Начнём по порядку, а именно с того,
как проверить сайт на вирусы и найти их.
Прежде всего необходимо заметить, что вред сайту могут нанести не только сами вирусы, как таковые, но и установленный на сайт код в зашифрованном виде, который обычно могут дешифровать быстроботы поисковых систем и известить об этом в панели Яндекс ВебМастер (к примеру) или, как бывает в выдаче Яндекса – появляется предупреждающая надпись, что сайт может представлять угрозу при посещении.
В наше время в Сети есть достаточно много онлайн сервисов для, если можно так сказать, первичной проверки сайта на вирусы. Самый известный и авторитетный из них - Онлайн-сканеры Dr.Web, также широко известен онлайн-сервис на сайте antivirus-alarm.ru. Но в ряде случаев, данный сервис, также как и аналогичные сервисы могут и не найти на сайте при сканировании так называемых «зловредов». Также на наличии на сайте «зловредов» оперативно реагируют и браузеры и антивирусные программы. Примеры предупреждений о попытке посетить заражённые сайты – на скриншоте ниже.
Для более глубокой и детальной проверки своего сайта я могу смело рекомендовать хорошо зарекомендовавший себя и постоянно обновляемый скрипт AI-BOLIT, которые бесплатен для некоммерческого использования и который бесплатно можно скачать с сайта разработчиков _http://revisium.com/ai/ . Оптимально его использовать на сайте, к хостингу которого вы имеете SSH доступ. Если у вас нет SSH доступа нет, то ничего страшного. Просто внимательно почитайте FAQ на сайте. Запускаете скрипт из командной строки
php ai-bolit.php -r ./aibolit-report.html
и, соответственно, в файле aibolit-report.html смотрите результат. После проверки сайта скрипт выводит следующий отчёт:
Из того, что не видно на скриншоте, заслуживают внимания следующие разделы:
«Подозрение на вредоносный скрипт:»
«Предупреждения
В этих файлах размещен код по продаже ссылок. Убедитесь, что размещали его вы:»
«В этих файлах размещены невидимые ссылки. Подозрение на ссылочный спам:»
«Список невидимых ссылок:»
«Найдены директории, в которых подозрительно много файлов .php или .html. Подозрение на дорвей:»
«Скрипт использует код, которые часто используются во вредоносных скриптах:»
«Потенциально небезопасно! Директории, доступные скрипту на запись:»
То есть получения и изучения данного отчёта вы должны скрупулёзно проверить файлы, которые оказались в репорте и уже после этого удалять, или зачищать от кодов «зловредов» поражённые файлы.
Исходя из моего опыта, наиболее часто встречающиеся виды атак на сайты:
- вставка закодированной в eval(base64_decode * ссылки на другой сайт (поражаются файлы с расширением .php);
- размещение в файле .htaccess редиректов на сторонний сайт или страницу сайта (как правило – с эксплойтом);
- размещение в файлах редиректа на сторонние ресурсы при помощи кода JavaScript или iframe.
После подобных атак традиционно следует «выпадание» страниц сайта из поисковой выдачи, так как поисковые системы начинают расценивать ваш сайт либо как линкоферму, либо как сайт, несущий потенциальную угрозу при посещении. Помимо этого, в случае использования посетителем вашего сайта антивирусной программы, будет показываться предупреждение об угрозе посещения сайта, что также скажется на популярности вашего сайта.
Также категорически не советую участвовать в так называемых iframe-партнёрках, так как в подавляющем большинстве случаев посетители вашего сайта будут редиректится на сайты с эксплойтами, находящиеся в «бане» антивирусных систем, и санкции поисковых систем последуют незамедлительно.
Удаление вирусов на сайте.Есть 3 основных способа удаления «зловредов» с сайта. Только не забудьте сначала сделать бекап сайта, так как не всегда удаление «зловредов» проходит без проблем.
- Если вы имеете SSH доступ к хостингу, то, в частности, с поражением файлов с расширением .php и удаления с них вредоносного кода вида eval(base64_decode *можно бороться командой в командной строке вида
find -type f -name \*.php -exec sed -i -r 's/eval\(base64_decode\("(.*?)"\)\);//g' {} \;
- Если у вас нет SSH доступа к хостингу, то для поиска и удаления файлов с вредоносным кодом можете воспользоваться скриптом типа replace.php
- Если у вас один сайт и мало поражённых файлов, то можете скачать файлы сайта себе на компьютер (как вариант, при этом, может быть придётся отключить вашу антивирусную программу, так как часть файлов она вам просто может либо не дать открыть, либо – будет сразу удалять). Далее в Тотал Коммандере при помощи клавиш Alt+F7 и введения в строку поиска текста с подозрительным кодом (к примеру «eval(base64_decode» или «iframe») находите поражённые файлы. Затем при помощи блокнота (хотя я рекомендую для работы с файлами сайта пользоваться модификацией стандартного блокнота Notepad++) находите «зловреда» непосредственно в файле и удаляете. Если поражённых файлов много, то можно их все открыть в Notepad++, и при помощи массовой замены вредоносного кода на пустое место удалить их таким образом. После этого сохраняете очищенные от вредоносного кода файлы и копируете их на хостинг.
Надеюсь, что моя статья окажется полезной, если вы "столкнётесь" с фактом атаки на ваш сайт.
При поддержке:
SeoPult - система автоматизированного продвижения сайтов и управления контекстной рекламой.
Обсудить на форуме.
[AD]