Ми використовуємо cookie-файли
Для оптимізації роботи нашого сайту ми використовуємо cookie-файли. Продовжуючи використовувати сайт, Ви погоджуєтеся з використанням cookie-файлів.
Новий дизайн
Панель керування
  • Русский
  • Українська
  • English
  • UAH
  • USD
  • RUB
  • EUR
  • 0-800-307-307 Гаряча лінія
  • +38 (044) 392-74-33 Київ
  • +38 (057) 728-39-00 Харків
  • +38 (056) 794-38-31 Дніпро
  • +38 (032) 229-58-93 Львів
  • +38 (048) 738-57-70 Одеса
  • +38(093) 170-15-42  Life
  • +38 (067) 400-88-44 Київстар
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7 (499) 348-28-61 Москва

2.18.5. Очищення від вірусів

Коли антивірус на хостингу при скануванні знаходить шкідливий код, власнику хостинг-аккаунта надсилається повідомлення з інформацією про проблему. Шкідливий код потрібно обов'язково видалити, так як через його наявності можуть виникати проблеми з безпекою даних як зараженого сайту, так і сусідніх сайтів в цьому ж хостинг-акаунті.

Видалення шкідливого коду варто проводити після ознайомлення з звітом антивіруса і аналізу самого шкідливого коду. Досить часто видалення шкідливого коду може спричинити за собою виникнення проблем в роботі сайту через його впровадження в важливі скрипти системи сайту.

Провести повне очищення від вірусів в більшості своїй недостатньо для забезпечення безпеки сайту, так як потрібно виявити джерело зараження і усунути його. Без таких дій повторному зараженню може бути лише питанням часу.

Рекомендується використовувати додаткові сервіси перевірки сайту на віруси, наприклад сервіс WPScan.

Видалити віруси можна декількома способами:

Для очищення хостинг-аккаунта від шкідливого коду потрібно ознайомитися з звітом антивіруса і усунути всі знайдені зауваження. Необхідно відкрити кожен із заражених файлів, уважно вивчити його вміст і видалити з нього фрагменти шкідливого коду (Антивірус виділяє в файлі тільки знайдені сигнатури, вірусний код може бути в інших частинах файлу і не бути виділеним, важливо перевірити весь файл і видалити підозрілі дані). Повністю видаляти заражені файли потрібно тільки в тому випадку, якщо вони повністю складаються з шкідливого коду.

Можна проводити повну заміну файлів сайту на ідентичні з власної резервної копії або з офіційних джерел. Наприклад, велику частину файлів WordPress можна знайти в репозиторії на GitHub.

Для пошуку і редагування файлів можна використовувати файл-менеджер панелі управління або будь-який FTP-клієнт.

Зверніть увагу на код, який зашифрований в Base64. Саме в такому вигляді досить часто розміщують шкідливий код. Розшифрувати такий закодований ділянку можна, наприклад, за допомогою цього сервісу.

До небезпечних функцій PHP можна віднести: eval, exec, shell_exec, system, passthru. При знаходженні таких функцій на них варто звернути особливу увагу, так як вони часто використовуються у шкідливий код.

Для пошуку джерела зараження слід аналізувати логи сайту на предмет підозрілих запитів до нього. В логах варто перевірити дані за дату останніх змін вірусних файлів.

Важливо:

Дата останньої зміни не може точно вказувати на дату створення вірусних файлів і орієнтуватися тільки на неї - не можна. Зараження сайту могло статися набагато раніше, але поява вірусних файлів, виявлених нашим антивірусом, було через будь-якого «тригера»1).

До підозрілих запитам можна віднести:

  • Запити методом POST і PUT.
  • Запити до адмін-панелі сайту зі сторонніх IP-адрес.
  • Запити до захищених каталогів виду system або storage2).
  • Запити, в яких фігурує закодований текст у вигляді Base64 і т. Д., Або SQL-запити.
  • Запити до недавно встановленого плагинам.

Крім перевірки логів сервера варто також перевірити логи FTP, логи вихідних з'єднань і логи авторизації в панелі управління. Якщо були знайдені підозрілі записи, варто змінити паролі FTP-користувачів, користувачів баз даних3) і облікового запису, Додатково встановивши двоетапну перевірку. Згенерувати нові складні паролі можна на цієї сторінці. Якщо були знайдені вихідні з'єднання, які не повинні проводитися, можна встановити обмеження на все або певні вихідні з'єднання для всього хостинг-аккаунта на час усунення проблеми.

Після перевірки логів потрібно перевірити файли сайту на наявність стороннього коду. В першу чергу варто перевіряти файли недавно встановлених плагінів і модулів. Важливо остерігатися неофіційних полігонів і модулів, особливо якщо вони є платними, але були отримані безкоштовно зі сторонніх сайтів. Якщо такі є - то їх слід видалити або відновити резервну копію сайту до моменту їх установки.

Відмовтеся від будь-яких файлових менеджерів на самому сайті. В більшості своїй вони небезпечні і можуть становити велику загрозу.

Для забезпечення безпеки сайту варто ознайомитися з рекомендаціями щодо захисту.


1)
Відправки певних запитів, запуск скриптів, оновлення файлів з віддалених серверів і т. Д.
2)
Залежно від використовуваної CMS деякі каталоги можуть бути системними для сайту і повинні бути захищені від доступу ззовні
3)
Після зміни паролів баз даних буде потрібно повторно налаштувати підключення до них в конфігураційних файлах сайтів, що можна зробити за цієї інструкції.