Статей о том, как очистить сайт в сети довольно много. В нашей статье мы постараемся говорить максимально просто о сложном.
Итак, Ваш сайт заражён. Прежде чем приступить к очистке обязательно выпоните следующие действия:
- Проверьте свой компьтер на вирусы. Проверку лучше проводить 2-мя антивирусными программами сразу, одна из которых установлена и постоянно работает на Вашем компьютере, а другую запускать без установки, для разовой проверки. В качестве второго антивируса можно использовать DrWeb CureIt или Касперский Removal Tool. Например, если у Вас установлен антивирус касперского, в качестве второго нужно использовать DrWeb CureIt.
- После проверки на вирусы, смените все пароли доступа к сайту. Как минимум это пароль к FTP и, если используется какая-либо система управления сайтом, пароль для входа в панель управления сайтом. Внимание!!! Больше никогда не сохраняйте эти пароль в браузере или программе, используемой для работы по FTP.
После этого нужно скачать полную копию сайта на Ваш компьютер. Загруженные файлы скопируйте повторно в любую удобную для Вас папку (создайте вторую копию). Первая копия у нас будет резервной, а со второй будем работать.
Давайте условимся, что резервную копию Вы скачали в папку c:\site\backup\ и затем скопировали её содержимое в c:\site\www\ . Работать мы будем именно с c:\site\www\ .
Тут стоит отметить, что некоторые антивирусы (например, Avast) могут блокировать загрузку заражённых файлов и в результате он либо не скачается, либо будет пустым. Поэтому на время скачивания копии и очистки сайта установленный антивирус лучше отключить.
Искать вирусы в загруженных файлах мы будем утилитой Касперский Removal Tool, т.к. она позволяет отключить автоматическое удаление вирусов. Нам ведь нужно удалить только часть вредоносного кода из файлов, а не стереть их полностью.
Приступим к очистке.
1. Поиск вирусов
Запускаем Касперский Removal Tool и принимаем лицензионное соглашение.
Далее переходим в раздел "Настройки"
Снимаем галочки, установленные в области проверки и жмём кнопку "Добавить", чтобы указать путь к файлам сайта:
Теперь переходим в раздел "Действия", чтобы отключить автоматическое удаление вирусов.
Выставляем параметры, как указано на рисунке ниже и запускаем проверку:
После проверки касперский, если нашёл вирусы, предложит установить постоянную защиту. Делать это конечно необязательно, т.к. антивирус у Вас уже установлен.
Идём в раздел отчёты, разворачиваем список найденых вирусов и при наведении указателя на столбец "Объект" видим путь к каждому файлу:
2. Анализ заражённых файлов
Наиболее часто встречаются 2 типа вирусов: phpshell и iframe/redirect вирусы.
Первый тип - это php скрипт, который предоставляет его владельцу полный доступ к файлам сайта. Для пользователей эти вирусы не опасны, но довольно часто, используя их, злоумышленник заражаейт другие файлы iframe/redirect или другими, опасными для пользователей вирусами. Антивирусы как правило и называют их похожим образом (что-то вроде php-shell.233, web.shell и т.п.). Чаще всего такие файлы либо не зашифрованы вообще, либо код выглядить примерно так:
eval(base64_decode("тут длинная строка беспорядочных символов"));
Даже если антивирус не нашёл phpshell вирусов, есть смысл поискать подобные конструкции в файлах Вашего сайта и исследовать их. Но это уже скорее подсилу более опытным пользователям.
Чаще всего, эти вирусы загружаются отдельно, а не присоединяются к файлам сайта. Поэтому их можно просто удалить.
Второй тип вирусов наиболее опасен как для пользователей, так и для владельцев сайтов. Он заражает компьютеры посетителей, а также рано или поздно зайт попадает в базы заражённых сайтов яндекс и google и количество посетителей из-за резко падает.
Как правило строки с iframe/redirect вирусами располагаются в конце или в начале заражённого файла. Вот примеры довольно простых редиректов:
< meta http-equiv="refresh" content="0;URL='http://virus-site.com/'" >
Но, чаще всего, такие вирусы искусно зашифрованы. Определить их можно по общим признакам. Они, как правило, состоят из одной длинной строки, содержат длинные фрагменты из беспорядочных символов, а также используют функции unescape, eval, String.fromCharCode по одиночке или все перечисленные.
3. Лечение заражённых файлов
Итак, Вы нашли заражённые файлы, удалили вирусы первого типа и нашли вредоносный код в файлах второго типа. Если таких файлов не много, можно просто удалить их вручную и перейти к пункту 4. Если же их слишком много, то проще будет произвести поиск и замену строк