![]() |
Вирус на сайте - как удалить? |
2012.12.12 11:56:45 | |
Вот и настал тот скорбный час, когда мой сайт взломали и разместили вредоносный код =). Да, от этого не застрахован никто, а особенно начинающий сайтостроитель. Что делать когда ваш сайт заразили? Как я узнал о заражении.Просыпаюсь поздним утром и, пока варится кофе, проверяю почту. Среди новых писем - "письмо счастья от Яндекс", точнее от Яндекс.Вебмастер. Собственно само письмо: "На страницах сайта www.***.ru обнаружен код, который может быть опасен для посетителей. Выполнение этого кода может привести к заражению компьютера опасными программами, использованию его без ведома пользователя, порче или краже данных. В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера». Яндекс никак не оценивает содержание сайта и предупреждает пользователей о том, что сайт мог быть заражен без ведома его владельцев. Пожалуйста, удалите вредоносный код. Если при новой проверке код не будет обнаружен, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта." Сон сняло как рукой. Захожу на сайт - антивирус выводит страшную красную табличку, мол сайт заражен и может угрожать вашей безопасности или что-то в этом духе. В общем отбивает всякую охоту зайти на эту страничку. В поисковике все ссылки с пометкой "Не влезай. Убьёт!", как и обещал Яша. Посещалка почти на нуле (благо есть на свете Google) да и доходы от рекламы сами понимаете не радуют. Завтрак забыт, настроение ни к черту. Будильник в сотый раз напоминает, что работу никто не отменял, а начальство будет безумно радо если вы опаздаете на пару часиков. Успеваю проверить он-лайн сервисами сайт на заражение и ни один ничего подозрительного не находит. Только Касперский упрямо твердит, что сайт занесен в базу подозрительных, а что конкретно не так сказать стесняется. Пробки у нас в городе не московские - списать опоздание на работу больше часа не получится. Поэтому приходится всё бросить и терять драгоценное время. Яндекс-падлаКак же долго тянулся этот день! В голове только одна мысль: "Яндекс - Падла. Падла-Яндекс". Нашел какую-то хню и убил посещалку, а Каспер подхватил и добил =( К середине дня немного остыл, втянулся в работу. Хорошо хоть коллектив у нас нормальный, в душу не лезут =) К концу дня успокоился и решил, что худа без добра не бывает, что нибудь придумаем в конце концов. Я был не правВот уж не думал, что когда-то это скажу, но Яндекс-Молодец. Приношу свои искренние... Теперь по подробнее. Прихожу значит домой и с нордическим хладнокровием сажусь за комп. Да,да тем самым, которого мне так не хватало утром. Сразу к сутиРешил проанализировать изменения на сайте, точнее в его файлах и папках. Логика простая. Вирус на сайте - в конечном счете всего лишь файлик или скрипт попавший к вам без вашего ведома. Он в свою очередь меняет часть файлов вашего сайта. Дата последнего изменения видна в любом FTP-клиенте. Если конечно вам повезло и ваш вирус не на столько "умный", чтобы и дату изменения менять. В моём случае сразу бросился в глаза файл htaccess в корне сайта. Не припомню, чтобы я его менял в последние пару месяцев, а здесь дата изменения вчерашним днем. Открываем и точно, очень много "лишнего". Жаль, что не сохранил, как пример для остальных - нажал delete с таким наслаждением, аж клава захрустела =) Дальше - большеНа этом конечно еще не всё. Вирус успел расплодиться и во все папки, с доступом на запись и редактирование, добавил htaccess файл или отредактировал существующий. Их тоже удаляем или подчищаем. Заходим в Яндекс.Вебмастер и заказываем проверку сайта. Теперь при следующей проверке, если вы всё сделали правильно, всё вернётся на круги своя. Мне пришлось ждать три дня. Поэтому рекомендую заказать проверку именно на этом этапе или если вы уверенны в себе и своих силах - сразу же как узнали о заражении сайта вирусом. И наконец самое интересное. До этого мы удалили последствия, теперь нужно найти саму заразу (вирус). Наверное с этого и надо было начинать, но так хотелось побыстрей вернуться в индекс чистым и румяным, мягким и пушистым. Найти его (вирус) - занятие посложней. Конечно нужно в первую очередь проверить логи сайта и найти проказу, но скажу сразу - мне это не помогло. Моих знаний явно не хватило на подобный поиск. Ну не гений я и не профессионал, а простой пользователь. И что-то мне подсказывает, что я не один такой. Надо приходится признавать свои слабости и стремиться к лучшему другими путями. На помощь пришел Total Commander. Сделал выборку опять же по дате изменения прямо на сервере по FTP. Нашел две папки со странным содержимым, якобы от google (так указывалось в комментариях), однако функции в этих файлах выполняли совсем другие задачи. Кусок кода был закодирован base64 и при декодировании увидел интересный perl код. Повторюсь, я не считаю себя спецом в этом вопросе, поэтому решил скачать папки к себе на комп, для дальнейшего рассмотрения. Уже при передаче Касперски жестко указал, что это траян. Так же нашел и архивы этих самых папок в директории tmp. На всякий случай выгрузил весь сайт и прогнал антивирем. Нашел ещё один файл с тем же куском кода. Всё соответственно удаляем. В итоге вместо одного ожидаемого вивусоида нашел два, что объясняет в некоторых из htaccess файлов повторение злополучного кода по несколько раз подряд. Важный момент: На хостинге у меня ещё три сайта и хотя предупреждений не было - проверил и их. Не пожалел. Тоже и тем же болели,причем движки у всех разные. Ну вот собственно и всё на что меня хватило в этот нелегкий день. Стыдно перед Яшей и его командой. Они все-таки помогли, а я их по незнанию пол-дня материл. СПАСИБО - ЯША! P.S. Если эта статья вам помогла - искренне за Вас рад. И пусть ваши сайты ничем не болеют.
|