Как очистить сайт от вредоносного кода


Лечение сайта от вирусов: чистим код вручную и автоматически

Никто не хочет, чтобы с его сайта пропали данные или ресурс стал источником заражения других устройств. Но такое случается, когда на сайт попадает вредоносный код, или, проще говоря, вирус.

Практика показывает, что в основном заражение сайта происходит через системы управления контентом (CMS) и плагины к ним. Вы либо скачиваете из неофициального источника уже зараженный файл. Либо скачиваете из официального, но продукт с ошибкой, о которой пока никто кроме хакеров не знает. Такие ошибки называют уязвимостями.

Хакеры постоянно сканируют интернет в поисках уязвимых сайтов. Когда находят — загружают в файлы сайта вредоносный код. Он-то и рассылает спам, перенаправляет пользователей на зараженные страницы или крадет данные.

Бывает и по-другому, но редко.

Как понять, что сайт заражен

Обычно о заражении сообщает браузер, настольный антивирус или панель веб-мастера. Чтобы удостовериться, проверьте с помощью бесплатных сервисов:

Что делать, если сайт заражен

Обновите программное обеспечение. Как только об уязвимостях становится известно, их исправляют и выпускают обновления. Устанавливайте обновления только с официальных сайтов: WordPress, Joomla!, Drupal.

Удалите пиратские плагины.Устанавливайте плагины только от официальных разработчиков. Если на каком-то сайте размещен бесплатный аналог платного плагина, то скорее всего он уже содержит вирус. Лучше заплатить за оригинальное ПО, чем лечить зараженный сайт.

Поменяйте пароли. Часто вирус попадает на сайт используя пароль от админских панелей FTP или CMS, которые крадет во взломанной почте или компьютере. Смените пароли доступа к панели управления сервером, FTP/SSH-аккаунтам, MySQL, CMS. Используйте сложные пароли: не менее 10 символов, заглавные и строчные буквы, цифры и специальные символы. Для быстрой генерации используйте бесплатные сервисы: 1, 2.

Настройте права доступа к файлам. Через FTP или ISPmanager установите права доступа к файлам сайта. Права определяют, кто может просматривать, записывать и исполнять код. Для файлов сайта подходит значение 644 (изменять содержимое может только администратор, читать и исполнять код — любой посетитель сайта), для директорий лучше установить 755 (администратор может читать и редактировать, все остальные — только читать содержимое).

Восстановите резервную копию. Если вы знаете, когда произошло заражение сайта, восстановите созданную до заражения резервную копию. Это избавит от необходимости «лечить» ресурс.

Заблокируйте неиспользуемые функции в файлах конфигурации PHP. В файле конфигурации PHP (php.ini) добавьте disable_functions к неиспользуемым функциям из вот этого списка: passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source.

Лечим сайт вручную

Лечить сайт можно вручную и с помощью антивирусов.

Если вы умеете работать с консолью сервера, очистите код сайта вручную. Для начала найдите чужеродный код: проверьте зараженные файлы, сравните их с незараженными из резервной копии. После, используя тип файла и фрагмент кода, найдите все зараженные файлы и удалите вредоносный код.

Пример команды для поиска паттернов вирусов в файлах php* и htm* директории /var/www/*/data/www/.

grep -Rils --include=\.{php,htm*} -e 'b=4594' -e 'e2aa4e' -e 'v58f57b98 = 0' -e 'forexam\@pandion.im' -e 'pathToDomains' -e 'if(navigator.userAgent.match(' -e 'var vst = String.fromCharCode' -e 'Menu\files\/jquery.js' -e 'i5463 == null' -e 'r57.gen.tr' -e '\/rsize.js' -e 'feelthesame.changeip.name' -e '40,101,115,110,98,114,105,110' -e 'c99sh' -e 'Shell by' -e ' sh_ver' -e '\.tcpflood' -e 'c999sh' -e 'Array(base64_decode' -e 'Attacker Perl File' -e 'bogel = ' -e '(\!function_exists(\"getmicrotime\"))' -e'\$d=substr' -e 'WSO ' -e 'r57shell' -e '[email protected](@base64_decode(@str_replace' -e '6POkiojiO7iY3ns1rn8' -e ' mysql_safe' -e 'sql2_safe' -e 'aHR0cDovLzE3OC4yMTEu' -e 'php function _' -e 'encodeURIComponent(document.URL)' -e '\; if(isset(\$_REQUEST' -e 'UdpFlood' -e 'udp\:\/\/1.1.1.1' -e '\ (md5(\$_POST\[' -e 'header(\"Location\: http' -e 'fx29sh' -e 'c999sh_surl' -e 'c99sh' -e '\/request12.php' -e 'NlOThmMjgyODM0NjkyODdiYT' -e 'semi-priv8' -e 'JHNoX25hbWUgPSAiIj' -e '$shell_name' -e 'UvUbjYh5eJNgF4E1fedl' -e 'killall \-9' -e 'Angel Shell' -e 'c100.php' -e 'c2007.php' -e 'c99 mod Captain Crunch' -e '\$c99sh_updatefurl' -e 'C99 Modified By Psych0' -e 'php-backdoor' -e 'r577.php' -e 'wso shell' -e 'backdoor' -e 'eval(stripslashes(' -e 'Backdoor' -e 'Set WSHshell' -e 'WSHshell.Run DropPath' -e /var/www/*/data/www/

Лечим с помощью антивирусов

Если вы не умеете работать с консолью сервера, используйте готовые решения. Самые большие базы паттернов вирусов, распространенных в рунете, содержат два антивируса: Virusdie и AI-Bolit.

Virusdie

Платный инструмент. Автоматически находит вредоносный код и удаляет его. Помогает снять санкции браузера. С Virusdie работать просто, так как антивирус интегрирован с панелью управления веб-сервером ISPmanager.

ImunifyAV

Cканер вирусов. Проверяет сайт на взлом, вирусы и хакерские скрипты. ImunifyAV также интегрирован с ISPmanager: устанавливается по умолчанию и раз в месяц сканирует весь сайт. Чтобы лечить, нужно активировать платную версию.

Как предотвратить заражение

  1. Используйте программное обеспечение только из проверенных источников.
  2. Генерируйте сложные пароли и не храните их в браузере.
  3. Настройте создание резервных копий.
  4. Изолируете сайты друг от друга, для этого создавайте каждый сайт на отдельном пользователе.
  5. Используйте Virusdie постоянно.
  6. Используйте ISPmanager для единовременного обновления всех установленных скриптов, или модуль интеграции ISPmanager с Softaculous.

Что делать, если ваш сайт взломан, и как это исправить

Всякий раз, когда веб-сайт электронной коммерции взломан, одной из основных проблем являются данные кредитной карты клиента. Если вы обрабатываете платежи в своем интернет-магазине, вам, возможно, придется отреагировать на возможное нарушение данных, включая последствия, касающиеся соблюдения требований индустрии платежных карт (PCI).

Если вы подозреваете, что данные кредитной карты были украдены, вы можете обратиться в свой банк, чтобы узнать о виртуальных кредитных картах. Их можно использовать для проверки покупок на вашем сайте перед очисткой от взлома. Украденные кредитные карты часто используются в течение 12 часов , поэтому это упражнение может указать, требуется ли дальнейшее расследование. Это не 100% надежный метод, но это один шаг, который вы можете предпринять самостоятельно, прежде чем обращаться за помощью к судебно-медицинскому следователю PCI (PFI).

Чтобы поддерживать соответствие PCI в случае утечки данных, вы должны соблюдать требования, в частности Требование 12.10 PCI DSS: Реализовать план реагирования на инциденты. Частично это требование связано с сохранением доказательств.

Обратите внимание, что это не юридическая консультация .

Немедленно создайте резервную копию взломанного сайта, включая:

  • Файлы журнала сервера
  • Файловая система вашего сайта
  • База данных вашего сайта
  • Пользовательские файлы и конфигурации
.

Как удалить вредоносное ПО и очистить взломанный сайт WordPress

2.4Удалите скрытые бэкдоры на вашем сайте WordPress

Хакеры всегда оставляют возможность вернуться на ваш сайт. Чаще всего на взломанных сайтах WordPress мы находим несколько бэкдоров разных типов.

Часто бэкдоры встраиваются в файлы, названные аналогично файлам ядра WordPress, но расположенные в неправильных каталогах. Злоумышленники также могут внедрять бэкдоры в такие файлы, как wp-config.php и такие каталоги, как wp-content / themes, wp-content / plugins и wp-content / uploads.

Бэкдоры обычно включают в себя следующие функции PHP:
  • base64
  • стр_рот13
  • gzuncompress
  • оценка
  • высл.
  • система
  • утверждать
  • полосы, косые черты
  • preg_replace (с / e /)
  • move_uploaded_file

Эти функции также могут законно использоваться плагинами, поэтому обязательно проверьте любые изменения, потому что вы можете сломать свой сайт, удалив неопасные функции или не удалив весь вредоносный код.

Большая часть вредоносного кода, который мы видим на сайтах WordPress, использует ту или иную форму кодирования для предотвращения обнаружения. Помимо компонентов премиум-класса, которые используют кодировку для защиты своего механизма аутентификации, очень редко можно увидеть кодировку в официальном репозитории WordPress.

Очень важно, чтобы все бэкдоры были закрыты, чтобы успешно остановить взлом WordPress, иначе ваш сайт будет быстро повторно заражен.

.

php - Сайт взломан, как удалить вредоносный код с помощью SED / GREP

Переполнение стека
  1. Около
  2. Товары
  3. Для команд
  1. Переполнение стека Общественные вопросы и ответы
.

Защита от вредоносного кода | CISA

Защитите себя от нежелательных и потенциально вредных файлов или программ, следуя передовым методам кибербезопасности.

Что такое вредоносный код?

Вредоносный код - это нежелательные файлы или программы, которые могут нанести вред компьютеру или скомпрометировать данные, хранящиеся на компьютере. Различные классификации вредоносного кода включают вирусы, черви и троянские программы.

  • Вирусы способны повреждать или уничтожать файлы в компьютерной системе и распространяются путем совместного использования уже зараженных съемных носителей, открытия вредоносных вложений электронной почты и посещения вредоносных веб-страниц.
  • Черви - это тип вируса, который самораспространяется с компьютера на компьютер. Его функция заключается в использовании всех ресурсов вашего компьютера, что может привести к тому, что ваш компьютер перестанет отвечать.
  • Троянские кони - это компьютерные программы, скрывающие вирус или потенциально опасную программу. Нередко бесплатное программное обеспечение содержит троянского коня, заставляющего пользователя думать, что он использует законное программное обеспечение, вместо этого программа выполняет вредоносные действия на вашем компьютере.
  • Вредоносные файлы данных - это неисполняемые файлы, такие как документ Microsoft Word, Adobe PDF, ZIP-файл или файл изображения, которые используют слабые места в программном обеспечении, используемом для его открытия. Злоумышленники часто используют вредоносные файлы данных для установки вредоносного ПО в систему жертвы, обычно распространяя файлы через электронную почту, социальные сети и веб-сайты.

Как защитить себя от вредоносного кода?

Следуя этим методам обеспечения безопасности, вы можете снизить риски, связанные с вредоносным кодом:

  • Установите и обслуживайте антивирусное программное обеспечение. Антивирусное программное обеспечение распознает вредоносные программы и защищает ваш компьютер от них. Установка антивирусного программного обеспечения от поставщика с хорошей репутацией - важный шаг в предотвращении и обнаружении инфекций. Всегда посещайте сайты поставщиков напрямую, а не нажимайте на рекламу или ссылки по электронной почте. Поскольку злоумышленники постоянно создают новые вирусы и другие формы вредоносного кода, важно поддерживать ваше антивирусное программное обеспечение в актуальном состоянии.
  • Будьте осторожны со ссылками и вложениями. Примите соответствующие меры предосторожности при использовании электронной почты и веб-браузеров, чтобы снизить риск заражения.Остерегайтесь нежелательных вложений в сообщения электронной почты и будьте осторожны при переходе по ссылкам в сообщениях электронной почты, даже если они исходят от людей, которых вы знаете. (См. «Предостережение с вложениями электронной почты» для получения дополнительной информации.)
  • Блокировать всплывающие рекламные объявления. Блокировщики всплывающих окон отключают окна, которые потенциально могут содержать вредоносный код. В большинстве браузеров есть бесплатная функция, которую можно включить для блокировки всплывающей рекламы.
  • Используйте учетную запись с ограниченными разрешениями. При навигации в Интернете рекомендуется использовать учетную запись с ограниченными разрешениями.Если вы все же заразитесь, ограниченные разрешения не позволят вредоносному коду распространиться и перейти в учетную запись администратора.
  • Отключить функции автозапуска и автозапуска внешнего носителя. Отключение функций AutoRun и AutoPlay предотвращает автоматический запуск внешних носителей, зараженных вредоносным кодом, на вашем компьютере.
  • Измените свои пароли. Если вы считаете, что ваш компьютер заражен, измените пароли. Это включает в себя любые пароли для веб-сайтов, которые могли быть кэшированы в вашем веб-браузере.Создавайте и используйте надежные пароли, чтобы злоумышленникам было сложно их угадать. (См. Раздел «Выбор и защита паролей» и «Добавление паролей» для получения дополнительной информации.)
  • Следите за обновлениями программного обеспечения. Установите программные исправления на свой компьютер, чтобы злоумышленники не воспользовались известными уязвимостями. Рассмотрите возможность включения автоматических обновлений, если они доступны. (Для получения дополнительной информации см. Общие сведения об исправлениях и обновлениях программного обеспечения.)
  • Резервное копирование данных. Регулярно создавайте резервные копии своих документов, фотографий и важных сообщений электронной почты в облаке или на внешнем жестком диске.В случае заражения ваша информация не будет потеряна.
  • Установите или включите брандмауэр. Брандмауэры могут предотвратить некоторые типы заражения, блокируя вредоносный трафик до того, как он попадет на ваш компьютер. Некоторые операционные системы включают брандмауэр; если используемая операционная система включает его, включите его. (Дополнительную информацию см. В разделе Общие сведения о брандмауэрах для дома и малого офиса.)
  • Используйте средства защиты от шпионского ПО. Шпионское ПО - распространенный источник вирусов, но вы можете минимизировать заражение, используя программу, которая обнаруживает и удаляет шпионское ПО.Большинство антивирусных программ включает опцию защиты от шпионского ПО; убедитесь, что вы его включили.
  • Мониторинг учетных записей. Ищите любое несанкционированное использование или необычную активность в отношении ваших счетов, особенно банковских счетов. Если вы обнаружите неавторизованную или необычную активность, немедленно обратитесь к поставщику учетной записи.
  • Избегайте использования общедоступных сетей Wi-Fi. Небезопасный общедоступный Wi-Fi может позволить злоумышленнику перехватить сетевой трафик вашего устройства и получить доступ к вашей личной информации.

Что вам нужно знать об антивирусном ПО?

Антивирусное программное обеспечение сканирует файлы и память компьютера на наличие шаблонов, указывающих на возможное присутствие вредоносного кода. Вы можете выполнять антивирусное сканирование автоматически или вручную.

  • Автоматическое сканирование - Большинство антивирусных программ может сканировать определенные файлы или каталоги автоматически. Информация о новых вирусах добавляется часто, поэтому рекомендуется воспользоваться этой возможностью.
  • Сканирование вручную - Если ваше антивирусное программное обеспечение не сканирует новые файлы автоматически, вам следует вручную сканировать файлы и носители, полученные из внешнего источника, прежде чем открывать их, включая вложения электронной почты, загрузки из Интернета, компакт-диски, DVD-диски и USB-накопители.

Хотя антивирусное программное обеспечение может быть мощным средством защиты вашего компьютера, иногда оно может вызывать проблемы, снижая производительность вашего компьютера. Слишком большое количество антивирусного программного обеспечения может повлиять на производительность вашего компьютера и эффективность программного обеспечения.

  • Заранее изучите свои варианты. Изучите доступное антивирусное и антишпионское программное обеспечение, чтобы выбрать лучший вариант для вас. Учитывайте количество вредоносного кода, распознаваемого программой, и частоту обновления описаний вирусов.Также проверьте наличие известных проблем совместимости с другим программным обеспечением, которое вы можете запустить на своем компьютере.
  • Ограничьте количество устанавливаемых программ. Пакеты, которые объединяют возможности как антивируса, так и антишпионского ПО, теперь доступны. Если вы решите выбрать отдельные программы, вам понадобится только одна антивирусная программа и одна антишпионская программа. Установка большего количества программ увеличивает риск возникновения проблем.

Существует множество поставщиков антивирусного программного обеспечения, и решение, которое выбрать, может запутать.Все антивирусные программы обычно выполняют одни и те же функции, поэтому ваше решение может быть основано на рекомендациях, функциях, доступности или цене. Независимо от того, какой пакет вы выберете, установка любого антивирусного программного обеспечения повысит ваш уровень защиты.

Как восстановиться, если вы стали жертвой вредоносного кода?

Использование антивирусного программного обеспечения - лучший способ защитить ваш компьютер от вредоносного кода. Если вы думаете, что ваш компьютер заражен, запустите антивирусную программу.В идеале ваша антивирусная программа будет определять любой вредоносный код на вашем компьютере и помещать их в карантин, чтобы они больше не влияли на вашу систему. Вам также следует рассмотреть следующие дополнительные шаги:

  • Минимизируйте ущерб. Если вы на работе и имеете доступ к отделу информационных технологий (ИТ), немедленно свяжитесь с ним. Чем раньше они смогут исследовать и «очистить» ваш компьютер, тем меньше вероятность того, что это нанесет дополнительный ущерб вашему компьютеру - и другим компьютерам в сети.Если вы находитесь на домашнем компьютере или ноутбуке, отключите компьютер от Интернета; это предотвратит доступ злоумышленника к вашей системе.
  • Удалите вредоносный код. Если на вашем компьютере установлено антивирусное программное обеспечение, обновите программное обеспечение и выполните сканирование всей системы вручную. Если у вас нет антивирусного программного обеспечения, вы можете приобрести его в Интернете или в компьютерном магазине. Если программное обеспечение не может найти и удалить заражение, вам может потребоваться переустановка операционной системы, обычно с помощью диска восстановления системы.Обратите внимание, что переустановка или восстановление операционной системы обычно удаляет все ваши файлы и любое дополнительное программное обеспечение, установленное на вашем компьютере. После переустановки операционной системы и любого другого программного обеспечения установите все соответствующие исправления, чтобы исправить известные уязвимости.

Угрозы для вашего компьютера будут продолжать развиваться. Хотя вы не можете устранить все опасности, соблюдая осторожность, устанавливая и используя антивирусное программное обеспечение, а также следуя другим простым методам обеспечения безопасности, вы можете значительно снизить риск и усилить защиту от вредоносного кода.

.

Смотрите также

Поделиться в соц. сетях

Опубликовать в Facebook
Опубликовать в Одноклассники
Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий