Проверить сайт на вредоносный код - Антикризисные новости
S-p.su

Антикризисные новости
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Проверить сайт на вредоносный код

Вирусы на сайте: проверка сайта на вирусы, удаление вредоносного кода, защита сайта от вирусов

На ваш сайт попала какая-то гадость? Наверное, заразили его через клавиатуру. Не помыли руки после улицы, и сразу пошли на сайт. Теперь придется заняться восстановлением его здоровья. Ладно, вот вам подробно описанный курс, по которому можно проверить сайт на вирусы и вылечить его.

Как проверить сайт на вирусы

На самом деле заражение происходит не через грязные руки ( хотя мыть их надо ). Все происходит немного сложнее. Вот несколько путей, как можно заразить сайт вирусом:

  • Взлом административной части – « замок входной двери » был взломан или умело подобран ключ. Это значит, что логин и пароль для авторизации в админке был настолько прост, что его смогли подобрать с помощью специальных программ-взломщиков. Теперь нужно думать, как вылечить сайт от вирусов.

  • Данные для аутентификации были похищены с локальной машины – с домашнего ПК владельца сайта были похищены логин и пароль. Скорее всего, на этом компьютере не было установлено антивирусное программное обеспечение. В таком случае нужна не только проверка сайта на вирусы, но и « дезинфекция » компьютера его владельца;
  • Вирус распространился с зараженного компьютера – вирусная программа перекочевала на сайт с инфицированного локального компьютера;
  • Аутентификационные данные были перехвачены через открытую беспроводную сеть ( кафе, вокзал );
  • Повышенная уязвимость CMS ( системы управления контентом ), на которой развернут портал – этим страдают самые популярные движки. Чем больше популярна и растиражирована CMS, тем ее уязвимость выше и тем больше времени займет удаление вирусов с сайта.

Для латания « дыр » в системе безопасности и защиты сайта от вирусов производители движков периодически выпускают пакеты обновлений и новые версии своего продукта.

Но этим дело не ограничивается. Ведь пользователи, заходящие на зараженный сайт, в большинстве случаев также инфицируют свои компьютеры.

Передача вируса на компьютер пользователя происходит через кэш. В нем браузер временно сохраняет наиболее « тяжелые » элементы веб-страницы, чтобы ускорить время загрузки при следующем сеансе.

Если сайт становится источником вирусного заражения, то это равносильно впадению портала в « кому ». Постоянные посетители открестятся от ресурса навсегда, или, по крайней мере, надолго. А поток новых пользователей просто иссякнет. Значит, пришло время провести лечение сайта от вирусов.

Диагностика сайта на наличие вирусов

Перед началом лечения следует провести тщательную диагностику ресурса на наличие « инфекции ». Если объем файлов не сильно большой, то поиск вирусов на сайте можно осуществить самостоятельно. Для этого нужно внимательно просмотреть его код.

Чаще всего заражение сайта происходит тремя видами вирусов:

  • В виде кода JavaScript , подключающего удаленный файл с вирусным скриптом.
  • Фрейма ( ), содержащего в себе ссылку на инфицированный ресурс.
  • Баннерной кнопки, объединяющей в себе оба предыдущих вида:


Найдя подобный код и удалив его, можно убрать вирус с сайта.

Если объем портала большой, и просмотреть его визуально невозможно, то лучше применить другой подход. Для таких ресурсов нужно использовать специальные веб-сервисы, которые легко найти через поисковую систему. Они позволяют произвести онлайн проверку сайта на вирусы. Их интерфейс обладает схожим функционалом:


Но перед тем как найти вирус на сайте, нужно выбрать вариант доступа к ресурсу. Можно указать URL адрес или загрузить его файлы через специальную форму.

Читать еще:  Через какой сайт можно оплатить налоги

Диагностику ресурса также можно произвести с помощью функционала, предоставляемого владельцам сайтов и вебмастерам несколькими популярными поисковиками.

Чтобы проверить сайт на вирусы Яндексом, сначала нужно зарегистрироваться . Затем на странице « Мои сайты » добавить адрес ресурса и подтвердить права на него. Антивирусная проверка начнется только на третьем шаге:

Лечение сайта от вирусов

К сожалению, проверка сайта на вирусы Яндексом не включает в себя его лечение и восстановление. Она позволяет лишь выявить зараженные файлы и вирусный код в них.

Самостоятельный анализ и удаление вирусов со страниц сайта возможно лишь при условии наличия хотя бы минимальных знаний основ html и JavaScript . Иначе такая чистка сайтов от вирусов может привести к плачевным последствиям.

Так что перед тем, как удалить вирус с сайта самостоятельно, убедитесь, что это не программный код самого портала. Если же вы не уверены в своих силах, то лечение и восстановление сайта лучше доверить профессионалам.

Как защитить сайт от вирусов

Вот несколько основных принципов, которые подскажут, как защитить сайт от вирусов:

  • Для авторизации на сайте не используйте слишком простых паролей и логинов;
  • Установите на своем компьютере надежный антивирус;
  • Не забывайте ежедневно обновлять антивирусные базы;
  • Своевременно обновляйте программное обеспечение сайта до актуальной версии – чем новее версия движка, тем выше уровень его безопасности;
  • При авторизации на сайте не стоит вводить логин и пароль с клавиатуры – их можно легко считать с помощью специальных программ-шпионов. Лучше всего вставлять данные простым копированием из текстового файла;
  • При выборе хостинга для сайта убедитесь, что хостер обеспечивает резервное копирование. Это позволит восстановить работу ресурса путем отката его состояния на более ранний срок, предшествующий дате заражения;
  • Если у хостинг-провайдера реализована такая возможность, то следует отключать доступ к FTP, когда он не нужен. Большая часть вирусов на сайт попадает через этот протокол.

Вирусы на сайте обходятся дорого

Восстановление работоспособности сайта после инфицирования может обойтись очень дорого. И все потому, что ранее владелец не вложил достаточно сил и средств в обеспечение безопасности. Так что на безопасности сайта экономить нельзя.

Проверить сайт на вредоносный код

чт, 11/21/2019 — 12:00

Я администрирую сайты с 2012 года. Специализируюсь на безопасности: удаляю вредоносные скрипты, устраняю уязвимости. Лечил как небольшие блоги, так и крупные интернет-магазины. Сегодня поделюсь инструментами, с помощью которых проверяю сайт на вирусы и удаляю их.

Эта статья не для новичков: понадобится знание основ HTML, PHP и JS, а также умение работать в консоли.

Что такое вирусы и как они попадают на сайт

Вирус — это вредоносный код. Он меняет внешний вид сайта, размещает рекламу, отправляет посетителей на другой сайт, даёт мошенникам доступ к сайту, использует ресурсы хостинга для майнинга или других вычислений.

На сайте вирус, если:

  1. На страницах появился контент, который владелец не добавлял.
  2. Сайт стал работать медленнее.
  3. При переходе на него пользователи видят другой ресурс.
  4. Упала посещаемость из поиска.
  5. На хостинге появились новые папки.

Вирусы попадают на сайт через уязвимый код или расширения, вследствие неправильных настроек хостинга, атаки с подбором пароля, заражения хостинга или компьютера.

Когда на сайт попадают вирусы, репутация владельца, трафик из поиска и доходы с сайта оказываются под угрозой. Чтобы вылечить сайт от вируса, сначала надо убедиться в заражении, а потом найти и удалить вредоносный код. После этого — защитить проект от будущих атак. Ниже расскажу о каждом этапе.

Читать еще:  Покупка шаблона сайта

Убедиться в заражении

Если есть подозрение на вирус, но уверенности нет, надо убедиться в заражении. Для этого я проверяю сайт через онлайн-сканеры, а также в нескольких браузерах и поисковиках.

Проверка сайта на вирусы через онлайн-сканеры

Онлайн-сканеры помогают быстро найти вредоносный код, но я никогда не полагаюсь только на них: не все вирусы можно найти автоматически. Вот несколько сервисов:

Dr.Web иногда не находит вредоносные скрипты; это больше компьютерный сканер, чем сканер для анализа вирусов на сайте.

Поведение в разных браузерах и на разных устройствах

Один из признаков заражения — редирект. Это когда при переходе на ваш сайт пользователи видят другой ресурс. Заражённый сайт с компьютера может открываться нормально, а с телефона посетителей будет перекидывать на фишинговую страницу или страницу с мобильными подписками. Или наоборот.

Поэтому нужно проверять поведение сайта в разных браузерах, операционных системах и мобильных устройствах.

Вид в поиске

Поисковые системы автоматически проверяют сайты на вирусы. Заражённые ресурсы они помечают серым цветом и подписью с предупреждением.

Чтобы проверить свой сайт, введите адрес в поисковую строку Яндекса или Google. Если увидите предупреждение, значит, сайт заражён. Посмотрите вердикты и цепочки возможных заражений.

Способ не универсальный! Поисковые системы находят вредоносный код не сразу. Кроме того, вирус можно научить проверять источник запроса и прятаться от поисковиков. Если такой вирус увидит запрос из поисковой системы, скрипты не отработают — поисковая система не увидит подвоха.

Количество страниц в поисковой выдаче

Еще один вид вируса — дорвеи. Они встраивают на сайт свой контент.

Чтобы проверить сайт на дорвеи, снова используйте поиск. Введите запрос site:mysite.com и пересмотрите все результаты поиска. Если найдёте страницы, которые не соответствуют тематике вашего сайта, — это дорвеи.

Найти и удалить зловредов

Когда в заражении нет сомнений, вредоносный код надо найти и удалить. Основная проблема — найти. Я просматриваю файлы сайта вручную, а также использую консоль.

Проанализировать HTML и JS-скрипты

Вредоносные скрипты часто добавляют в исходный код сайта (в браузере нажите Сtrl+U). Проверьте его на наличие посторонних JS-скриптов, iframe-вставок и спам-ссылок. Если найдёте — удалите.

Проверьте все JS-скрипты, которые подключаются во время загрузки страницы, нет ли в них посторонних вставок. Обычно их прописывают в начале и в конце JS-скрипта.

Все посторонние вставки удалите.

Бывает, что разобраться в коде сложно или он обфусцирован. Тогда сравните содержимое скрипта на сайте с оригинальным файлом из архива системы управления, плагина или шаблона.

Действительно, не всегда вредоносный скрипт — это отдельно подключенный файл, часто модифицируют один из существующих файлов. Если код обфусцирован, понять его не удастся. В таком случае стоит выяснить, в каком файле он находится.

Если это часть CMS, то надо проверить оригинальное содержимое такого файла, выгрузив архив с CMS такой же версии и сравнив содержимое этого файла.

Если файл самописный, т. е. не относится к компоненту CMS, то лучше обратиться к разработчику. Скорее всего он знает, что писал он, а что мог добавить зловред. В таком случае оригинальное содержимое можно заменить из бекапа.

Читать еще:  Как найти свой сайт в поисковике яндекс

Ростислав Воробьёв, сотрудник техподдержки ISPsystem

Проверить дату изменения файлов и папок

Если известно, когда взломали сайт, то вредоносный код можно найти по всем файлам, что были изменены с тех пор.

Например, взлом произошел несколько дней назад, тогда для вывода всех PHP-скриптов, которые были изменены за последние 7 дней, нужно использовать команду: find . –name ‘*.ph*’ –mtime -7

После выполнения команды нужно проанализировать найденные PHP-скрипты на возможные вредоносные вставки.

Это действительно помогает уменьшить список подозреваемых PHP-файлов, которые могут содержать зловредов. Однако не всегда зловреды в PHP-файлах. Немного модифицировав .htaccess файл, можно создать файл с разрешением .jpg, в нём разместить PHP-код и веб-сервер будет исполнять его как обычный PHP, но с виду это будет картинка — пример реализации.

Ростислав Воробьёв

Проанализировать директории upload/backup/log/image/tmp

Директории upload/backup/log/image/tmp потенциально опасны, так как обычно они открыты на запись. В большинстве случаев именно в них заливают shell-скрипты, через которые потом заражают файлы сайта и базу данных. Такие директории нужно проверять на возможные вредоносные PHP-скрипты.

Например, каталог upload можно проверить командой: find /upload/ -type f -name ‘*.ph*’

Она покажет все PHP-файлы в каталоге upload.

После анализа заражённые файлы можно удалить вручную или командой: find /upload/ -name ‘*.php*’ -exec rm ‘<>‘ ;

Найти файлы и папки с нестандартными именами

Откройте каталог сайта. Найдите файлы и папки с нестандартными именами и подозрительным содержимым, удалите их.

Тут нужно понимать, что значит нестандартные имена. Если вы уверены, что директория или файл были созданы не вами, а название уж очень не похоже на то, что могла сделать CMS или плагин, то можно удалить. Но лучше сделать копию файлов, удалить, проверить, что на сайте ничего не сломалось. Стоит проверить бекапы за пару дней до заражения, если это зловред, то в вашем бэкапе таких файлов или директорий не будет.

Ростислав Воробьёв

Найти много PHP или HTML-файлов в одной директории

Все папки на хостинге нужно проверить на множественные php и html файлы в одной директории, сделать это можно командой:

find ./ -mindepth 2 -type f -name ‘*.php’ | cut -d/ -f2 | sort | uniq -c | sort –nr

После выполнения команды на экране отобразится список каталогов и количество PHP-файлов в каждом из них. Если в каком-то каталоге будет подозрительно много файлов, проверьте их.

Найти вирусные скрипты по содержимому

Быстро проверить сайт на вирусные скрипты можно командой:

find ./ -type f -name «*.php» -exec grep -i -H «wso shell|Backdoor|Shell|base64_decode|str_rot13|gzuncompress|gzinflate|strrev|killall|navigator.userAgent.match|mysql_safe|UdpFlood|40,101,115,110,98,114,105,110|msg=@gzinflate|sql2_safe|NlOThmMjgyODM0NjkyODdiYT|6POkiojiO7iY3ns1rn8|var vst = String.fromCharCode|c999sh|request12.php|auth_pass|shell_exec|FilesMan|passthru|system|passwd|mkdir|chmod|mkdir|md5=|e2aa4e|file_get_contents|eval|stripslashes|fsockopen|pfsockopen|base64_files» <> ;

Либо можно использовать grep без find.

grep -R -i -H -E «wso shell|Backdoor|Shell|base64_decode|str_rot13|gzuncompress|gzinflate|strrev|killall|navigator.userAgent.match|mysql_safe|UdpFlood|40,101,115,110,98,114,105,110|msg=@gzinflate|sql2_safe|NlOThmMjgyODM0NjkyODdiYT|6POkiojiO7iY3ns1rn8|var vst = String.fromCharCode|c999sh|request12.php|auth_pass|shell_exec|FilesMan|passthru|system|passwd|mkdir|chmod|md5=|e2aa4e|file_get_contents|eval|stripslashes|fsockopen|pfsockopen|base64_files» ./

Эти команды выполнят поиск вредоносного кода в файлах текущего каталога. Они ищут файлы рекурсивно, от того каталога, в котором запущены.

Совпадений будет много, большинство найденных файлов не будут зловредами, так как модули CMS тоже используют эти функции.

В любом случае, проанализируйте найденные PHP-скрипты на возможные вредоносные вставки. Перед удалением файла обязательно посмотрите его содержимое.

Проверить базу данных

Часто во время взлома и заражения сайта вредоносный код добавляют в базу данных. Для быстрой проверки базы данных на вирусы нужно зайти в phpmyadmin и через поиск ввести по очереди запросы

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector