Коли антивірус на хостингу при скануванні знаходить шкідливий код, власнику хостинг-аккаунта надсилається повідомлення з інформацією про проблему. Шкідливий код потрібно обов'язково видалити, так як через його наявності можуть виникати проблеми з безпекою даних як зараженого сайту, так і сусідніх сайтів в цьому ж хостинг-акаунті.
Видалення шкідливого коду варто проводити після ознайомлення з звітом антивіруса і аналізу самого шкідливого коду. Досить часто видалення шкідливого коду може спричинити за собою виникнення проблем в роботі сайту через його впровадження в важливі скрипти системи сайту.
Провести повне очищення від вірусів в більшості своїй недостатньо для забезпечення безпеки сайту, так як потрібно виявити джерело зараження і усунути його. Без таких дій повторному зараженню може бути лише питанням часу.
Рекомендується використовувати додаткові сервіси перевірки сайту на віруси, наприклад сервіс WPScan.
Видалити віруси можна декількома способами:
Для очищення хостинг-аккаунта від шкідливого коду потрібно ознайомитися з звітом антивіруса і усунути всі знайдені зауваження. Необхідно відкрити кожен із заражених файлів, уважно вивчити його вміст і видалити з нього фрагменти шкідливого коду (Антивірус виділяє в файлі тільки знайдені сигнатури, вірусний код може бути в інших частинах файлу і не бути виділеним, важливо перевірити весь файл і видалити підозрілі дані). Повністю видаляти заражені файли потрібно тільки в тому випадку, якщо вони повністю складаються з шкідливого коду.
Можна проводити повну заміну файлів сайту на ідентичні з власної резервної копії або з офіційних джерел. Наприклад, велику частину файлів WordPress можна знайти в репозиторії на GitHub.
Для пошуку і редагування файлів можна використовувати файл-менеджер панелі управління або будь-який FTP-клієнт.
Зверніть увагу на код, який зашифрований в Base64. Саме в такому вигляді досить часто розміщують шкідливий код. Розшифрувати такий закодований ділянку можна, наприклад, за допомогою цього сервісу.
До небезпечних функцій PHP можна віднести: eval, exec, shell_exec, system, passthru. При знаходженні таких функцій на них варто звернути особливу увагу, так як вони часто використовуються у шкідливий код.
Для пошуку джерела зараження слід аналізувати логи сайту на предмет підозрілих запитів до нього. В логах варто перевірити дані за дату останніх змін вірусних файлів.
До підозрілих запитам можна віднести:
Крім перевірки логів сервера варто також перевірити логи FTP, логи вихідних з'єднань і логи авторизації в панелі управління. Якщо були знайдені підозрілі записи, варто змінити паролі FTP-користувачів, користувачів баз даних3) і облікового запису, Додатково встановивши двоетапну перевірку. Згенерувати нові складні паролі можна на цієї сторінці. Якщо були знайдені вихідні з'єднання, які не повинні проводитися, можна встановити обмеження на все або певні вихідні з'єднання для всього хостинг-аккаунта на час усунення проблеми.
Після перевірки логів потрібно перевірити файли сайту на наявність стороннього коду. В першу чергу варто перевіряти файли недавно встановлених плагінів і модулів. Важливо остерігатися неофіційних полігонів і модулів, особливо якщо вони є платними, але були отримані безкоштовно зі сторонніх сайтів. Якщо такі є - то їх слід видалити або відновити резервну копію сайту до моменту їх установки.
Відмовтеся від будь-яких файлових менеджерів на самому сайті. В більшості своїй вони небезпечні і можуть становити велику загрозу.
Для забезпечення безпеки сайту варто ознайомитися з рекомендаціями щодо захисту.