Вебмайстер
Яндекс для вебмайстрів
Як Яндекс індексує сайти
Сайт на сторінці результатів пошуку
Сервіс «Яндекс.Вебмайстер»
Налаштування індексування
Вміст сайту
Сайт у результатах пошуку
Безпека сайтів
Сервіси Яндекса на вашому сайті

Як вилікувати заражений сайт

З чого почати?

Насамперед проаналізуйте всі можливі способи зараження:

  • Зловмисник може отримати паролі доступу до адміністраторських панелей CMS-, FTP- або SSH-акаунтів. Зазвичай паролі підбирають або крадуть за допомогою троянських програм, що заразили комп'ютер веб-майстра.

  • Вразливості веб-програми можуть дозволяти стороннім розміщувати на сайті довільний код.

  • Через зараження зовнішнього ресурсу (партнерської програми, банерної системи, лічильника) наданий вам код може стати небезпечним для користувачів.

Знайдіть браузерний шкідливий код

Проаналізуйте інформацію про зараження в Яндекс.Вебмайстрі, на вкладці Безпека. Інформація про зараження включає перелік заражених сторінок, дати перевірок і винесені антивірусом вердикти. Перейшовши за посиланням у назві вердикту, ви побачите його опис і приблизний вигляд відповідного вердикту коду (коду, який безпосередньо з'являється на сторінках сайту).

Ви також можете самостійно відтворити проблему за допомогою віртуальної машини.

Знайдіть серверний шкідливий код

  1. Насамперед зупиніть веб-сервер, щоб захистити відвідувачів сайту від потенційної небезпеки. Потім перевірте антивірусом файли веб-сервера та всі робочі станції, з яких адмініструють сервер (можна використовувати безкоштовні антивірусні програми) і змініть усі паролі: root, FTP, SSH, від адміністративних панелей хостингу та CMS.

  2. Якщо є можливість, відновіть сайт із резервної копії, зробленої до зараження. Оновіть до останніх версій всі використовувані сайтом програми та пошукайте описи виправлених вразливостей. Можливо, це допоможе зрозуміти, яким чином сайт було заражено.

  3. Видаліть зайвих користувачів із розширеними повноваженнями та ретельно перевірте сервер на наявність веб-шела, за допомогою якого зловмисник може змінювати код сайту в обхід авторизації.

  4. Перевірте наявність шкідливого коду:

    • у всіх серверних скриптах, шаблонах CMS, базах даних;

    • у конфігураційних файлах веб-сервера або інтерпретатора серверних скриптів;

    • якщо ви використовуєте shared-хостинг, перевірте інші сайти, розташовані на тому ж сервері —можливо, заражено весь сервер.

На що звернути увагу під час пошуку коду:

  • Код сторонній або незнайомий, не відповідає резервній копії або системі контролю версій.

  • Обфусцирований (нечитабельний, неструктурований) код.

  • Дата модифікації файлів збігається з часом зараження або пізніша. (Цей параметр ненадійний, бо дата модифікації файлів може бути змінена вірусом.)

  • Використання характерних для шкідливого коду функцій. Приклади таких функцій для мови PHP:

    • динамічне виконання коду (eval, assert, create_function);

    • обфускація (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);

    • завантаження віддалених ресурсів (file_get_contents, curl_exec).

Шкідливий код видалено, що далі?

Позначка про небезпеку сайту в результатах пошуку буде знята, якщо під час чергової перевірки робот Яндекса не виявить зараження. Щоб прискорити повторну перевірку, надішліть запит через Яндекс.Вебмайстер: натисніть кнопку Перевірити ще раз у розділі Безпека.

Протягом кількох тижнів після зараження слід регулярно перевіряти файли та код сайту на той випадок, якщо використана уразливість не була усунена або зловмисники, як і раніше, мають доступ до сайту.

Якщо знайшли щось цікаве

Ми постійно шукаємо та досліджуємо нові види заражень і публікуємо результати наших досліджень у блозі Безпечного пошуку Яндекса.

Якщо ви виявили на своєму сайті шкідливий або просто підозрілий код, надішліть його на аналіз нашим фахівцям.Цим ви допоможете і Яндексу, і іншим веб-майстрам.

Оцініть статтю
Дякуємо за ваш відгук!