Вирусы на сайте | ISPserver Перейти к основному содержанию

Помощь

Вирусы на сайте

Не допускайте появление вирусов и других вредоносных программ на вашем сервере, придерживаясь следующих правил:

  • обновляйте программное обеспечение вашего сервера и CMS;
  • выполняйте резервное копирование сервера;
  • используйте только сложные пароли, содержащие заглавные и строчные буквы, цифры и служебные символы;
  • не храните логины и пароли в открытом виде;
  • контролируйте права доступа пользователей к каталогам сайта, придерживайтесь максимального ограничения доступа в рамках возможного.

Если у вас возникло подозрение, что на сайте появился вирус, проверьте его антивирусом или бесплатным сервисом http://antivirus-alarm.ru/proverka/, http://vms.drweb.ru/online. Проверка укажет вам на участки кода, которые возможно являются вирусами. Просмотрите найденные файлы и удостоверьтесь, что код не является вирусом.

В панели управления ISPmanager доступен бесплатный модуль антивируса ImunifyAV (ранее Revisium). С его помощью вы можете просканировать сайты на наличие угроз. Чтобы использовать все возможности антивируса, в том числе лечение сайтов, можно приобрести платную версию у компании CloudLinux или её реселлеров. Её покупка значительно упростит мониторинг и устранение вирусов на сайте. ImunifyAV выполняет поиск вредоносного кода в файлах .php, .js, .html, системных файлах и пытается «вылечить» зараженные файлы.

В UNIX-подобных операционных системах можно применить команду, которая отыщет файлы сайта mydomain.ru, измененные в течение последних 5 дней.

find /var/www/user/data/www/mydomain.ru/ -type f -mtime -5

Если вы примерно знаете, в какой день обнаружили предположительный вирус, то среди найденных файлов можете обнаружить зараженный.

Просмотрите лог-файл ftp на предмет неизвестных файловых загрузок. Например, запись

Tue Aug 16 10:56:38 2016 0 <146.55.4.112> 14271 /var/www/user/data/www/mydomain.ru/include/trash.php a _ i r unknownuser ftp 0 * c

говорит о том, что 16.08.2016 по ftp на сервер (ключ i) был загружен файл trash.php в папку /var/www/user/data/www/mydomain.ru/include/ пользователем unknownuser с IP-адреса 146.55.4.112. Это может быть файл с вирусом.

Просмотрите директории, которые доступны для большинства пользователей сайта. Если они обычно не загружают .php или .js файлы, то в папках uploads и image не должно содержаться подобных файлов. Проверьте командой

file /var/www/user/data/www/mydomain.ru/uploads/* | grep -i php

наличие файлов с расширением php в папке uploads. Если в ней присутствуют неизвестные вам файлы, то они могут быть вредоносными и их нужно удалить. Возможна ситуация, при которой внутри jpg-файла на самом деле находится файл php

file in.jpg 
in.jpg: PHP script text\

С большой вероятностью это также файл с вирусом, который нужно удалить.

Убедитесь, что на сайте нет неизвестных вам перенаправлений, выполнив команду

find /var/www/user/data/www/site.ru/ -type f -iname '*htaccess'

Результатом выполнения этой команды будет список всех файлов .htaccess на сайте. Просмотрите каждый на предмет перенаправлений и убедитесь, что все они необходимы.

Выполните поиск вредоносного кода по шаблонам, которые обычно присутствуют в вирусах. Наиболее распространенные шаблоны следующие:

FilesMan, try {document.body, String[“fromCharCode”], auth_pass, fromCharCode, shell_exec, passthru, system, base64_decode, chmod, passwd, mkdir, eval(str_replace, eval(gzinflate, =””; function, “ev”+”al”, md5=, ss+st.fromCharCode, e2aa4e))}

Команда

grep -ril FilesMan /var/www/user/mydomain.ru

выполняет поиск на сайте mydomain.ru, который размещен в /var/www/user/mydomain.ru, файлы, содержащие фрагмент FilesMan.


Если вы обнаружили какой-то из этих шаблонов в теле файла, убедитесь в том, что это действительно посторонний код, поскольку приведенные выше шаблоны могут использоваться и для полезных целей. Если же это действительно код вируса, то нужно выполнить резервное копирование сайта, а после удалить фрагменты с этим кодом. Перед удалением выполните команду

stat inf_file.js

где inf_file.js файл с подозрительным кодом.
Результатом этой команды будут даты последнего обращения к файлу, его изменения и модификации атрибутов. Убедитесь, что эти данные соответствуют предположительной вами дате появления вируса, сопоставьте с событиями в лог-файлах, как описано выше.

Для удаления фрагмента файла с вредоносным кодом используйте команду

sed -i "" 's/начало_шаблона.*конец_шаблона//g' inf_file.js

Например, код String["fromCharCode"] удаляется командой

sed -i "" 's/String.*"]//g' inf_file.js

Все вышеперечисленное является лишь возможным вариантом очищения сайта от вируса, если есть возможность, восстановите последнюю надежную резервную копию.

После того, как вы освободили сайт от вирусов, смените пароли доступа к сайту, поставьте все обновления для операционной системы, программного обеспечения, CMS и т.д., сделайте резервную копию сайта вез вирусов.

Назад к категории