Управление файлами cookie, которые используются для рекламы, таких как персонализация рекламы, ремаркетинг и анализ эффективности рекламы.
2.15.2.2. Очистка от вирусов
Внимание!
Информация в статье носит рекомендательный характер и не предоставляет точных инструкций по очистке сайта от вирусов. Очищать сайты от вирусов нужно самостоятельно или с привлечением сторонних профильных специалистов.Когда антивирус на хостинге при сканировании находит вредоносный код, владельцу хостинг-аккаунта отправляется уведомление с информацией о проблеме. Вредоносный код необходимо обязательно удалить, так как из-за него могут возникать проблемы с безопасностью данных как заражённого сайта, так и соседних сайтов в этом же хостинг-аккаунте.
Удалять вредоносный код следует после ознакомления с результатами антивирусного сканирования и анализа самого вредоносного кода. Простое удаление вредоносного кода может повлечь за собой проблемы в работе сайта из-за его внедрения в важные скрипты системы сайта.
Одной лишь очистки сайта от вредоносного кода часто недостаточно для обеспечения безопасности сайта. Дополнительно нужно выявить источник заражения и устранить его. Без таких действий повторное заражение может быть лишь вопросом времени.
Рекомендуем использовать дополнительные инструменты проверки сайта на вирусы, например WPScan.
Внимание!
Перед выполнением любых действий создайте резервную копию сайта и базы данных и скачайте её себе, чтобы гарантировать возможность восстановления данных, если что-то пойдёт не так.Удалить вирусы можно несколькими способами:
- Восстановить резервную копию файлов сайта до момента появления вирусного кода.
- Удалить вирусы вручную.
Внимание!
Мы регулярно обновляем базу данных сигнатур антивируса, поэтому возможны ситуации, когда вирусы были на сайте задолго до их обнаружения и будут присутствовать в резервных копиях.Ручная очистка вирусов
Для ситуации с заражением файла
functions.php темы оформления в WordPress доступна отдельная инструкция.
Для очистки хостинг-аккаунта от вредоносного кода ознакомьтесь с результатами антивирусного сканирования и устраните все найденные замечания. Необходимо открыть каждый из заражённых файлов, внимательно изучить его содержимое и удалить из него фрагменты вредоносного кода (антивирус выделяет в файле только найденные сигнатуры, вирусный код может быть в других частях файла и не быть выделенным, важно проверить весь файл и удалить подозрительные данные). Полностью удалять заражённые файлы нужно только в том случае, если они полностью состоят из вредоносного кода.
Можно производить полную замену файлов сайта на идентичные из собственной резервной копии или из официальных источников. Например, большую часть файлов WordPress можно найти в репозитории на GitHub.
Для поиска и редактирования файлов можно использовать файл-менеджер панели управления или любой FTP-клиент.
Обратите внимание на код, который зашифрован в Base64. Именно в таком виде довольно часто размещают вредоносный код. Расшифровать такой закодированный код можно с помощью специализированных сервисов, например base64decode.org или base64.guru.
К опасным функциям PHP можно отнести: eval, exec, shell_exec, system, passthru. При нахождении таких функций на них стоит обратить особое внимание, так как они часто используются во вредоносном коде.
Анализ появления
Для поиска источника заражения следует анализировать логи доступа сайта на предмет подозрительных запросов к нему. В логах стоит проверить данные за дату последних изменений вирусных файлов.
Внимание!
Дата последнего изменения не всегда соответствует реальной дате создания вирусных файлов, не следует ориентироваться только на неё. Заражение сайта могло произойти намного раньше, но появление вирусных файлов, обнаруженных нашим антивирусом, было из-за какого либо «триггера» (отправки определённых запросов, запуск скриптов, обновление файлов с удалённых серверов и т. д.).К подозрительным запросам можно отнести:
- Запросы методом POST и PUT.
- Запросы к админ-панели сайта со сторонних IP-адресов.
- Запросы к защищённым каталогам вида
systemилиstorage(в зависимости от используемой CMS некоторые каталоги могут быть системными для сайта и должны быть защищены от доступа извне). - Запросы, в которых фигурирует закодированный текст в виде Base64 и т. д., или SQL-запросы.
- Запросы к недавно установленным плагинам.
Помимо проверки логов доступа сервера стоит также проверить логи FTP, логи исходящих соединений и логи авторизации в панели управления. Если в логах были найдены подозрительные записи, стоит изменить пароли FTP-пользователей, пользователей баз данных (потребует обновления паролей в конфигурационных файлах сайтов) и учётной записи, дополнительно установив двухэтапную аутентификацию. Сгенерировать новые сложные пароли можно с помощью нашего генератора паролей или аналогичного сервиса. Если были найдены исходящие соединения, которых быть не должно, можно установить ограничения на все или определённые исходящие соединения для всего хостинг-аккаунта на время устранения проблемы.
После проверки логов нужно проверить файлы сайта на наличие стороннего кода. В первую очередь стоит проверять файлы недавно установленных плагинов и модулей. Важно остерегаться неофициальных плагинов и модулей, особенно если они являются платными, но были получены бесплатно со сторонних сайтов. Если таковые имеются — то их следует удалить или восстановить резервную копию сайта до момента их установки.
Откажитесь от любых файловых менеджеров на самом сайте. В большинстве своём они небезопасны и могут представлять угрозу.
Внимание!
Все сайты в одном хостинг-аккаунте могут быть заражены одновременно из-за уязвимостей одного сайта. Полностью изолировать сайты друг от друга возможно только путём размещения их в отдельных хостинг-аккаунтах.Для обеспечения безопасности сайта см. Рекомендации по защите от взлома.
(3)
Комментарии