Як знайти вірус? Що робити, якщо сайт потрапив під фільтр пошукача, а браузери видають табличку-попередження? Що робити якщо антивірус почав реагувати на завантаження сторінки? Відповіді на ці питання ми і постараємося знайти.
Розглянемо методи виявлення, варіанти зараження, способи запобігання, а так же спробуємо навчитися самостійно знаходити, видаляти і не допускати в подальшому
Звідки і як можуть з'явитися віруси на сторінках
1. Сам власник в пошуках скриптів назбирав по інтернету, і все що зібрав неглядя оптом вставив на сторінки ресурсу
2. Або сам власник або журналісти або ті у кого є доступ до додавання матеріалів і дозвіл на HTML теги, могли занести в HTML середу матеріалу шкідливий код. Буває це через злі наміри (особливо, якщо є спокуса у вигляді дозволеного HTML). А буває по необережності. Найчастіше трапляється при копіюванні і вставці через візуальний редактор тексту або матеріалу, куди міг бути вставлений шкідливий код у вигляді IFRAME з параметрами width * = "0" і height * = "0" або position *: absolute; display *: none
3. Перехоплення управлінням сайту або викрадення. У цьому випадку можливо все. Якщо паролі "витекли" то можливі два варіанти: або повний викрадення, або просто зараження сторінок і приховане управління
4. Заражений браузер або власника чи журналістів або осіб, які мають доступ до коду або до середовищі HTML при правці або додаванні матеріалів або до FTP. У таких випадках при будь-яких поправках з дозволом HTML заражений браузер може "дописувати" шкідливий код в матеріали або повідомлення або в HTML код сторінок
5. Партнерські, банерообмінні мережі, тізеркі та інші об'єкти з обміну трафіком. Не завжди власник в своєму бажанні заробити і розкрутити ресурс, за рахунок сумнівного обміну трафіком, буває розбірливий. Якщо ви пропускаєте через свій сайт чужий трафік або відкручує чужі банери або посилання, то будьте морально готові до того, що серед того що ви пропускаєте можуть бути заражені об'єкти. Таке часто трапляється з партнерками з поганою модерацією і з не дуже жорстким відбором ресурсів.
6. Права користувачів. Ясно уже, що права на HTML додавання / редагування роздавати не варто, особливо не варто допускати нікого до коду. Але в зв'язку з новими реаліями, коли пошуковики з особі GOOGLE і Яндекса стали боротися з зараженими ресурсами в інтернеті, і можуть заблокувати весь сайт за наявність в коді або в контенті однієї єдиної картинки довантажувати з зараженого хоста або посилання на заражений сайт, то варто переглянути політику прав користувачів. А саме: не дозволяти активні посилання, забороняти бі-бі коди IMG і URL.
В ідеалі всі скрипти і вся графіка повинні бути залиті на ваш сайт і ви не в якому разі не повинні довантажувати javascript, а так само будь-які флеш ролики або об'єкти зі сторонніх ресурсів. Доступ до FTP і файлів повинні бути тільки в однієї людини. Паролі від FTP і від адмінки не повинні зберігатися ні в браузерах ні в програмах FTP. В таких умовах пошук вірусу полегшується. Права користувачів повинні бути урізані
На сторінці в ідеалі не повинно бути IFRAME і javascript з чужими адресами, і особливо з параметрами width * = "0" і height * = "0" і position *: absolute; display *: none
А так само не повинно бути закодованого коду!
У таких ідеальних випадках, коли всі скрипти і графіка мають внутрішні адреси, коли права користувачів урізані нам залишається завдання знайти скрипти або IFRAME із зовнішніми адресами або закодовані скрипти і видалити їх.
Так само перевіряємо лічильники. Якщо в html з'явився сторонній лічильник (код з коментарями будь-якого лічильника) або видозмінився сторонній вставлений вами, то його потрібно або видалити або змінити на код, який видавався сервісом статистики. В особистому кабінеті або в профілі статистики завжди можна звірити код.
Перевіряємо файл htaccess на наявність перенаправлень на сторонні адреси.
Так само при відсутності в коді сторонніх скриптів, але при наявності банерних мереж, тізерок і інших партнерок по обміну трафіком, за умови, що антивіруси користувачів або ваш антивірус наполегливо Аллерт на на будь-яку локальну сторінку. В такому випадку доведеться тимчасово видалити код банерообміну тізеркі і обмін трафіком, очистити кеш, тимчасові файли інтернету і зайти на сайт знову. В такому випадку антивірус повинен прімолкнуть, а ви повинні розбиратися зі своїми партнерками.
Як зрозуміти, що сайт заражений?
1) Якщо при спробі зайти на свій сайт вас перекидає на невідомий адреса
2) При завантаженні сторінки з'являються сторонні спливаючі вікна
3) При переході по внутрішнім сторінкам вискакує чужорідне вікно і проводиться спроба закачування файлу на комп'ютер
4) Якщо ваш антивірус почав реагувати на кожну зі сторінок
5) Якщо з'явилася стороння реклама, яку ви не ставили
6) Якщо при спробі зайти на сайт замість контенту ми бачимо табличку - попередження про те, що ресурс заражений (дійсно для користувачів Google Chrome, Mozilla Firefox і Opera. Для перших двох браузерів табличка означає, що Google позначив як шкідливий. Для Opera означає, що Яндекс позначив як шкідливий або шахрайський)
7) При заході на будь-яку сторінку автоматично відкривається величезна кількість вікон
Сайт позначений як шкідливий Яндексом або Google
Блокування адреси як шкідливого або що може завдати шкоди комп'ютеру та у Яндекса і у Google відбувається за допомогою вікна - заглушки в якому власне і знаходиться попередження. Детальніше про пошукової захисту. Google видає більш повну інформацію про блокування вказуючи шкідливі хости, а так само видає інформацію про те, коли Google останній раз здійснював перевірку і час виявлення шкідливого коду. Яндекс видає малоінформативне вікно з попередженням. В обох випадках в вебмайстрів і Google і Яндекса можна дізнатися більш детальну інформацію у вкладці безпеку. Якщо з'явилося вікно - заглушка з попередженням, то у видачі пошуку ваш сайт буде позначений як шкідливий спеціальним попередженням.
Якщо отримали подібний фільтр з попередженнями, то ваше завдання якомога швидше позбутися від шкідливого коду. По-перше у видачі позначений адресу як шкідливий не додасть вам користувачів. А по-друге, якщо пропустити другий обхід робота з перевіркою, то навіть у разі повного очищення таблічка- заглушка може провисеть досить довго, так як частота обходу при невидаленого причин блокування помітно знижується, а саме вдвічі.
Як запобігти появі вірусу
1) Ніколи не довантажувати javascript зі сторонніх адрес. Така конструкція небезпечна !!! <Script type = "text / javascript" src = "http: // зовнішній адрес.ru / test.js"> </ script> Скрипти підкачуємі з чужих адрес в будь-який момент можуть бути змінені або видалені.
2) Обережно шкідливий IFRAME! Така конструкція як правило в 99,9% випадків небезпечна і містить приховано підвантажуємий шкідливий код! <iframe src = "http: // зовнішній адрес.ru /" name = "iframe" width = "0%" height = "0%" scrolling = "no" frameBorder = 0> </ iframe>
3) Не займайтеся копіюванням контенту з чужих ресурсів в HTML середу і вставкою на свій!
4) Тримайте комп'ютер в чистоті і бійтеся Пінч
5) Пароль від FTP міняти перед кожним Конект, в програмах з'єднання по FTP паролі не тримати. Доступ до файлів і скриптів повинен бути тільки в однієї людини
6) Права користувачів повинні бути урізані. HTML користувачам не давати!
7) Партнерські з обміну трафіком, банерообмінні мережі і тізеркі повинні бути вами вибиратися дуже скрупульозно, і вибір повинен бути зупинений тільки на солідних сервісах з дуже жорсткою модерацією. Партнерки, куди приймають сайти з мінімальною кількістю хостів на добу повинні бути вами проігноровані
8) Запам'ятовуйте час і дату останньої зміни файлів. Індексні файли index.php і index.html перевіряйте в першу чергу
часткове або повне копіювання статті без прямого активного посилання на bcnjxybr категорично заборонено
Що робити якщо антивірус почав реагувати на завантаження сторінки?
Як зрозуміти, що сайт заражений?