Как удалить вирус с сайта

Как удалить вирус с сайта. Пошаговое руководство.
Самое страшное сообщение для владельца сайта — «Ваш сайт был заблокирован из-за вредоносного кода». Формулировок великое множество, но смысл один. Ваш сайт взломан и в его коде живет вирус.

Я думаю, нет необходимости объяснять, чем грозит заражение вирусом. Коротко для самых любопытных — вы потеряете свой бизнес из-за блокировки хостером или лишитесь контроля над проектом, так как ваш проект заберет владелец вируса.

Теперь приступим к лечению сайта.

Первое, что необходимо сделать — скачать все файлы сайта к себе на компьютер. Лучше скачивать на флешку, так как ее можно будет отформатировать и не бояться перенести вирус на жесткий диск.

После того как у вас скачаются все файлы, запускаем проверку этой папки локальным антивирусом. Подойдет любой, я использую dr web или Kaspersky Security, в зависимости от того, что находится под рукой. Во время сканирования, антивирус сработает на поврежденные файлы 99% в них будет код backdoor (дословный перевод — задняя дверь). Эти файлы нужно заменить чистыми. Так как если останется хоть малейший хвостик вируса, ваш сайт будет подвержен опасности повторного заражения.

Лучше не пытаться найти и удалить вредоносный код, а заменить файлы из резервной копии. В случае с cms можно скачать чистый дистрибутив и взять файлы там.

Да, есть риск потерять какие-то изменения, но это лучше чем потерять весь сайт, да и восстановить их не так сложно.

Второй шаг — очищаем код сайта от вирусных вкраплений

Эти вкрапления не отловятся локальным антивирусом, а нам их нужно обязательно найти. Если мы это не сделаем, то сайт будет перебрасывать пользователей на другие сайты, показывать рекламу, распространять вирусы. Одним словом — не будет работать, так как нам нужно.

Хорошо, что нам это не понадобится делать руками, так как сайт может состоять из сотен файлов.
Для проверки можно использовать скрипт AI-Bolit. Он хорошо себя зарекомендовал в удалении вирусов с сайта.

Как понять, что в коде вирус, а что сам сайт?

После получения отчета проверки, начинается самый тяжелый шаг — анализ.
Все обнаруженные вкрапления будут отмечены красным цветом (пример отчета можно посмотреть тут). Дальше необходимо открыть каждый файл и проверить его на наличие вредоносного кода.

Как удалить вирус с сайта — на что обращать внимание?

  • 1. Любые упоминания чужих сайтов — редирект.
    Проверьте все упоминания чужих сайтов, если это не внешние ссылки установленные вами, удаляйте такой код
  • 2. iframe
    Если у него маленький размер или в нем идет подключение стороннего кода, о котором вы не знали ранее, удаляем
  • 3. Лишние счетчики посещения — вирусы часто маскируют под них. Проверяем свой или чужой и во втором случае удаляем
  • 4. Динамическое исполнение кода (eval, assert, create_function)
    99% упоминаний этих названий будут вести на вирус
  • 5. Обфускация (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace)
    base64_decode — может встретится в обработчике, отправки писем, в большинстве случаев это вирус
  • 6. Загрузка удаленных ресурсов (file_get_contents, curl_exec)

После удаления всех вхождений, наш сайт условно чист. Файлы сайта были очищены, теперь нужно проделать тоже самое с базой данных.

Удаление вируса с сайта — финал.

После детального анализа и очищения файлов и базы данных, сайт готов к проверке. Загружаем все на хостинг и начинаем тестировать. Важно протестировать сайт с разных ip адресов и через разные браузеры, это помогает найти оставшиеся хвосты заражения.

Важно понимать, что вирус мог сильно повредить соседние файлы. Если после очищения сайта, какой-то функционал перестал работать, его придется восстанавливать отдельно. Это как с компьютерами, страдает не только зараженный файл, но и еще несколько рядом.

Также перед тестированием, рекомендуем сменить все пароли:

  • хостинг;
  • FTP;
  • админка и др.

Если первый этап тестов прошел успешно, яндекс и гугл разблокировали ваш сайт, то вы можете поздравить себя. Вирус побежден! Остается понаблюдать за своим проектом, чтобы убедится, что нет повторного заражения.

Поделиться в социальных сетях: