтовых аккаунтов, панели управления сайтом и сервером.

Установите права доступа к файлам сайта. С помощью настройки прав вы можете ограничить / настроить список сотрудников, которые могут просматривать, исполнять и изменять код.

Удаляем вредоносный код вручную. Антивирус показал зараженные участки кода. Если у вас есть навыки работы с консолью сервера, то приступите к удалению вредоносного кода / файла вручную. Вам нужно искать следующее:

  1. Слова «exploit», «shell», «javascript»,»iframe»;
  2. фразы eval и unescape, document.write и String.fromCharCode;
  3. В css найдите и удалите атрибут behavior;
  4. Удалите или замените зараженные медиафайлы;
  5. В базе данных (что открываем редактором, например NotePad++) удаляем»iframe»;
  6. Удаляем файлы подобные wzxp.php, которые по названию явно не входят в обычные файлы CMS;
  7. Проверьте файлы .htaccess, чтобы они не содержали чужеродного кода или редиректа на другие сайты;
  8. Удалите base64-код. Он может выглядеть так «DFJKsdkfjghJhHvKkOmHtgdfRcybJmLpIhVyfTCrfdxfCrtDFcHGhbBjhIJkMOkoI»;
  9. Проверьте, не используется ли eval() или функция preg_replace() с ключом в первом аргументе.

Как обезопасить сайт от вирусов

Делимся с вами чек-листом, проверенным на личном опыте:

  1. Настройте создание и хранение резервных копий сайта.
  2. Применяйте обновления CMS и патчи безопасности, которые сами находят и устраняют уязвимости сайта.
  3. Используйте только оригинальные плагины для расширения функций браузера.
  4. Систематически меняйте пароли администраторов.
  5. Установите права доступа к файлам сайта или ограничьте доступ, разрешив изменять содержимое сайта только по своему IP-адресу.
  6. Регулярно проверяйте свой компьютер и сайт на наличие вирусов.

Эти советы вы можете применять самостоятельно. Или доверьте безопасность ваших сервисов профессиональным админам. В нашей компании данный чек-лист разработан для обеспечения технической поддержки сайта.

Вирусы на сайте: какие бывают и как могут навредить

Это лишь один из множества сценариев распространения вредоносного ПО через взломанные сайты. Расскажем о некоторых типах вредоносного ПО, которые проникают на устройства через сайты.

Spyware — это разновидность шпионского ПО. Позволяет собирать личные данные пользователя, в том числе конфиденциальные: банковские реквизиты, логины-пароли, адреса электронной почты и даже нажатие клавиш на клавиатуре. Отслеживает действия и поведение в сети.

Трояны — маскируются под обычное ПО: бесплатную программу, zip-архив. Если запустить троян на устройстве, он сможет полностью контролировать систему: изменять другое ПО и файлы, передавать данные с ПК на сервер или использовать компьютер в своих целях — например, для кибератак.

Черви — попадают на компьютер, размножаются и распространяются на ПК других пользователей, например, через электронные адреса в памяти захваченных устройств.

Следствие атак червей:

  • в памяти устройств становится меньше места;
  • появляются файлы, которые пользователь не создавал;
  • замедляются системные процессы;
  • происходят сбои в работе программ;
  • удаляются файлы и данные;
  • устройство произвольно отключается, перезагружается, появляются ошибки.

Злоумышленники используют это ПО, чтобы вредить работе организаций, рассылать спам или получать доступ к управлению устройствами.

Rootkits — это утилиты, которые маскируются под системные вспомогательные программы и скрывают процессы других вредоносных программ. С помощью последних взломщики получают файлы или наносят вред системам устройств.

Keyloggers — это ПО перехватывает данные с устройств:

  • фиксирует нажатия клавиш на клавиатуре и движения мыши;
  • записывает экран пользователя, видео с камеры и звук;
  • отмечает время активности пользователя;
  • получает доступ к данным, документам, письмам и следит за файловой активностью.
  • С помощью кейлогеров злоумышленники воруют номера счетов, карт, пароли и другие персональные данные.
  • Майнеры — ПО, которое использует ресурсы устройств для добычи криптовалюты.
  • Программы-майнеры могут быть легальными и нелегальными.

Легальный майнинг. Пользователь, желая заработать, самостоятельно устанавливает и запускает программу на ПК.

Нелегальный майнинг. Злоумышленники устанавливают программу и пользуются компьютером без ведома владельца. Чаще от этого страдают корпорации — в крупной компании сложно отследить, что устройства стали потреблять больше энергии.

Как вирусы попадают на сайт

Вирус попадает на сайт в результате взлома: целевого или нецелевого.

Целевой взлом, как ясно из названия, происходит целенаправленно. Такой взлом могут заказать, например, конкуренты компании. Хакер хочет взломать конкретный сайт и пытается найти точку входа: ищет в коде слабые места или использует перебор паролей к серверу. Если получается найти уязвимость — внедряет на сайт вирус.

Нецелевой взлом никто не заказывает.

Такие атаки осуществляются с использованием автоматизированных инструментов, которые были запрограммированы для поиска уязвимости и добавления вируса.

Подавляющее большинство взломанных сайтов — жертвы нецелевых атак. Такие атаки дешевле целевых и дают возможность с минимальными усилиями нанести ущерб огромному количеству сайтов и систем.

Владелец или разработчик сайта часто неосознанно способствует попаданию на него вируса. Например, создает некачественный код или использует ПО для разработки сайта из непроверенных источников, которые уже содержат вирус.

Рассмотрим пути заражения подробнее.

Ошибки в коде и настройках сайта

В коде любого сайта и логике его работы могут быть ошибки — это помогает вирусам попадать на сайт.

В результатах исследования компании Positive Technologies говорится, что 82% уязвимостей были обнаружены именно в коде приложений (в исследовании участвовало 38 веб-приложений из разных сфер бизнеса).

Большинство веб-приложений имело в среднем 22 уязвимости, половина которых — с высокой степенью опасности.

Ошибки в коде появляются из-за некомпетентности или невнимательности разработчика — например, из-за такой мелочи, как неправильная обработка текста от пользователей, на сайте возникает XSS-уязвимость.

Представьте, что на сайте есть форма для отправки отзыва, которая содержит поля для ввода текста.

В коде этой формы разработчик может забыть настроить проверку вводимой информации и злоумышленник сможет отправить вредоносный код, просто вписав его в поле формы.

Дальше этот код сохранится на странице и будет загружаться в браузер каждого пользователя, который зайдет на страницу сайта (XSS-атака).

Еще одна причина появления уязвимостей — небезопасные библиотеки (фреймворки). Большинство современных сайтов создается с помощью готовых решений (фреймворков) — это дешево и удобно. Не нужно писать код с нуля, достаточно доработать готовую библиотеку под нужды сайта. Но сторонние фреймворки могут содержать в себе ошибки, которые и становятся причиной заражения вирусами.

Неправильная настройка сайта также открывает множество лазеек для злоумышленников. Разработчики и администраторы довольно часто пренебрегают безопасностью:

  • забывают ограничить права доступа к файловой системе для непроверенных пользователей;
  • устанавливают для удобства везде одинаковые пароли (к базе данных, административной панели);
  • не обновляют программное обеспечение — старые версии ПО могут содержать незакрытые уязвимости.

Разработчики и веб-мастера могут допускать ошибки в коде и настройке сайта случайно — из-за недостатка опыта, или немеренно. Так бывает, когда на проекте возникают конфликты и разногласия. Тогда разработчик перед уходом специально может оставить бэкдор.

Заражение через FTP-клиент

Многие вебмастера работают с сайтом через FTP (англ. File Transfer Protocol — протокол передачи файлов), пользуются FTP-клиентами: FileZilla, WinSCP, Core FTP LE, CuteFTP и др. Это позволяет удаленно управлять файлами на сервере: просматривать, загружать, перемещать, удалять их и т. д.

Часто FTP-клиент сохраняет логин и пароль пользователя для автоматической авторизации. Это удобно, но небезопасно: такие данные могут храниться в незашифрованном виде.

Когда на компьютер веб-мастера попадает вредоносная программа, например, червь — она может собирать и передавать данные злоумышленникам, так доступ к сайту оказывается в чужих руках.

Дальше — потеря контроля, вирусы на сайте, ошибки в работе приложения.

Уязвимости в CMS и плагинах

CMS — это программы, которые помогают управлять сайтом: менять дизайн, писать тексты, добавлять виджеты и т. д.

Коды многих популярных CMS (WordPress, Joomla и т. д.) есть в открытом доступе. На такое ПО обычно не нужно покупать лицензию — это выгодно для владельцев сайтов. Но код такого ПО может изучить кто угодно, в том числе злоумышленники — так они находят слабые места в системах управления сайтами и используют бреши для атак.

Обезопасить CMS от взлома можно. Если использовать лицензионные CMS, следить за официальными обновлениями платформы и устанавливать их вовремя, риск заражения становится минимальным. А вот сторонние плагины для CMS из непроверенных источников могут содержать уязвимости.

Плагины CMS — это расширения, которые подключаются к CMS. С их помощью на сайте добавляют нужные модули (интеграцию с соцсетями, обработку платежей) или меняют тему оформления.

Плагины из официальных каталогов CMS, как правило, платные. Те, кто хочет сэкономить, скачивают бесплатные плагины, часто с непроверенных сайтов. С этого, как правило, начинается история заражения сайта, так как такие плагины в большинстве случаев уже содержат вирусы.

Причиной уязвимости также становятся старые плагины. Веб-мастера со временем перестают использовать какие-то скачанные расширения, но часто забывают удалять их. А старый плагин, который не удален и не обновляется — слабое место, через которое злоумышленник может получить доступ к коду CMS.

Последствия заражения сайта вирусом

Если вовремя не принять меры, заражение сайта вирусом может закончиться неприятно. Основные последствия для сайта и бизнеса:

  • Попадание в черные списки поисковиков и браузеров — перечни опасных для посетителей ресурсов. Поисковики, заподозрив вредоносность сайта, пометят его как небезопасный, сократят или вовсе остановят его выдачу. Браузеры будут предупреждать посетителей, что на сайте обнаружено вредоносное ПО. Все это грозит потерей позиций в выдаче и снижением посещаемости сайта.

Лечение вирусов на сайтах: чек-лист

Предположим, что вы только что получили уведомление о вредоносной активности на сайте. Вот полный список действий, которые нужно выполнить для удаления вирусов с сайта:

0. Проведите базовую профилактику

Базовая профилактика нужна для предотвращения повторного заражения, которое может произойти даже до того, как вы успеете удалить первую строчку вредоносного кода.

Сюда включена смена паролей ко всему и вся (админка сайта, база данных, сервер, учётная запись на хостинге), проверка и удаление подозрительных учётных записей в админке сайта, обновление компонентов безопасности используемой CMS и плагинов.

1. Сохраните бэкап заражённого сайта

Копия заражённого сайта, включая логи веб-сервера за последние несколько дней,  пригодится для страховки при неудачном лечении и для анализа сайта на уязвимости, через которые он был скомпрометирован, после восстановления его работы. 

Понимание того, каким образом был скомпрометирован ваш ресурс, позволит организовать более высокий уровень защиты от повторных случаев заражения. Или, если для лечения вы решите развернуть старый бэкап с чистой версией сайта — можно будет вручную восстановить добавленный позднее контент. 

2. Проверьте наличие бэкапов сайта, сделанных до появления вредоноса

Приблизительное время появления вирусов можно определить, проверив дату изменения файлов сайта. Если у вас есть резервная копия сайта, созданная до заражения, для скорейшего восстановления работы проще всего сразу развернуть её и перейти к профилактике. 

И не забудьте выписать премию админу — или себе, если вы сами обслуживаете сайты. Одним бэкапом вы сэкономили несколько часов времени и, вероятно, кругленькую сумму. 

При восстановлении чистой копии важно помнить: это не даёт повод расслабиться и вздохнуть с облегчением. Нет гарантии, что сайт снова не будет скомпрометирован тем же образом, что и в первый раз. Поэтому после восстановления важно проанализировать, что именно стало причиной заражения — для этого пригодится сделанный на первом шаге бэкап, и принять меры защиты.

3. Приступите к поиску вирусов

Главная задача этого шага — собрать отчёты со списками заражённых файлов или вредоносных вставок кода для последующего удаления.

Нужно помнить, что разные инструменты поиска могут иметь разную степень эффективности, например, в плане частоты обновления вирусных баз. Поэтому для наилучшего результата рекомендуется использовать несколько разных инструментов поиска последовательно — это поможет составить более полную картину заражения и впоследствии более качественно выполнить лечение. 

4. Выполните лечение

Здесь подход зависит от того, какой способ лечения вы выбрали. К сожалению, нет общей универсальной инструкции для каждого конкретного случая — но мы собрали для вас варианты, в каком направлении можно двигаться.

5. Повторите шаги 3 и 4 до полного отсутствия алертов в отчётах

Нет гарантии, что за первый проход вы удалите 100% вредоносного кода. Поэтому операцию придётся повторить несколько раз, пока в отчётах не появится ободряющее «Всё чисто!».

Если количество заражённых файлов в отчёте от проверки к проверке не уменьшается, это признак того, что заражение происходит повторно сиюминутно. В таком случае для лечения нужно изолировать сайт — например, развернуть и вылечить копию на отдельном сервере. На самом сервере же требуется проверить, каким образом вредоносный код повторно попадает на сайт, и заблокировать источник малвари. 

6. Проверьте работоспособность сайта

Когда весь вредоносный код будет удалён, важно проверить работоспособность каждого элемента сайта. Всегда есть вероятность, что под горячую руку попадёт кусок рабочего кода: в этом случае на сайте может поехать вёрстка, перестанет работать важная форма или кнопка.

7. Создайте и скачайте резервную копию вылеченного сайта

В случае, если сайт будет заражён повторно, вам не придётся заново проходить весь процесс поиска и лечения. Такой бэкап нужно скачать с сервера или вашего хранилища резервных копий и хранить на флешке — поближе к сердцу. Или в сейфе.

8. Выполните полную профилактику

Когда вы завершите лечение сайта, проверите его работу и сделаете бэкап чистой версии, нужно переходить к следующему обязательному шагу — расширенным профилактическим мерам. Без этого ваш сайт может быть заражён повторно уже в течение нескольких следующих часов.

9. Сообщите поисковым системам о решении проблемы

Этот шаг необходим, чтобы ваш сайт перестал отображаться у посетителей как вредоносный ресурс и вернул себе позиции в поиске. Сообщить об удалении вирусов и восстановлении работы сайта можно в инструментах веб-мастера, в тех же самых, в которых создаются отчёты безопасности на этапе поиска вирусов.

Правда, для того, чтобы восстановить репутацию сайта после лечения полностью, этого недостаточно — необходимо предпринять дополнительные меры: 

  • сообщить об удалении вирусов поисковым системам;
  • извлечь сайт и IP-адрес из чёрных списков и списков вредоносных ресурсов антивирусов.

10. Выполняйте профилактику безопасности сайта на регулярной основе

Технологии меняются непрерывно — ежедневно появляются новые механизмы защиты данных и не менее новые способы их обхода. В таких условиях важно тщательно следить за состоянием ваших сайтов и сервера:

  • периодически менять пароли ко всем элементам инфраструктуры;
  • следить за новостями из сферы информационной безопасности;
  • оперативно реагировать на обновления и обнаруженные уязвимости и др.

Собрали общий список рекомендаций и полезных ресурсов для профилактики в отдельной статье. Следуя этим советам, вы не только решите проблему с заражением сайта, но и защитите сайт от посягательств в будущем.

Ссылка на основную публикацию