Новости
17 июля 2012
Небольшой "how-to" по заражению сайтов: как найти, удалить вирус и защитить сайт от вирусов
Приводим список он-лайн сканнеров для определения наличия вируса на сайте:
- https://www.virustotal.com/#url
- http://www.avgthreatlabs.com/sitereports/
- http://www.google.com/safebrowsing/diagnostic?site=http://YOURDOMAIN
- http://www.unmaskparasites.com/
- http://sitecheck.sucuri.net/scanner/
Примите во внимание, что не все вредоносные кусочки кода могут быть обнаружены. Чтобы быть уверенным в вашем сайте можно проверить на сервере время модификации файлов. Обычно, вирусы пытаются внедрить код в следующие файлы:
- индексные файлы (index.php, index.htm и подобные)
- файлы шаблонов (footer.php, header.php, top.php, bottom.php и подобные)
- файлы java-скриптов (*.js)
Вредоносный код часто содержит следующие функции и элементы:
- eval()
- base64_decode
- отключение вывода ошибок перед вредоносным кодом @error_reporting(0)
- обфускация кода (нечитаемые перменные, наборы безсмысленных символов)
- iframe с нулевыми высотой и широной или смищением за видимую область экрана.
- комментарии к коду, которые указывают, что этот код является счетчиком или seo "улучшителем"
Вылечить файлы можно несколькими вариантами:
- откат из бек-апов до момента заражения, при условии актуальной копии;
- удаление кода из файлов.
Для удаления кода из файлов можно применить различные автоматические скрипты очистки, или открывать каждый файл и вручную удалять код.
Советы, как можно обезопасить свой сайт от заражения
- основной метод заражения — через утечку паролей для ftp-доступа. Все клиентские программы, которые не используют сертификаты безопасноти, а используют пароль хранят его в открытом виде. Грубо говоря, вирус без затруднений может узнать какой у вас пароль.
- регулярное создание копий сайта, чтобы была возможность "откатиться"