Как удалить вирус с сайта

Следующая статья: NAT - настройка преобразования сетевых адресов

Содержание

Вот и вас посетил вирус
Поиск вируса
Где именно следует искать код вируса?

Вот и вас посетил вирус

Если Вы вдруг обнаружили, что какой-то вирус нагло распоряжается Вашим сайтом, то сразу выполняйте следующие действия:

Во-первых, сразу проверьте свой компьютер на наличие вирусов! Потому что пароли доступа FTP как правило воруют именно трояны, которые могут находится на Вашем компьютере, или на компьютере сотрудника, который знает доступ FTP к сайту.

Во-вторых, срочно меняйте FTP доступ к сайту. Именно по FTP заражение сайтов происходит чаще всего.

В-третьих, приготовьтесь к тому, что Вам предстоит лечение сайта. Необходимо будет сделать бекап сайта, затем сохранить web логи посещаемости сайта, а потом следует запросить лог подключений по FTP к сайту у техподдержки хостинга.

Только после того, как Вы убедитесь в том, что на Вашем компьютере больше нет ни одного вируса и после того, как Вы смените FTP доступы к сайту, можно искать вирусы на сайте и заниматься их удалением.

Поиск вируса

Чтобы вирусы найти, необходимо знать, как они выглядят и где лучше их искать.

Самых распространенных кодов вирусов, которые используют для атаки сайтов, всего несколько. Они все используют одну и ту же уязвимость переполнения буфера браузеров. А именно, с помощью специального кода (iframe), они незаметно загружают и запускают абсолютно любой файл на компьютере жертвы.

Если Вы обнаружили подозрительный HTML код с подключением <iframe>, сразу обратите на него особое внимание. А вообще, подобные iframe стараются делать незаметными, и поэтому в свойствах тега указывают особые параметры, например, width="0" height="0".

Код вставки вируса может выглядеть примерно так:

Но конечно, стоит быть готовым к тому, что злоумышленники постоянно работают над совершенствованием своих атак, усложняют последствия этих самых атак и стараются маскировать iframe с вирусом более тщательно.

Маскируют iframe с вирусом при помощи обфускации (шифрование кода). В результате такой маскировки обнаружить подозрительный код возможно только по наличию функций JavaScript unescape или fromCharCode, которые используют для шифрования. Но обратите внимание, обнаружение этих функций еще не гарантирует, что на сайте находится вирус. Прежде чем удалить подозрительный код надо проверить его визуально. А если Вы таковой все-таки обнаружите, удаляйте его очень аккуратно, иначе можно удалить важные данные и сломать сайт.

Существует великое множество приемов маскирования вредоносного кода, но смысл у всех один и тот же, помните об этом.

Где именно следует искать код вируса?

Заражению чаще всего подвергаются файлы с расширением php и HTML страницы. Обращайте особое внимание на файлы, которые были изменены совсем недавно.

Если на сайте не так много файлов, их все можно просмотреть вручную и найти подозрительные коды, которые будет необходимо удалить. А если Ваш сайт развитый и имеет сотни и тысячи страниц, метод ручного поиска не подойдет, потому что такая задача не из простых. Если файлов и различных скриптов на сайте очень много, и проверить их вручную слишком накладно, не стоит отчаиваться, потому что выход есть. Можно использовать встроенные средства поиска и утилиты операционной системы, которые помогут обнаружить файлы, которые содержат определенные участки кода, например, iframe и unescape. Подобный поиск лучше делать используя регулярные выражения, которые следует индивидуально настраивать для каждого конкретного заражения.

В итоге Вам будет предоставлен список нужных файлов с подозрительными участками кода, которые останется только проверить и в случае необходимости исправить.

Но помните, если файл содержит вставку iframe, это еще не доказывает то, что это вирус. Поэтому лечите файлы очень аккуратно и максимально внимательно.