Как вылечить сайт
После обнаружения вирусной активности на сайте необходимо незамедлительно принять меры по очистке от вредоносного вторжения.nnn
Общая схема лечения после обнаружения вредоносного кода следующая.
- n
- Полностью закрыть сайт для доступа извне.
nЭто поможет остановить действие вирусного кода по передаче информации и перенаправлению на сторонние ресурсы злоумышленников, прекратить его распространение дальше на другие интернет-ресурсы и локальные компьютеры пользователей, не допустить повторного заражения во время лечения.n
- n
- Для последующего анализа причин проникновения вредоносного кода, сохранить логи, связанные с работой сайта.
- Произвести очистку сайта от вредоносного кода:
n
- Используя локальное антивирусное средство, выполнить полную проверку компьютера или сервера, на которых размещен сайт. Данная проверка должна также распространяться на все файлы и папки сайта.
- Провести самостоятельный анализ файлов и папок сайта, программного кода. Для этого проверить не было ли посторонних внесений изменений в правах доступа к файлам и папкам сайта. Проверить файлы на предмет включений неизвестного кода, добавлений правил переадресации. Проверить содержание папки с временными файлами и папки, в которую разрешена запись. Проверить файлы с подозрительными именами, не исключая из проверки при этом неисполняемые файлы (изображения, текстовые файлы, js файлы). Данные типы файлов также могут нести угрозу. Для поиска зараженных файлов можно воспользоваться данным кодом для Linux серверов:
n
find /var/www/*/data/www/ -type f -name '*.php' -print0 | xargs -0r grep -Hm1 . | grep -E 'strtoupper.*eval|eval\(|_GLOBAL|eval\(base64|eval\("\\x65\\x76\\x61\\x6C\\x28|gzinflate|"e"."v"."a"."l\(b"."a"."s"."e"|FilesMan|\\x7f\\x45\\x4c|GLOBALS.*global' | awk -F: '{print $1}'
- n
- Удалить обнаруженные поврежденные, зараженные файлы и заменить их аналогичными неповрежденными файлами из ранее созданной резервной копии сайта.
- После завершения очистки поменять пароли учётной записи администратора, FTP-пароли, пароли доступа других пользователей. Смена паролей необходима, т.к. после заражения могла быть произведена их утечка злоумышленникам.
- Провести обновление СMS и другого программного обеспечения, используемого сайтом.
nОдин из самых распространенных способов проникновения – использование уязвимостей в ПО. Поэтому необходимо использовать свежие обновления и версии, т.к. в них производитель закрывает уже обнаруженные «бреши» в безопасности.n
- n
- Проверить работоспособность сайта после процедуры лечения и восстановления.
- После успешного выполнения предыдущего шага создать новую резервную копию очищенного сайта.
- Возобновить возможность доступа внешних посетителей на сайт.
nПосле устранения вредоносного кода нужно детально изучить причины его проникновения и пересмотреть подход к превентивным мерам защиты. Т.к. если не уделить должного внимания анализу возникшей ситуации, новое заражение может произойти достаточно быстро.n
Нужна помощь в очистки сайта и защите его от вирусов, обращайтесь [email protected]