Майстерклас: лікуємо сайт від вірусів і повертаємо трафік

1. Підозра на віруси
2. Видалення шкідливих файлів
3. Очищення сайту від вірусів
4. Перемога над вірусами
5. Як розпізнати і запобігти поширенню вірусу на сайті
6. Рекомендації, щоб не стати жертвою зловмисників

Чим сайту загрожують віруси? Не тільки зміною інформації або файлів. У більшості випадків страждає бізнес. Компанія майстерклас дізналася про проблеми з сайтом в першу чергу тому, що в 3 рази знизилася кількість заявок на ремонтні послуги! Замість 10 дзвінків в день надходили 1 - 3. Трафік на сайт знизився до мінімуму.

Якщо на вашому сайті проявляється сайтів із підозрілою активністю, описана в статті, рекомендуємо негайно звернутися до відділу супроводу сайтів до фахівців для проведення дослідження.

Підозра на віруси

Введення - Рекогносцирування

15 березня - початок історії. Клієнт помітив падіння трафіку і через кілька днів звернувся до нас.

Проблема видно неозброєним поглядом по Метриці. З початку березня відвідуваність сайту поповзла вниз.

Ми знайшли підтвердження проблеми в вебмайстрів - зниження числа проіндексованих сторінок в 4 рази. Трафік просів.

Уважно подивившись на сайт, виявили, що файл настройок адрес сторінок urlrewrite.php і конфігураційний файл .htaccess змінилися. Через це всі сторінки каталогу поміняли адреси. Пошуковик не встиг їх проіндексувати, а старі видалив.

Тривожним дзвінком було те, то при першій спробі змінити файл .htaccess, він через кілька хвилин повернувся до свого попереднього стану. Нагадую, ми грішили на хостинг, і цю проблему усунули налаштуванням прав доступу до .htaccess.

На той момент вирішили, що, можливо, клієнт або хостинг випадково поміняли настройки. Ми полагодили файли і відзвітували клієнту про результат.

Через кілька днів файл зламався знову, так само як і адреси сторінок.

Видалення шкідливих файлів

Перша спроба - Розмова дипломатів

1. Ми знайшли на сайті кілька підозрілих файлів, схожих на віруси, видалили їх. На скріншоті видно, що 3 березня на сайті 1С-Бітрікс з'явилася папка / wp-admin / (для непосвячених, так називається системний каталог платформи Wordpress;) Ми зрозуміли, що сайт був зламаний.
2. Поміняли всі паролі від хостингу, FTP, адмінки.
3. Файл robots.txt замінили на той, який був півроку тому (скопіювали з веб-архіву).
4. Оновили бітрікс до останньої версії.

Причина падіння трафіку і випадання сторінок з індексу.

У надрах сайту був спеціальний php-файл, який робив 2 речі:

1. «Обнуляє» robots.txt для того, щоб весь сайт був відкритий для індексації;
2. по GET-запитів до самого себе показував сторінку з текстом на корейському (або китайському) мовою, нашпиговану посиланнями на корейські ж (або китайські) сайти.

Усередині цей феномен ми назвали «суворе китайське SEO».

Так як сайт був відкритий для індексації, ці посилання потрапили в пошук. Власне, так і вдалося знайти цей файл - зі звіту «Зовнішні посилання» Яндекс.Вебмайстер. Яндекс порахував ці посилання спамом, почав знижувати позиції сайту. Це друга причина падіння трафіку.

Додатково, провели кілька «реанімують» SEO робіт:

1. зібрали невелике семантичне ядро і згрупували фрази за категоріями каталогу.
2. Перевірили і виправили всі рекомендації в Яндекс.Вебмастере, додали сайт в Search Console для прискорення індексації Google і повернення трафіку.
3. Знайшли існуючі 404-е помилки, склали список сторінок, віддали замовнику на виправлення.
4. Знайшли дублі META-інформації, налаштували шаблони для позначки за допомогою SEO-властивостей 1С-Бітрікс.

17 травня - продовження історії. Сайт перетворився в «абракадабру» - не застосовувалася вірна кодування, все кириличні символи відображалися "?". Одночасно техпідтримка хостингу повідомила про підозрілих розсилках з нашого сайту і заблокувала відправку пошти через php.

Вирішили звільнитися «малою кров'ю».

1. Знайшли останній робочий архів (робили після SEO-реанімації).
2. Розгорнули на піддомені, перевірили, працює.
3. Замінили сайти.

Якщо є підозра на вірус на сайті, рекомендуємо звернутися в наш відділ супроводу за послугою Технічний аудит сайту .

Минуло кілька днів, проблема повторилася. Цього разу вирішили провести ретельне дослідження.

Очищення сайту від вірусів

Артпідготовка - Застосували важку артилерію

Після сканування файлів сайту антивірусом AVG було виявлено 4 файлу вірусів-троянів.

Один з файлів відрізнявся розміром, після перевірки з'ясували, що цей файл потрапив на сайт в той же час, що і не заражені файли сайту. Ймовірно, цей файл був доданий ще в стару версію сайту. Решта 3 файлу були створені пізніше. Тобто, сайт довгий час був заражений, але це ніяк не виявлялося.

Звіт антивірусної програми

Вміст зараженого файлу

Далі виконали річний аналіз в папці / bitrix / admin і знайдено ще кілька файлів зі шкідливим кодом.

Виконали пошук по сайту по підрядками з вірусних файлів, але більше нічого не знайшли.

Заражені файли знаходилися в ядрі Бітрікс.

Версії виникнення вірусів:

1) в стару версію сайта кілька років тому був доданий (вручну або автоматично) файл /bitrix/admin/mobile/bitrixcloud_monitoring_ini.php який використовувався зловмисником для додавання інших файлів (для спаму, розсилки та ін.). Цей файл не є частиною ядра 1С-Бітрікс.

2) на сайті були форми з уразливістю і був некоректно налаштований модуль Проактивний захист - це призвело до того, що в різний час були автоматично впроваджені шкідливі файли.

Рішення:

1. просканували файли (AVG + Касперський) сайту на наявність вірусів;
2. вручну зробили аналіз деяких підозрілих файлів;
3. виконали пошук за підрядками із заражених файлів;
4. видалили всі знайдені файли з шкідливим кодом;
5. посилили безпеку сайту через настройки проактивного захисту;
6. перевірили всі файли tools.php, про який повідомив співробітник хостингу (джерело розсилки спаму):
   /bitrix/modules/catalog/general/tools.php і подібні.
7. розгорнули сайт з очищеної резервної копії.
8. Зачаїлися, стали чекати.

Минуло рівно 5 днів, проблема повторилася. Вірус (або зловмисник) кожен раз опинявся хитріший нас. Цього разу:

1) в файли index.php в початок додається include файлу з / upload, інклуд файл виду favicon- <випадкові символи> .ico

2) в файлі, що підключається після розшифровки виявився код завантаження вірусних плагінів через POST-запит.

У всіх змінених файлів дата зміни встановлюється в <= даний час, тому більшу частину заражених файлів ми знайшли командою bash (зміни 6 днів назад і раніше):

find ./ -mtime +6 -type f -printf '% TY-% Tm-% Td% TT% p \ n' | sort -r

Перемога над вірусами

Зачистка - висадили десант

1. Відновили сайт зі свіжої чистої резервної копії.
2. Поміняли всі паролі від всіх хостингів, адмінок, ітд.
3. Залишили тільки одного користувача в адмін, іншим обмежили доступ до структури.
4. Перевірили ядро ​​на наявність змін.
5. Видалили всі сторонні модулі.
6. Руками і очима перевірили всі підозрілі місця.

Сайт працює без проблем, попросили хостинг включити відправку пошти. Трафік вдалося утримати. Видихнули.

Як розпізнати і запобігти поширенню вірусу на сайті

1. Перевіряйте повідомлення хостингу. Вони допомагають знайти підозрілу активність на сайті.
2. Слідкуйте за числом проіндексованих сторінок, внутрішніх і зовнішніх посилань. При будь-якому різкій зміні досліджуйте причину.
3. Заведіть в вебмайстрів Яндекса список "важливих сторінок" і відстежуйте їх зміни.
4. Періодично перевіряйте повідомлення Вебмастера і Search Console.
5. Періодично перевіряйте сайт на шкідливий код онлайн-сканерами ( https://aw-snap.info/file-viewer/ , https://virustotal.com/ та ін.)
6. У корені сайту та інших папках з'являються файли з незрозумілими назвами, яких там раніше не було.

Рекомендації, щоб не стати жертвою зловмисників

1. Зберігайте паролі як зіницю ока на папірці під подушкою.
2. Оновлюйте платформу і завжди продовжуєте ліцензію 1С-Бітрікс.
3. Якщо даєте доступи фрілансерам або підрядникам, завжди заводите для них тимчасові паролі і обмежуйте доступ.
4. Зберігайте резервні копії окремо від сайту.

Більше рекомендацій в статті « Як ми лікуємо сайти від вірусів ».

Дякуємо Євгенія Молчанова (ТОВ "Майстерклас") за терпіння і участь в спільному вирішенні проблеми!

Оцініть статтю: