Признаки заражения сайта вирусами.

virusОбнаружить заражение сайта помогут следующие признаки:
 При заходе на сайт антивирусная программа сообщает об опасности;
 -пользователи сайта жалуются на некорректную работу или вирусы;
— при заходе на сайт наблюдаются JS-ошибки, редиректы, подгружаются посторонние ресурсы, в общем — любое нестандартное поведение сайта;
—  в исходном коде наблюдаются посторонние включения либо модификации существующих;
— браузер или поисковая система препятствуют заходу на сайт, предупреждая об опасности;
 сайт потерял позиции в поисковых системах.


Достаточно объективную диагностику заражения сайта можно провести следующим образом:
A. Скачайте файлы сайта к себе на компьютер, и проверьте их своим обычным локальным антивирусом, например, Касперским. Удалите подозрительный код из тех файлов, на которые антивирус сработает. Обязательно сделайте резервные копии любых изменяемых вами файлов и всего сайта!
B. В исходном коде html страницы ищем вхождения слов «iframe» и «javascript». Исследуем найденные фреймы и внешние скрипты на предмет чужеродности, не принадлежности к нашему сайту (например, код вируса может выглядеть как не имеющий отношения к вашему сайту iframe . Элементы, загружающие посторонние адреса, обычно расположены близко к концу страницы Этот код является замаскированной, невидимой при просмотре страниц ссылкой на скачивание вируса, работающего по принципу троянского коня.). Особенно подозрительными являются iframe малой или нулевой ширины и высоты, а javascript — с использованием eval (например, eval и набор «бессмысленных» символов или чисел — %0a%76%61%72%20%57%64%68%3d%27%64%65%39%33%36%66 или 121,101,101,104,97,97,46,114), unescape, String.fromCharCode, а также подвергнутый обфускации. В javascript особое внимание надо обратить на document.write с вписанием другого javascript или iframe, либо вписанием meta-редиректа, а также javascript-редирект. В некоторых случаях вирусный код маскируется под счетчики посещаемости. Иногда производится полная замена обфусцированной javascript библиотеки наподобие jquery на такую же, но содержащую вирус. В таких случаях необходимо сверить размеры активной библиотеки с размерами того же файла в имеющейся у Вас резервной копии сайта.
Если в iframe, javascript или в редиректе фигурирует любой чужой домен (не Ваш и не размещенный там Вами) — это сигнал тревоги, даже если на домене пусто или сайт работает нормально. Вирусы очень часто идут «матрешкой», когда реальное вредоносное содержимое выскакивает только на третьем или пятом редиректе или фрейме.
C. Проводим такое же исследование по подгружаемым внешним javascript файлам. Во внешних css проводим поиск behavior, содержащих чужеродный код.Если на сайте есть картинки, подгружаемые с других сайтов — проверяем, что выдается при запросе браузером этих картинок. При этом реферрер и агент должны быть как при обычном открытии страницы Вашего сайта с этой картинкой. Если вместо картинки выдается редирект, запрос пароля или иное чужеродное содержимое — это как правило вирус.
( Перечисленные в пп. А,В,С действия необходимо выполнить с запросом страницы и скриптов несколько раз, в идеале с разных ip, с разными cookies и разными user-agent (браузерами) поскольку вирусный код может выдаваться случайным образом либо только тем браузерам, которые уязвимы, либо только поисковику.)
После этого добавляем сайт в Яндекс-вебмастер и Google-вебмастер. В некоторых случаях эти сервисы дают указание конкретного вредоносного кода, либо доменов, с которых подгружается вирус.
Проверить сайт на вирусы можно с помощью Google, сделав запрос в строке браузера вида:
http://www.google.com/safebrowsing/diagnostic?site=доменное имя вашего сайта
В следующей статье читайте о способах лечения сайта и предупреждения заражения.
Всего доброго!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

двадцать − тринадцать =

 

https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_bye.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_good.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_negative.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_scratch.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_wacko.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_yahoo.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_cool.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_heart.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_rose.gif 
https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_smile.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_whistle3.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_yes.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_cry.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_mail.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_sad.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_unsure.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_wink.gif