Поиск вируса на сайте
Одна из услуг, которую я предоставляю своим клиентам – это нахождение и лечение вирусов на сайте. Так как опыт борьбы со зловредами у меня немаленький, то имеющиеся наработанные приемы позволяют быстрой найти вирус. Рассмотрим на конкретном примере.
Обратился заказчик с проблемой: кто-то постоянно подменяет страницы сайта на хостинге. Причем доступ меняется, сайт заливается новый, взламывать там нечего – обычные страницы – но все же как-то меняется!
Я сразу же предположил, что возможно, виноваты другие сайты на хостинге – бывает, что через один заражаются и остальные. Заказчик говорит, что все почистил, но я ему не верю и начинаю сам искать.
А вообще, как искать вирусы на сайте? Есть всякие онлайн сканеры, айболиты и тому подобное. Но лично я пользуюсь более простым способом: обычным антивирусом для компьютера. У меня нод32, но в принципе пойдет любой с более-менее свежими базами.
Итак, запускаем любой фтп менеджер (я обычно пользуюсь файлезиллой) и начинаем качать сразу все сайты и файлы на хостинге. И упс! Уже через пару минут получаем результат:
Дело в том, что антивирусы для компьютера умеют определять затаившиеся на сайте, даже если те не наносят никакого вреда владельцам – они просто есть в базе данных. Так что пока все качается, наш нод32 все обнаруживает и записывает в лог.
Как я и предположил в самом начале, заражение произошло через соседние сайты на хостинге – в данном случае виноват сайт на вордпресс – владелец не обновлял плагины на нем. Самое простое лечение в данном случае (но не самое надежное) – это скачать все файлы, зараженные удалит с компьютера антивирус, затем почистить полностью хостинг и залить обратно. Однако, это решит только проблему текущего вируса, дыра то осталась!
Для убирания дырки надо обновить все, что можно. Особое внимание обращаем на плагины, в которых происходит загрузка изображений на сервер – очень часто уязвимость именно там.
Если вы ищите вирусы вручную, а не антивирусом, то посмотрите в папки со шрифтами, стилями и изображениями – там не должно быть файлов с расширениями php. Нередко вирусы маскируются под файлы ico – это ненастоящие иконки. Да и редко на каком сайте есть такие настоящие файлы (с таким расширением). В общем, ищите то, что отличается.
У нас также заражена тема вордпресс. Полностью убрать те файлы нельзя – поэтому придется разбираться, что там и как. Но это уже совсем другая история…
Если вам надо проверить или вылечить сайт, то вы в любое время можете написать мне на почту up777up@yandex.ru - за разумную оплату я помогу вам.
Автор этого материала - я - Пахолков Юрий. Я оказываю услуги по написанию программ на языках Java, C++, C# (а также консультирую по ним) и созданию сайтов. Работаю с сайтами на CMS OpenCart, WordPress, ModX и самописными. Кроме этого, работаю напрямую с JavaScript, PHP, CSS, HTML - то есть могу доработать ваш сайт или помочь с веб-программированием. Пишите сюда.
Отправляя сообщение я подтверждаю, что ознакомлен и согласен с политикой конфиденциальности данного сайта.