Вітаю вас, шановні читачі блогу firstprize.ru. У цій статті я наочно покажу і розкажу вам зі свого особистого досвіду, як перевірити свій сайт на вірусний онлайн, а також як його вилікувати (видалити вірусний код).
Але раз таки ви вже читаєте цей пост, то значить, що швидше за все вам вони вже не знадобляться, і вам потрібно якомога швидше вилікувати свій сайт поки Яндекс не подарував йому вічний бан (а він це любить, вже повірте). Отже, щоб не з'явилася плутанина, почнемо по порядку, що й до чого потрібно робити, щоб вилікувати свій сайт від вірусів.
Якщо у вас і правда заражений сайт вірусним кодом, то ви точно зустрінетеся з багатьма фактами викладеними нижче.
- До вас прийшов лист від Яндекса. У листі говориться, що у вас знайшли 5-10 сторінок заражених вірусом, але по правді це весь сайт заражений, просто Яндекс трохи тупить в цій справі. Відразу хочу сказати, що не треба лізти на свій сайт і видаляти, мовляв, заражені сторінки, так як скоро вам прийде той же самий лист, але тільки вже з іншими адресами сторінок.
- У вас пропала кудись половина ваших відвідувачів. При перегляді статистики ви можете трохи дивуватися, чому з Яндекса або Google практично немає переходів на сайт, незважаючи на те, що він займає хороші позиції. Вся вина в цьому.
Як бачите з скріншоту, Яндекс попереджає користувачів про зараження сайту і не дає їм на нього перейти.
- При переході на ваш сайт ви помічаєте, що він став повільніше, ніж колись. Звичайно, може це просто інтернет глючить, але швидше за все, це скрипт вірусу, який робить редирект (перекидання відвідувачів на інший сайт). Вас, звичайно ж, нікуди перекидати не буде, так як хакери люди хитрі і, як правило, вже знають хто власник сайту, ну точніше скрипт вірусу знає, який аналізує всі дані. Коротше кажучи, у шкідливий код вірусу прописано, щоб перекидати всіх відвідувачів, крім того у кого IP комп'ютера, наприклад 158.152.0.0 (тобто вашого).
- При відкриття сайту ваш антивирусник і багатьох інших ваших відвідувачів починають давати тривогу. В кінцевому рахунку, ви починаєте отримувати гору коментарів або листів, де багато невдоволено починають відписуватися на вашу адресу за спробу заразити їх комп'ютер.
Звичайно, є ще й інші дрібні фактори, але це найосновніші, які ви навряд чи пропустите. Ну а якщо ви все ще сумніваєтеся в зараженні свого сайту, то рекомендую перевірити його додатково на різних онлайн сервісах.
В інтернеті існує досить багато онлайн сервісів, які тільки і можуть сказати, що ваш сайт заражений шкідливим кодом, але в той же час вони не здатні його вилікувати, а багато хто навіть показати, що за вірус і в яких файлах. В іншому 90% з тих сайтів, що наведені трохи нижче абсолютно марні крім останнього. Якщо хочете знати, чому я так думаю, то читайте трохи нижче під заголовком «Моя історія як я вилікував свій сайт на движку WordPress від вірусного коду.».
А ось самі сервіси: taghosting.ru , antivirus-alarm.ru , vms.drweb.com , virustotal.com , error-bank.com , urlvoid.com , 2ip.ru , xseo.in , sitecheck.sucuri.net
Як видалити вірусний код з зараженого сайту?
Увага! Перед тим як що-небудь зробити з того, що написано трохи нижче, прочитайте статтю повністю, щоб уникнути помилок.
1) Перше, що вам потрібно зробити - це зайти в панель сайту вашого хостера і поміняти паролі від FTP клієнта, бази даних MySQL. Якщо не знаєте, як це зробити просто напишіть вашого хостера і вони зроблять все це за вас (якщо ввічливо попросити). Ви напевно думаю зараз: навіщо мені міняти всі ці дані? Мені ж вірус треба видалити з сайту, а не в налаштуваннях колупатися.
Все вірно, але справа в тому, що якщо ви навіть і видаліть вірус, він через 5 хвилин повернеться назад, так як хакери знають паролі до вашого FTP з'єднання з сайтом і в автоматичному режимі до нескінченності завантажують вірус на ваш сайт. Вся суть в тому, що скільки б ви не видаляли вірус, все це буде марно.
2) Також рекомендую поміняти паролі від адмікі вашого сайту і пошти, куди можуть приходити дані від сайту. Втім ця процедура не обов'язкова і вона ніяк не пов'язана з лікуванням сайту від вірусу, але в будь-якому випадку після зараження сайту шкідливим кодом він міг передати потрібні дані хакерам, які згодом можуть у майбутньому зайти на ваш сайт, як до себе до рідного дому.
3) Після виконаної процедури вище рекомендую відразу ж перевірити свій комп'ютер будь-яким антивірусником а краще двома. Найкращою програмою в цій справі вважається Dr.Web, завантажити можете тут . Ок, потім тим же антивірусником перевірте і ваш сайт через FTP клієнт .
4) Якщо ви перевірили весь свій сайт, але так і не змогли знайти вірус, рекомендую просто перезаліть бекап сайту (Стара копія сайту), якщо він у вас є. Якщо ж ні, то вам треба просто звернутися до вашого хостера з проханням відкотити сайт (перезаписати стару версію сайту на нову). Якщо у вас хороший хостинг, то вони зобов'язані робити резервну копію сайту кожен місяць. До речі, якщо у вас такий же хостинг, що і мене mchost.ru , То вам треба просто зайти в лівому нижньому меню в «управління послугами» в «резервні копії» і натиснути на «створити заявку на відновлення». До речі, зауважте, що в цій же вкладці ви можете зробити бекап сайту, на той випадок, якщо з вашим сайтом що-небудь трапиться.
Тут хочу вас ще про дещо попередити. Як ви зрозуміли, ваш сайт просто перезапишуть і всі ті зміни, які ви робили до цього, зникнуть. Тобто сам вірус, але так само і ті статті, які ви опублікували, файли які закачали і т.д. так що будьте обережні і спочатку зробіть бекап зараженого сайту, щоб потім з нього дістати все те, що може пропасти при перезапису.
Також після цього у вас може перестати відкриватися сайт. Це пов'язано не з тієї причини, що ви його угробили, а з тим, що ви раніше поміняли паролі від FTP клієнта, бази даних MySQL, але в старій версії сайту, яку вам перезаліт, вказані старі дані. Щоб сайт знову запрацював вам треба просто поміняти старі дані в файлах сайту на нові.
5) Якщо ж ви боїтеся робити бекап сайту, то можна поступити трохи по-іншому. По суті, якщо у вас сайт працює на якомусь движку: WordPress , Joomla, Drupal, то можна завантажити заново свій движок і все плагіни , Які стоять у вас, і перезаліть їх поверх старих в тому ж FTP клієнта. Але тут також потрібно знати, що ті файли, які ви міняли в движку, колись зміняться і вам знову їх доведеться вправляти. Якщо ви не впевнені, що все пройде гладко і що-небудь не полетить, краще залиште цю справу.
6) Ок, а тепер я розповім вам напевно найлегший, але трохи тоскний спосіб, як позбутися від вірусу на сайті за 5 хвилин. Для початку треба зрозуміти, де вірусний код може ховатися. Найчастіше це будуть файли index.php, htaccess, які лежать в корені вашого сайту (через FTP в папці httpdocs або public_html, www, domains). Відкривши їх, перевірте, що в кінці їх не прописаний ось приблизно такий ось скрипт вірусу, який починається з тега <iframe> або <script>.
Приклад: <iframe src = "http: // ****** /" width = 1 height = 1 iframe <\ iframe>
Також цей код може бути зашифрований в кодуванні base64_decode і виглядати приблизно ось так.
Якщо ви переглянули ці файли, але не знайшли нічого подібного, то також перевірте кілька інших файлів вашого сайту з дозволом php і JS. Як знайдете вірусний код - видаліть його, потім виконайте, ту ж процедуру з усіма файлами того ж дозволу, в якому і був виявлений вірус.
Тут деякі можуть вигукнути: легко сказати, у мене таких ось файлів під кілька тисяч на сайті і все вручну видаляти просто нудьга смертна. Так повністю з вами згоден, поетом скачати цей ось архів , Розпаковуємо його, заливаємо файл скрипта в корінь сайт (через FTP в папці httpdocs або public_html, www, domains) і в браузері вводимо таку ось рядок http: // ім'я сайту / replace.php? Pas = joomla.
Перед вами з'явиться форма скрипта куди потрібно буде вставити раніше знайдений шкідливий код і просто натиснути на кнопку шукати замінити. Зауважте, що в другу форму ми нічого не прописували, тому код вірусу буде мінятися не на що, тобто віддалятися. До речі, якщо що, даний скрипт працює на всіх відомих двигунах і сайтах, а не тільки на Joomla.
7) Що робити, якщо вірус повернувся знову? Буває така ситуація що вірус перезаписується НЕ через FTP клієнт від якого ми поміняли паролі, а від скрипта, який їх генерує. Щоб його знайти, доведеться дуже постаратися. Рекомендую почати з папки images, де зберігаються всі ваші картинки сайту. Зловмисники напевно знали, що їх файл можуть знайти, тому закачали вірус саме в те місце, де його, швидше за все, не будуть шукати.
8) Гуд, ось ми і підійшли до фіналу. Думаю, ви вже видалив вірус і вас більше не турбує ця проблема, але з чого ви взяли, що вона не з'явиться знову? Щоб таке більше не повторилося, запам'ятайте раз і назавжди, що паролі підключення до сайту в FTP клієнті можна зберігати! Також і паролі в браузері теж. Завжди ці дані вводите вручну, як би лінь вам не було.
На закінчення, на всякий пожежний, можете ще обмежити доступ до свого FTP клієнту через файл ftpaccess, який лежить в корені вашого сайту. У ньому треба буде прописати свій IP комп'ютера. приклад:
Allow from xx.xx.xx.xx
Allow from xx.xx.xx.xx
Deny from all.
Де xx.xx.xx.xx - де це ваш IP комп'ютера, з якого надасть дозвіл на з'єднання з FTP. Також, якщо у вас динамічні адреси (IP), то можна вказати діапазон адрес, з якого видаються IP-адреси вашим інтернет-провайдером.
приклад:
Allow 212.32.5.0/26
Allow 158.152.0.0/16
Deny from all.
Це досить добре звузить доступ до вашого FTP клієнта з інших IP, які не потрапляють в даний відрізок адрес.
Моя історія як я вилікував свій сайт на движку WordPress від вірусного коду.
Дана неприємна новина для мене сталася в далекому 2012р. Тоді я взагалі не знав, що такі віруси бувають і як їх можна видалити з блогу. Пам'ятаю, тоді відразу ж поміняв паролі від усього, чого тільки можна було, і пішов на один з найбільш розкручених SEO-форумів, і створив там тему з даної проблеми. Мені швидко підказали хороший онлайн сервіс sitecheck.sucuri.net, який на відміну від інших показує в яких файлах знаходиться шкідливий код.
Почав я коротше вручну все це чистити, десь по 400 файлів пройшовся з дозволом JS, де в кожному був в кінці дивний кодований код на цілий кілометр в одному рядку. Після цього пішов я знову перевіряти свій сайт на тому ж онлайн сервісі, видав він мені, що блог досі заражений.
Подивившись на дані, зрозумів, що пропустив один заражений файл, знайшов його і почистив, знову перевірив, на цьому все і закінчилося. Ось так я позбувся вірусу. Після цього відразу ж написав в службу підтримки Яндекс, щоб вони там не гальмували і зняли це попередження з мого сайту.
Що ж тепер-то ви як і я теж знаєте як перевірити і видалити вірус зі свого сайту, так що ви навряд чи коли-небудь знову зіткнетеся з цією проблемою.
Як видалити вірусний код з зараженого сайту?Ви напевно думаю зараз: навіщо мені міняти всі ці дані?
Php?
Що робити, якщо вірус повернувся знову?
Думаю, ви вже видалив вірус і вас більше не турбує ця проблема, але з чого ви взяли, що вона не з'явиться знову?
