Майстерклас: лікуємо сайт від вірусів і повертаємо трафік

  1. Підозра на віруси
  2. Видалення шкідливих файлів
  3. Очищення сайту від вірусів
  4. Перемога над вірусами
  5. Як розпізнати і запобігти поширенню вірусу на сайті
  6. Рекомендації, щоб не стати жертвою зловмисників

Чим сайту загрожують віруси? Не тільки зміною інформації або файлів. У більшості випадків страждає бізнес. Компанія майстерклас дізналася про проблеми з сайтом в першу чергу тому, що в 3 рази знизилася кількість заявок на ремонтні послуги! Замість 10 дзвінків в день надходили 1 - 3. Трафік на сайт знизився до мінімуму.

Якщо на вашому сайті проявляється сайтів із підозрілою активністю, описана в статті, рекомендуємо негайно звернутися до відділу супроводу сайтів до фахівців для проведення дослідження.

Підозра на віруси

Введення - Рекогносцирування

15 березня - початок історії. Клієнт помітив падіння трафіку і через кілька днів звернувся до нас.

Проблема видно неозброєним поглядом по Метриці. З початку березня відвідуваність сайту поповзла вниз.

Ми знайшли підтвердження проблеми в вебмайстрів - зниження числа проіндексованих сторінок в 4 рази. Трафік просів.

Уважно подивившись на сайт, виявили, що файл настройок адрес сторінок urlrewrite.php і конфігураційний файл .htaccess змінилися. Через це всі сторінки каталогу поміняли адреси. Пошуковик не встиг їх проіндексувати, а старі видалив.

Тривожним дзвінком було те, то при першій спробі змінити файл .htaccess, він через кілька хвилин повернувся до свого попереднього стану. Нагадую, ми грішили на хостинг, і цю проблему усунули налаштуванням прав доступу до .htaccess.

На той момент вирішили, що, можливо, клієнт або хостинг випадково поміняли настройки. Ми полагодили файли і відзвітували клієнту про результат.

Ми полагодили файли і відзвітували клієнту про результат

Через кілька днів файл зламався знову, так само як і адреси сторінок.

Видалення шкідливих файлів

Перша спроба - Розмова дипломатів

  1. Ми знайшли на сайті кілька підозрілих файлів, схожих на віруси, видалили їх. На скріншоті видно, що 3 березня на сайті 1С-Бітрікс з'явилася папка / wp-admin / (для непосвячених, так називається системний каталог платформи Wordpress;) Ми зрозуміли, що сайт був зламаний.
  2. Поміняли всі паролі від хостингу, FTP, адмінки.
  3. Файл robots.txt замінили на той, який був півроку тому (скопіювали з веб-архіву).
  4. Оновили бітрікс до останньої версії.

Оновили бітрікс до останньої версії

Причина падіння трафіку і випадання сторінок з індексу.

У надрах сайту був спеціальний php-файл, який робив 2 речі:

  1. «Обнуляє» robots.txt для того, щоб весь сайт був відкритий для індексації;
  2. по GET-запитів до самого себе показував сторінку з текстом на корейському (або китайському) мовою, нашпиговану посиланнями на корейські ж (або китайські) сайти.

Усередині цей феномен ми назвали «суворе китайське SEO».

Так як сайт був відкритий для індексації, ці посилання потрапили в пошук. Власне, так і вдалося знайти цей файл - зі звіту «Зовнішні посилання» Яндекс.Вебмайстер. Яндекс порахував ці посилання спамом, почав знижувати позиції сайту. Це друга причина падіння трафіку.

Додатково, провели кілька «реанімують» SEO робіт:

  1. зібрали невелике семантичне ядро і згрупували фрази за категоріями каталогу.
  2. Перевірили і виправили всі рекомендації в Яндекс.Вебмастере, додали сайт в Search Console для прискорення індексації Google і повернення трафіку.
  3. Знайшли існуючі 404-е помилки, склали список сторінок, віддали замовнику на виправлення.
  4. Знайшли дублі META-інформації, налаштували шаблони для позначки за допомогою SEO-властивостей 1С-Бітрікс.

17 травня - продовження історії. Сайт перетворився в «абракадабру» - не застосовувалася вірна кодування, все кириличні символи відображалися "?". Одночасно техпідтримка хостингу повідомила про підозрілих розсилках з нашого сайту і заблокувала відправку пошти через php.

Вирішили звільнитися «малою кров'ю».

  1. Знайшли останній робочий архів (робили після SEO-реанімації).
  2. Розгорнули на піддомені, перевірили, працює.
  3. Замінили сайти.

Якщо є підозра на вірус на сайті, рекомендуємо звернутися в наш відділ супроводу за послугою Технічний аудит сайту .

Минуло кілька днів, проблема повторилася. Цього разу вирішили провести ретельне дослідження.

Очищення сайту від вірусів

Артпідготовка - Застосували важку артилерію

Після сканування файлів сайту антивірусом AVG було виявлено 4 файлу вірусів-троянів.

Один з файлів відрізнявся розміром, після перевірки з'ясували, що цей файл потрапив на сайт в той же час, що і не заражені файли сайту. Ймовірно, цей файл був доданий ще в стару версію сайту. Решта 3 файлу були створені пізніше. Тобто, сайт довгий час був заражений, але це ніяк не виявлялося.

Звіт антивірусної програми
Звіт антивірусної програми

Вміст зараженого файлу
Вміст зараженого файлу

Далі виконали річний аналіз в папці / bitrix / admin і знайдено ще кілька файлів зі шкідливим кодом.

Виконали пошук по сайту по підрядками з вірусних файлів, але більше нічого не знайшли.

Заражені файли знаходилися в ядрі Бітрікс
Заражені файли знаходилися в ядрі Бітрікс.

Версії виникнення вірусів:

1) в стару версію сайта кілька років тому був доданий (вручну або автоматично) файл /bitrix/admin/mobile/bitrixcloud_monitoring_ini.php який використовувався зловмисником для додавання інших файлів (для спаму, розсилки та ін.). Цей файл не є частиною ядра 1С-Бітрікс.

2) на сайті були форми з уразливістю і був некоректно налаштований модуль Проактивний захист - це призвело до того, що в різний час були автоматично впроваджені шкідливі файли.

Рішення:

  1. просканували файли (AVG + Касперський) сайту на наявність вірусів;
  2. вручну зробили аналіз деяких підозрілих файлів;
  3. виконали пошук за підрядками із заражених файлів;
  4. видалили всі знайдені файли з шкідливим кодом;
  5. посилили безпеку сайту через настройки проактивного захисту;
  6. перевірили всі файли tools.php, про який повідомив співробітник хостингу (джерело розсилки спаму):
    /bitrix/modules/catalog/general/tools.php і подібні.
  7. розгорнули сайт з очищеної резервної копії.
  8. Зачаїлися, стали чекати.

Минуло рівно 5 днів, проблема повторилася. Вірус (або зловмисник) кожен раз опинявся хитріший нас. Цього разу:

1) в файли index.php в початок додається include файлу з / upload, інклуд файл виду favicon- <випадкові символи> .ico

2) в файлі, що підключається після розшифровки виявився код завантаження вірусних плагінів через POST-запит.

У всіх змінених файлів дата зміни встановлюється в <= даний час, тому більшу частину заражених файлів ми знайшли командою bash (зміни 6 днів назад і раніше):

find ./ -mtime +6 -type f -printf '% TY-% Tm-% Td% TT% p \ n' | sort -r

Перемога над вірусами

Зачистка - висадили десант

  1. Відновили сайт зі свіжої чистої резервної копії.
  2. Поміняли всі паролі від всіх хостингів, адмінок, ітд.
  3. Залишили тільки одного користувача в адмін, іншим обмежили доступ до структури.
  4. Перевірили ядро ​​на наявність змін.
  5. Видалили всі сторонні модулі.
  6. Руками і очима перевірили всі підозрілі місця.

Сайт працює без проблем, попросили хостинг включити відправку пошти. Трафік вдалося утримати. Видихнули.

Як розпізнати і запобігти поширенню вірусу на сайті

  1. Перевіряйте повідомлення хостингу. Вони допомагають знайти підозрілу активність на сайті.
  2. Слідкуйте за числом проіндексованих сторінок, внутрішніх і зовнішніх посилань. При будь-якому різкій зміні досліджуйте причину.
  3. Заведіть в вебмайстрів Яндекса список "важливих сторінок" і відстежуйте їх зміни.
  4. Періодично перевіряйте повідомлення Вебмастера і Search Console.
  5. Періодично перевіряйте сайт на шкідливий код онлайн-сканерами ( https://aw-snap.info/file-viewer/ , https://virustotal.com/ та ін.)
  6. У корені сайту та інших папках з'являються файли з незрозумілими назвами, яких там раніше не було.

Рекомендації, щоб не стати жертвою зловмисників

  1. Зберігайте паролі як зіницю ока на папірці під подушкою.
  2. Оновлюйте платформу і завжди продовжуєте ліцензію 1С-Бітрікс.
  3. Якщо даєте доступи фрілансерам або підрядникам, завжди заводите для них тимчасові паролі і обмежуйте доступ.
  4. Зберігайте резервні копії окремо від сайту.

Більше рекомендацій в статті « Як ми лікуємо сайти від вірусів ».

Дякуємо Євгенія Молчанова (ТОВ "Майстерклас") за терпіння і участь в спільному вирішенні проблеми!

Оцініть статтю:

Сайт перетворився в «абракадабру» - не застосовувалася вірна кодування, все кириличні символи відображалися "?