Очищення від вірусів | Питання-відповіді на Wiki

2.18.5. Очищення від вірусів

Увага! Технічна підтримка хостингу не може надавати точні інструкції з видалення вірусів. Вся інформація носить рекомендаційний характер і не є точною інструкцією по очищенню сайту від вірусів. Дії з видалення вірусів потрібно виробляти самостійно або із залученням сторонніх фахівців.

Коли антивірус на хостингу при скануванні знаходить шкідливий код, власнику хостинг-аккаунта надсилається повідомлення з інформацією про проблему. Шкідливий код потрібно обов'язково видалити, так як через його наявності можуть виникати проблеми з безпекою даних як зараженого сайту, так і сусідніх сайтів в цьому ж хостинг-акаунті.

Видалення шкідливого коду варто проводити після ознайомлення з звітом антивіруса і аналізу самого шкідливого коду. Досить часто видалення шкідливого коду може спричинити за собою виникнення проблем в роботі сайту через його впровадження в важливі скрипти системи сайту.

Провести повне очищення від вірусів в більшості своїй недостатньо для забезпечення безпеки сайту, так як потрібно виявити джерело зараження і усунути його. Без таких дій повторному зараженню може бути лише питанням часу.

Рекомендується використовувати додаткові сервіси перевірки сайту на віруси, наприклад сервіс WPScan.

Увага! Перед виконанням будь-яких дій потрібно створити резервну копію сайту і бази даних, після чого завантажити її на свій пристрій для забезпечення можливості відновлення важливих даних.

Видалити віруси можна декількома способами:

Шляхом відновлення резервної копії файлів сайту до моменту появи вірусного коду.
Шляхом ручної очистки від вірусів.

Увага! Ми регулярно оновлюємо базу даних сигнатур антивірусу, тому віруси могли існувати на сайті досить давно і в резервних копіях також будуть присутні.

Для ситуації з зараженням файлу functions.php теми оформлення в WordPress доступна окрема інструкція.

Для очищення хостинг-аккаунта від шкідливого коду потрібно ознайомитися з звітом антивіруса і усунути всі знайдені зауваження. Необхідно відкрити кожен із заражених файлів, уважно вивчити його вміст і видалити з нього фрагменти шкідливого коду (Антивірус виділяє в файлі тільки знайдені сигнатури, вірусний код може бути в інших частинах файлу і не бути виділеним, важливо перевірити весь файл і видалити підозрілі дані). Повністю видаляти заражені файли потрібно тільки в тому випадку, якщо вони повністю складаються з шкідливого коду.

Можна проводити повну заміну файлів сайту на ідентичні з власної резервної копії або з офіційних джерел. Наприклад, велику частину файлів WordPress можна знайти в репозиторії на GitHub.

Для пошуку і редагування файлів можна використовувати файл-менеджер панелі управління або будь-який FTP-клієнт.

Зверніть увагу на код, який зашифрований в Base64. Саме в такому вигляді досить часто розміщують шкідливий код. Розшифрувати такий закодований ділянку можна, наприклад, за допомогою цього сервісу.

До небезпечних функцій PHP можна віднести: eval, exec, shell_exec, system, passthru. При знаходженні таких функцій на них варто звернути особливу увагу, так як вони часто використовуються у шкідливий код.

Для пошуку джерела зараження слід аналізувати логи сайту на предмет підозрілих запитів до нього. В логах варто перевірити дані за дату останніх змін вірусних файлів.

Важливо:

Дата останньої зміни не може точно вказувати на дату створення вірусних файлів і орієнтуватися тільки на неї - не можна. Зараження сайту могло статися набагато раніше, але поява вірусних файлів, виявлених нашим антивірусом, було через будь-якого «тригера»¹⁾.

До підозрілих запитам можна віднести:

Запити методом POST і PUT.
Запити до адмін-панелі сайту зі сторонніх IP-адрес.
Запити до захищених каталогів виду system або storage²⁾.
Запити, в яких фігурує закодований текст у вигляді Base64 і т. Д., Або SQL-запити.
Запити до недавно встановленого плагинам.

Крім перевірки логів сервера варто також перевірити логи FTP, логи вихідних з'єднань і логи авторизації в панелі управління. Якщо були знайдені підозрілі записи, варто змінити паролі FTP-користувачів, користувачів баз даних³⁾ і облікового запису, Додатково встановивши двоетапну перевірку. Згенерувати нові складні паролі можна на цієї сторінці. Якщо були знайдені вихідні з'єднання, які не повинні проводитися, можна встановити обмеження на все або певні вихідні з'єднання для всього хостинг-аккаунта на час усунення проблеми.

Після перевірки логів потрібно перевірити файли сайту на наявність стороннього коду. В першу чергу варто перевіряти файли недавно встановлених плагінів і модулів. Важливо остерігатися неофіційних полігонів і модулів, особливо якщо вони є платними, але були отримані безкоштовно зі сторонніх сайтів. Якщо такі є - то їх слід видалити або відновити резервну копію сайту до моменту їх установки.

Відмовтеся від будь-яких файлових менеджерів на самому сайті. В більшості своїй вони небезпечні і можуть становити велику загрозу.

Увага! Всі сайти в одному хостинг-акаунті можуть бути заражені одночасно через вразливостей одного сайту. Повністю ізолювати сайти один від одного можливо тільки шляхом розміщення їх в окремих хостинг-акаунтів.

Для забезпечення безпеки сайту варто ознайомитися з рекомендаціями щодо захисту.

¹⁾

Відправки певних запитів, запуск скриптів, оновлення файлів з віддалених серверів і т. Д.

²⁾

Залежно від використовуваної CMS деякі каталоги можуть бути системними для сайту і повинні бути захищені від доступу ззовні

³⁾

Після зміни паролів баз даних буде потрібно повторно налаштувати підключення до них в конфігураційних файлах сайтів, що можна зробити за цієї інструкції.

2.18.5. Очищення від вірусів

Ручне очищення вірусів

Аналіз появи

Важливо: