Лечение сайта от вирусов.

virusi      Здравствуйте, уважаемые друзья!

Сегодня поговорим о способах избавления сайта от вирусов.

Сразу после обнаружения взлома, заражения сайта необходимо полностью заблокировать к нему доступ посетителей.

Это помешает злоумышленнику вести вредоносную деятельность на сайте и не позволит ему препятствовать проведению восстановительных работ.

Это очень важно, так как удаление вредоносных скриптов и устранение причины взлома не происходит одномоментно — на это требуется несколько часов.

Если сайт останется доступным для посетителей, злоумышленник сможет произвести повторную загрузку скриптов в тот раздел сайта, который уже был очищен. При этом злоумышленник может использовать различные IP-адреса для подключения, поэтому запрет доступа только для списка IP-адресов не даст результата.

Чтобы гарантированно очистить сайт от найденных вредоносных скриптов, необходимо полностью закрыть для злоумышленника возможность обращения к сайту, что можно сделать только с помощью полной блокировки сайта для любых посетителей. Обратитесь в службу технической поддержки хостинга, на котором размещается ваш сайт, чтобы произвести блокировку.
1.После блокировки сайта необходимо проверить компьютеры, с которых производилась работа с сайтом, современным антивирусом с обновленными вирусными базами. Если сайт был взломан путем кражи паролей от аккаунта с помощью вируса, необходимо убедиться, что дальнейшая работа со взломанным сайтом ведется с компьютера, на котором вирусы отсутствуют, иначе после смены паролей доступа они снова могут быть украдены.
2.После блокировки сайта и проверки на вирусы необходимо изменить все пароли доступа к аккаунту: доступы через FTP, через SSH, а также доступы к панели управления хостингом. Если злоумышленник получал доступ к файлам аккаунта одним из этих способов, после смены паролей он больше не сможет сделать это.
3. После смены паролей необходимо уничтожить все процессы сервера, работающие от имени аккаунта, на котором обслуживается сайт. Запущенные злоумышленником в фоновом режиме процессы, если их не уничтожить, смогут после проведения восстановительных работ повторно разместить вредоносные скрипты на сайте. Чтобы этого не произошло, все процессы, запущенные до блокировки сайта, должны быть уничтожены. Сайт в этот момент уже должен быть заблокирован, чтобы злоумышленник не смог запустить новые процессы, обратившись к одному из своих скриптов на сайте. Для уничтожения запущенных на аккаунте процессов обратитесь в службу технической поддержки хостинга, на котором размещается ваш сайт.
Теперь проникновение на сайт извне невозможно и можно приступать к его восстановлению.
4. Перед дальнейшими действиями удалите все существующие файлы сайта, чтобы среди них гарантированно не осталось вредоносных скриптов, или скриптов CMS, в которые злоумышленник внедрил вредоносный код. Этот шаг также важен, так как при восстановлении сайта из резервной копии не всегда удаляются файлы, которые существовали до восстановления. Если после восстановления из резервной копии на сайте останутся старые вредоносные скрипты, злоумышленник сможет повторно проникнуть на сайт. Избежать этого можно, удалив все файлы сайта перед проведением восстановления.
5. После удаления всех файлов сайта восстановите сайт из резервной копии, созданной до его взлома. Часто достаточно восстановить только файлы сайта, однако если после их восстановления в работе сайта наблюдаются ошибки, необходимо восстановить сайт полностью: и файлы и базу данных.
6. После восстановления из резервной копии обновите используемые версии системы управления сайтом (CMS) и ее расширений до последних. Это необходимо, чтобы исключить присутствие на сайте известных уязвимостей, через которые он может быть взломан. Как правило, обновление можно произвести через раздел администрирования CMS. Важно обновить не только саму CMS, но и все ее расширения, так как часто взлом происходит через уязвимость, присутствующую в одном из расширений CMS (например, плагины, темы оформления, виджеты и пр.). В этот момент еще нельзя снимать блокировку сайта для посетителей, так как он может быть еще уязвим. Чтобы получить доступ к сайту для обновления, обратитесь в техническую поддержку хостинга, на котором размещается ваш сайт, и попросите разрешить доступ к сайту только с IP-адреса вашего компьютера. Узнать ваш IP-адрес вы можете, например, на inet.yandex.ru.
7. После восстановления сайта из резервной копии и сайт не содержит вредоносных скриптов, CMS и ее расширения обновлены до последних версий, в которых отсутствуют уязвимости, а пароли доступа к сайту и аккаунту хостинга изменены, можно вновь открыть сайт для посетителей.
Но вполне может быть, что восстановление сайта не удастся из-за поврежденного бэкапа или сайт во время работ не был заблокирован.

Попробуйте ещё один способ:
Сделайте копию сайта и скачайте себе на компьютер. Проверьте все файлы утилитой dr.web или любым современным антивирусом вашего компьютера.
Внимательно исследуйте код тех файлов, на которые отреагирует антивирус. (Можно вести поиск иначе- специальным серверным скриптом прямо на сервере.)В исходном коде html страницы ищем вхождения слов «iframe» и «javascript«.

Исследуйте найденные фреймы и внешние скрипты на предмет чужеродности, не принадлежности к нашему сайту. Особенно подозрительными являются iframe малой или нулевой ширины и высоты, а javascript — с использованием eval, unescape, String.fromCharCode .

В javascript особое внимание надо обратить на document.write с вписанием  другого javascript или iframe, либо вписанием meta-редиректа, а также javascript-редиректа.

В некоторых случаях вирусный код маскируется под счетчики посещаемости.

Иногда производится полная замена обфусцированной javascript библиотеки наподобие jquery на такую же, но содержащую вирус.

Если в iframe, javascript или в редиректе фигурирует любой чужой домен (не Ваш и не размещенный там Вами) — это сигнал тревоги, даже если на домене пусто или там нормальный сайт. Вирусы очень часто идут «матрешкой», когда реальное вредоносное содержимое выскакивает только на третьем или пятом редиректе или фрейме.

Проводим такое же исследование по подгружаемым внешним javascript файлам. Во внешних css проводим поиск behavior, содержащих чужеродный код.
Далее.С помощью ssh команд либо серверного скрипта находим на сервере все файлы сайта, которые были изменены в день заражения сайта и изучаем их на предмет внешних нежелательных дополнений. Это могут быть:
include файлов с вирусных доменов (не зависимо от того, разрешен ли удаленный include по данным phpinfo),
eval полученных с других сайтов данных,
eval декодированных функцией base64_decode данных,
обфусцированный php-код,
переопределенные функции,
include или eval внешних данных, передаваемых скрипту через глобальные массивы GET, POST, COOKIE, SERVER (‘HTTP_REFERRER’,’HTTP_USER_AGENT’ и др.), обычно являющееся backdoor,
посторонние коды ссылочных бирж (часто целью взлома сайта является продажа с него ссылок),
http-заголовки с редиректом на вирусные домены, отправляемые функцией header,
exec, system, popen, passthru и другие функции, выполняющие вызов программ, если их использование не предусмотрено cms.

При анализе нежелательных дополнений может помочь знание кода, выясненного в ходе диагностики. Помимо выдачи посетителям вредоносного содержимого, перечисленные выше чужеродные вхождения могут представлять собой web shell или backdoor, с помощью которых злодей контролирует Ваш сайт.
Делаем дамп базы данных, и изучаем аналогично с помощью антивирусника и визуально , но с учетом того, что в базе код может быть преобразован в мнемоники и вместо <iframe> будет &lt;iframe&gt;
Удаляем все чужеродные вхождения, обнаруженные в ходе работы по перечисленным выше пунктам.
Проверяем работоспособность сайта, его функционал.

Иногда вирус затирает собой важные файлы или нарушает их синтаксис, и после очистки обязательно надо все восстановить.

Иногда файлы сайта уже не восстановимы. Хорошо, если есть копия у хостеров или подключена услуга резервное копирование.
Создаем резервную копию очищенного сайта.

В случае повторного заражения можно будет восстановить сайт из этой резервной копии.
Вот такие дела! Нельзя считать хакера глупышом. Обычно если вирус не дотёрт, он возвращается. И возвращается в значительно более хитром и зашифрованном виде, и его удаление становится на порядок более сложной задачей.
Если лечение не удалось и Вы не программист по профессии- обратитесь к профессионалам. Все не так просто.

Выясняем и ликвидируем причину заражения.

В первую очередь необходимо проанализировать лог веб-сервера и лог ftp, найдя в них время, предшествовавшее заражению. Если имеется лог ошибок php и лог командного интерпретатора, они тоже могут оказаться полезны. Иногда в логах бывает достаточно данных, чтобы определить источник заражения сайта. Но нельзя ограничиваться только закрытием первоначальной проблемы, необходим комплексный подход.
В следующей статье читайте о создании защиты сайта.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

три × три =

 

https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_bye.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_good.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_negative.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_scratch.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_wacko.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_yahoo.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_cool.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_heart.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_rose.gif 
https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_smile.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_whistle3.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_yes.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_cry.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_mail.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_sad.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_unsure.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_wink.gif