Как самостоятельно бесплатно удалить вирус с сайта

Инструкция подходит для DLE, Bitrix, Drupal, Joomla, ipb, vbulletin, phpBB, ucoz и других cms. В инструкции делается упор на очистку сайтов на LAMP (как наиболее распространенная технология), но работа с сайтами на ASP.NET и других технологиях в основном аналогична. В данной инструкции предполагается, что Ваш собственный компьютер полностью чист от вирусов и локальная сеть, в которой Вы находитесь, безопасна. Иначе необходимо сначала очистить от вирусов свой компьютер. Также предполагается вледение языком программирования, на котором написан сайт, так как без этого нет смысла браться за очистку.

Перед началом работы по очистке сразу же ставим фильтр входящих данных из раздела «защита». Иначе новое заражение может произойти ещё до того, как вы закончите лечить старое.

1. Диагностика.

Диагностика проводится по следующей схеме, от простого к сложному:

1.1 Скачайте файлы сайта к себе на компьютер, и проверьте их своим обычным локальным антивирусом, например, Касперским. Удалите подозрительный код и тех файлов, на которые антивирус сработает. Обязательно сделайте резервные копии любых изменяемых вами файлов и всего сайта!

1.2 В исходном коде html страницы ищем вхождения слов «iframe» и «javascript». Исследуем найденные фреймы и внешние скрипты на предмет чужеродности, не принадлежности к нашему сайту. Особенно подозрительными являются iframe малой или нулевой ширины и высоты, а javascript — с использованием eval, unescape, String.fromCharCode, а также подвергнутый обфускации. В javascript особое внимание надо обратить на document.write с вписанием другого javascript или iframe, либо вписанием meta-редиректа, а также javascript-редирект. В некоторых случаях вирусный код маскируется под счетчики посещаемости. Иногда производится полная замена обфусцированной javascript библиотеки наподобие jquery на такую же, но содержащую вирус. В таких случаях необходимо сверить размеры активной библиотеки с размерами того же файла в имеющейся у Вас резервной копии сайта.

Если в iframe, javascript или в редиректе фигурирует любой чужой домен (не Ваш и не размещенный там Вами) — это сигнал тревоги, даже если на домене пусто или там нормальный сайт. Вирусы очень часто идут «матрешкой», когда реальное вредоносное содержимое выскакивает только на третьем или пятом редиректе или фрейме.

1.3 Проводим такое же исследование по подгружаемым внешним javascript файлам. Во внешних css проводим поиск behavior, содержащих чужеродный код.

1.4 Если на сайте есть картинки, подгружаемые с других сайтов — проверяем, что выдается при запросе броузером этих картинок. При этом реферрер и агент должны быть как при обычном открытии страницы Вашего сайта с этой картинкой. Если вместо картинки выдается редирект, запрос пароля или иное чужеродное содержимое — это как правило вирус.

1.5 Перечисленные в пп. 1.1-1.3 действия необходимо выполнить с запросом страницы и скриптов несколько раз, в идеале с разных ip, с разными cookies и разными user-agent (броузерами) поскольку вирусный код может выдаваться случайным образом либо только тем броузерам, которые уязвимы, либо только поисковику, либо по иному критерию.

1.6 Добавляем сайт в Яндекс-вебмастер и Google-вебмастер, в некоторых случаях эти сервисы дают указание конкретного вредоносного кода, либо доменов, с которых подгружается вирус.

1.7 Если Вы зашли на зараженный сайт с включенным javascript в броузере (чего вообще-то лучше не делать), то Ваша антивирусная программа может дать список угроз, которые были обнаружены при посещении сайта. Из этих данных также можно выделить список вирусных доменов.

1.8 Смотрим коды http-ответов сервера на предмет редиректов разными user-agent и с разных ip адресов, поскольку зачастую редирект выдается случайным образом либо используется клоакинг. Иногда вирус ведет дневник и выдает редирект или попап только один раз каждому посетителю.

2. Удаление вируса.

Знание, какой именно код вирус выдает посетителям сайта, помогает найти на сервере источник проблемы. Если в ходе диагностики выдаваемый посетителю вредоносный код не был конкретизирован — не беда, очистка может быть успешно проведена и без этого, просто будет намного сложнее.

2.1 Скачиваем себе на локальный компьютер все файлы сайта, делаем резервную копию перед проведением очистки.

2.2 Проводим полнотекстовый поиск (по самим файлам, а не только по их заголовкам), ищем вхождения найденного в пп. 1.1-1.3 и найденных в пп. 1.5 и 1.6 вирусных доменов. Альтернативный вариант — вести поиск прямо на сервере специальным серверным скриптом.

2.3 С помощью ssh команд либо серверного скрипта находим на сервере все файлы сайта, которые были изменены в день заражения сайта и изучаем их на предмет внешних нежелательных дополнений. Это могут быть:

• include файлов с вирусных доменов (не зависимо от того, разрешен ли удаленный include по данным phpinfo),
• eval полученных с других сайтов данных,
• eval декодированных функцией base64_decode данных,
• обфусцированный php-код,
• переопределенные функции,
• include или eval внешних данных, передаваемых скрипту через глобальные массивы GET, POST, COOKIE, SERVER (‘HTTP_REFERRER’,’HTTP_USER_AGENT’ и др.), обычно являющееся backdoor,
• посторонние коды ссылочных бирж (часто целью взлома сайта является продажа с него ссылок),
• http-заголовки с редиректом на вирусные домены, отправляемые функцией header,
• exec, system, popen, passthru и другие функции, выполняющие вызов программ, если их использование не предусмотрено cms. Если cms не задействует данные функции, а также функцию eval, то лучше вообще их отключить в php.ini,
• бэкдоры в триггерах mysql,
• auto_prepend_file или auto_append_file в php, с бэкдором или вирусным кодом,
• в очень редких случаях команда запуска лежащего в tmp вирусного файла запускается пользовательским crontab.

При анализе нежелательных дополнений может помочь знание кода, выясненого в ходе диагностики (п.1).

Помимо выдачи посетителям вредоносного содержимого, перечисленные выше чужеродные вхождения могут представлять собой web shell или backdoor, с помощью которых злодей контролирует Ваш сайт.

2.4 Делаем дамп базы данных, и изучаем аналогично п.1.1, но с учетом того, что в базе код может быть преобразован в мнемоники и вместо <iframe> будет &lt;iframe&gt;

2.5 Удаляем все чужеродные вхождения, обнаруженные в ходе работы по перечисленным выше пунктам.

2.6 Проверяем работоспособность сайта, его функционал. Иногда вирус затирает собой важные файлы или нарушает их синтаксис, и после очистки обязательно надо все восстановить. В очень редких случаях вирус затирает все так, что файлы сайта уже невосстановимы. Хорошо, если есть копия у хостеров или подключена услуга резервное копирование.

2.7 Создаем резервную копию очищенного сайта. В случае повторного заражения можно будет восстановить сайт из этой резервной копии.

Если остановиться на этом, то на следующий день либо в пятницу вечером на этой же неделе произойдет повторное заражение сайта и все с начала. Поэтому необходимо двигаться дальше.

3. Выясняем и ликвидируем причину заражения.

3.1 В первую очередь необходимо проанализировать лог веб-сервера и лог ftp, найдя в них время, предшествовавшее заражению. Если имеется лог ошибок php и лог командного интерпретатора, они тоже могут оказаться полезны. Иногда в логах бывает достаточно данных, чтобы определить источник заражения сайта. Но нельзя ограничиваться только закрытием первоначальной проблемы, необходим комплексный подход.

Самые распространенные пути заражения:

• похищение ftp паролей,
• уязвимости в движке (cms),
• заражение от соседних сайтов на том же сервере,
• уязвимость утилит на сайте или на сервере.

3.2 Похищение ftp паролей. Причины бывают разные:

• использование ftp через бесплатный wifi, зараженный похищающим пароли вирусом, или с компьютера в зараженной локальной сети. Чтобы избежать такой утечки паролей, целесообразно поверх бесплатного wifi или подозрительной локальной сети использовать платный VPN с шифрованием.
• похищение паролей из ftp-клиента (например, похищение файлa wcx_ftp.ini из Total Commander) с помощью сайтового вируса, вируса в пиратской программе или вируса на флешке.
• pfishing ftp-паролей (при входе на сайт seo-утилит или иной подобный сервис предлагают ввести ftp логин и пароль, либо под видом представтелей хостера под разными предлогами просят посетить якобы страницу смены ftp-пароля).

3.3 Уязвимости в движке (CMS).

Многие CMS все ещё содержат уязвимости типа SQL injection, source include, xss и др. Обычно сообщения об обнаружении таких уязвимостей появляются на сайтах поддержки данных CMS, например, http://dle-news.ru/bags/. В ходе очистки сайта необходимо закрыть все уязвимости, описанные на сайте разработчика CMS, а также проверить движок на наличие уязвимостей, добавленных туда при установке модов или ином дополнении функционала. Как движок, не имеющий подобных явных проблем можно порекомендовать UMI CMS.

Помимо собственно дыр в движке бывают ещё уязвимости, связанные с сочетанием определенных настроек движка и/или определенных настроек сервера. Например, если настройки сайта позволяют посетителям постить на сайт картинки с других сайтов, то это автоматически увеличивает риск проблемы, упомянутой в п.1.3. Некоторые CMS не имеют явных уязвимостей, но в случае несоответствия настроек сервера системным требованиям эти CMS могут быть очень уязвимы. В ходе очистки необходимо уточнить соответствие сервера требованиям безопасности конкретной CMS.

3.4 Заражение от соседних сайтов на том же сервере.

Если Вы подключаетесь к своему сайту по ftp и не видите других сайтов, кроме своего — это ещё не значит, что от Вас нет доступа к соседям и от них нет доступа к Вам. Необходимо подключиться по ssh (если хостер дает такую возможность) и проверить, не видны ли файлы других пользователей. Также пробуем подняться выше своей директории php файл-менеджером, или perl, или программами на других языках, работающих на этом сервере. Если такая возможность подняться выше и перейти в папки других пользователей есть — необходимо сменить хостинг, так как очистка в рамках отдельно взятого сайта в таких условиях невозможна.

3.5 Движок сайта может быть хорошим, но при этом у хостера могут стоять утилиты управления базами данных или скрипты статистики, имеющие уязвимости или пригодные для брутфорса. Это может быть phpMyAdmin с единой авторизацией для всех клиентов, что в сочетании с короткими паролями может дать успешный взлом управления базами и как следствие — добавление вирусного кода в хранящиеся в базе статьи или шаблоны. По возможности необходимо закрыть эти пути проникновения вирусов. К сожалению, это зачастую также означает смену хостера.

4. Меняем все пароли: ftp, ssh, mysql, пароли на администрирование сайта (пароли cms).

Зачем все так сложно? Я вот просто убрал из шаблона сайта строчку с вирусом, и у меня теперь все хорошо.

Вам повезло. Но нельзя считать хакера глупышом. Обычно если вирус не дотерт, он возвращается. И возвращается в значительно более хитром и зашифрованном виде, и его удаление становится на порядок более сложной задачей.



Как удалить вирус с сайта полное руководство для владельцев

Как удалить вирус с сайта. Пошаговое руководство.
Самое страшное сообщение для владельца сайта — «Ваш сайт был заблокирован из-за вредоносного кода». Формулировок великое множество, но смысл один. Ваш сайт взломан и в его коде живет вирус.

Я думаю, нет необходимости объяснять, чем грозит заражение вирусом. Коротко для самых любопытных — вы потеряете свой бизнес из-за блокировки хостером или лишитесь контроля над проектом, так как ваш проект заберет владелец вируса.

Теперь приступим к лечению сайта.

Первое, что необходимо сделать — скачать все файлы сайта к себе на компьютер. Лучше скачивать на флешку, так как ее можно будет отформатировать и не бояться перенести вирус на жесткий диск.

После того как у вас скачаются все файлы, запускаем проверку этой папки локальным антивирусом. Подойдет любой, я использую dr web или Kaspersky Security, в зависимости от того, что находится под рукой. Во время сканирования, антивирус сработает на поврежденные файлы 99% в них будет код backdoor (дословный перевод — задняя дверь). Эти файлы нужно заменить чистыми. Так как если останется хоть малейший хвостик вируса, ваш сайт будет подвержен опасности повторного заражения.

Лучше не пытаться найти и удалить вредоносный код, а заменить файлы из резервной копии. В случае с cms можно скачать чистый дистрибутив и взять файлы там.

Да, есть риск потерять какие-то изменения, но это лучше чем потерять весь сайт, да и восстановить их не так сложно.

Второй шаг — очищаем код сайта от вирусных вкраплений

Эти вкрапления не отловятся локальным антивирусом, а нам их нужно обязательно найти. Если мы это не сделаем, то сайт будет перебрасывать пользователей на другие сайты, показывать рекламу, распространять вирусы. Одним словом — не будет работать, так как нам нужно.

Хорошо, что нам это не понадобится делать руками, так как сайт может состоять из сотен файлов.
Для проверки можно использовать скрипт AI-Bolit. Он хорошо себя зарекомендовал в удалении вирусов с сайта.

Как понять, что в коде вирус, а что сам сайт?

После получения отчета проверки, начинается самый тяжелый шаг — анализ.
Все обнаруженные вкрапления будут отмечены красным цветом (пример отчета можно посмотреть тут). Дальше необходимо открыть каждый файл и проверить его на наличие вредоносного кода.

Как удалить вирус с сайта — на что обращать внимание?

• 1. Любые упоминания чужих сайтов — редирект.
  Проверьте все упоминания чужих сайтов, если это не внешние ссылки установленные вами, удаляйте такой код
• 2. iframe
  Если у него маленький размер или в нем идет подключение стороннего кода, о котором вы не знали ранее, удаляем
• 3. Лишние счетчики посещения — вирусы часто маскируют под них. Проверяем свой или чужой и во втором случае удаляем
• 4. Динамическое исполнение кода (eval, assert, create_function)
  99% упоминаний этих названий будут вести на вирус
• 5. Обфускация (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace)
  base64_decode — может встретится в обработчике, отправки писем, в большинстве случаев это вирус
• 6. Загрузка удаленных ресурсов (file_get_contents, curl_exec)

После удаления всех вхождений, наш сайт условно чист. Файлы сайта были очищены, теперь нужно проделать тоже самое с базой данных.

Удаление вируса с сайта — финал.

После детального анализа и очищения файлов и базы данных, сайт готов к проверке. Загружаем все на хостинг и начинаем тестировать. Важно протестировать сайт с разных ip адресов и через разные браузеры, это помогает найти оставшиеся хвосты заражения.

Важно понимать, что вирус мог сильно повредить соседние файлы. Если после очищения сайта, какой-то функционал перестал работать, его придется восстанавливать отдельно. Это как с компьютерами, страдает не только зараженный файл, но и еще несколько рядом.

Также перед тестированием, рекомендуем сменить все пароли:

• хостинг;
• FTP;
• админка и др.

Если первый этап тестов прошел успешно, яндекс и гугл разблокировали ваш сайт, то вы можете поздравить себя. Вирус побежден! Остается понаблюдать за своим проектом, чтобы убедится, что нет повторного заражения.

Удалить вирус с сайта

— Вы переживаете за безопасность своего бизнеса?
— Ваш сайт подвергается атакам хакеров?
— Вы теряете клиентов из-за неполноценной работы сайта?

У нас есть, то что вам необходимо!

— Найдем и удалим все вирусы и другой вредоносный код с вашего сайта.
— Снимем блокировку сайта на хостинге.
— Обеспечим безопасность сайта.
— Восстановим работу вашего сайта после взлома.
— Защитим от возможного взлома сайта в будущем.
— Результат уже СЕГОДНЯ.
— Гарантия на выполненные работы — 1 год.

Поддерживаемые все системы управления сайтом. Включая:

Чем страшны вирусы на сайте?

Заражение сайта вирусами может привести к следующим последствиям:
— Сайт заблокируют в поисковых системах и системах контекстной рекламы.
— Резко упадет посещаемость вашего сайта. А, как известно, нет посетителей – нет клиентов.
— Сайт заблокируют со стороны хостинг провайдера.
— Через ваш сайт могут рассылать спам от вашего имени.
— Все посетители вашего сайта заразятся вирусами.

Часто задаваемые вопросы:

Через какое время Яндекс (Google) поймет что на сайте нет вирусов?
— 1 сутки после проведения работ.

Как происходит оплата?
— После проведения работ. Любым удобным для вас способом.

Как удалить вирусы с сайта?

Если вы заметили нарушения в работе сайта, следует срочно проверить его на наличие вирусов. Если они обнаружены, то необходимо их удалить, почистив сайт. Как это сделать?

Есть два варианта:

• выполнить самостоятельно;
• доверить работу профессионалам.

В том случае, если вы выбираете первый вариант:

• Получите на хостинге реквизиты FTP доступа к своему сайту.
• Используя FTP доступ, получите локальную копию размещенных на хостинге сайта файлов и сохраните ее как резервную.
• При помощи антивирусной программы или специально разработанных сканеров (AI-Bolit, Manul и др.) проверьте файлы на наличие вирусов.

Внимание! Использование обычного компьютерного антивируса может вместо лечения файла привести к его удалению, что сделает некорректной работу сайта.

• После получения отчета о сканировании (или проверке антивирусом), который содержит список файлов, пораженных вирусом, внесите изменения в каждый файл из списка. Суть замены заключается в удалении части кода, выделенного антивирусом.

Очень важно выполнить изменения во всех файлах, выделенных при сканировании, независимо от их количества.

• Для того, чтобы убедиться, что все файлы исправлены, — запустите повторную проверку. Если это необходимо – снова внесите изменение в каждый, обнаруженный сканером, файл. Если же при повторном сканировании вирусы не обнаружены, файлы можно снова переписать на хостинг.
• По окончании работ следует проверить работоспособность сайта в целом. Для этого необходимо отправить заявку на перепроверку безопасности через Google.Webmaster (Yandex.Webmaster). Если все работы были выполнены правильно, пометка о наличии вирусов исчезнет.

Мы постарались наиболее кратко описать каждый шаг решения проблемы. Как видите, при наличии свободного времени и желании (возможности) разобраться можно.

Еще один вариант – обратиться за помощью к специалистам. Доверив удаление вирусов профессионалам, вы избавите себя от дополнительных хлопот по обустройству и корректной работе сайта.

Мы поможем очистить сайт от вирусов любой степени сложности и обеспечим его надежную защиту.

Как удалить вирус из браузера: наглядная инструкция

Содержание статьи

В сети распространено огромное количество вирусов, которые всячески мешают комфортной работе пользователей с компьютером. Некоторые из них используют браузер для своей деятельности. Далее будет рассказано, как выявить, что на вашем компьютере работает вирус в браузере и как его удалить. Будут показаны различные решения для наиболее популярных браузеров.

Как распознать, что проблема в вирусе

Первый вопрос пользователя – как определить наличие вредоносных программ. Иногда многие юзеры даже не догадываются, что на компьютере есть вирус. Определить его присутствие вам помогут следующие признаки:

• Регулярно на всех сайтах появляются рекламные баннеры, при этом реклама появляется даже при установленных ADblock или Adguard.
• Периодически появляются просьбы отправить текстовые сообщения на непонятные номера для доступа к определенным сайтам.

• Предупреждающие сообщения о том, что компьютер будет заблокирован, поэтому необходимо обновить какое-либо приложение, например, Flash Player. Естественно, представленная ссылка будет вести на сайт злоумышленников.
• Регулярное появление при открытии сайтов картинок или видео эротического содержания (да-да, вы ничего такого не открывали).
• Создание новых вкладок или окон в браузере без ведома юзера.

Это наиболее распространенные признаки наличия проблем с браузером.

Способы удаления вируса

Избавиться от вирусов можно несколькими путями (начиная от полной проверки системы антивирусом и заканчивая удалением всех дополнений). Об этих и других методах мы расскажем подробнее далее.

Полная проверка системы на вирусы

Первый обязательный шаг – это проверка всего компьютера на вирусы. Рекомендуем использовать утилиту Dr.Web CureIt. Скачать ее можно на официальном сайте компании «Доктор Веб». Программа не требует установки, поэтому ее достаточно переместить на флешку, вставить накопитель в компьютер и запустить процесс.

После скачивания утилиты выполняете несколько простых шагов:

1. Запустите программу и согласитесь с лицензионным соглашением.
2. В главном окне нажмите «Выбрать объекты для проверки».
3. Установите галочки на всех пунктах и запустите Cure It.

Процесс может затянуться на несколько часов, если количество файлов достаточно велико. После проверки в окне будет список опасных файлов. Dr.Web может вылечить их, переместить в карантин или удалить. Решение о действиях принимает пользователь. Проверку можно выполнить и любым другим установленным антивирусом (Eset, NOD32 и так далее), однако нет гарантий, что системные файлы антивирусного ПО тоже не были повреждены. После удаления вирусов рекомендуем перезагрузить компьютер и переустановить браузер. Проблема должна исчезнуть.

Проверка расширений и плагинов браузера

Многие пользователи активно расширяют функционал своего браузера при помощи плагинов. Далеко не каждый из них действительно выполняет полезные вещи, если дополнение было установлено со сторонних ресурсов. Проверка выполняется по следующей методике:

1. Отключаете абсолютно все плагины, которые есть в браузере.
2. Далее включаете один из них, а затем наблюдаете, остались ли проблемы.
3. Если все работает корректно, отключаете этот плагин, но записываете его в список безопасных.
4. Включаете следующий плагин и выполняете его «тестирование».

Работа только с одним расширением обоснована тем, что проблемы в функционирование браузера могут вносить одновременно два плагина (они могут конфликтовать между собой). Осталось только выяснить, где найти дополнения для каждого из браузеров.

Internet Explorer

Если вы юзаете этот легендарный браузер от Microsoft, то вам обязательно понадобится информация об использовании дополнений. Для отключения необходимо проделать следующие шаги инструкции:

1. Нажмите на изображение шестеренки. Выберите строку «Настроить надстройки».
2. В новом окне выберите «Панели инструментов и расширения».
3. Нажмите мышкой по нужному дополнению. Выберите «Отключить»/»Включить».
4. Перезапустите браузер.

Microsoft Edge

В самом новом Edge работа с расширениями максимально упрощена:

1. В браузере вызовите через правую кнопку основное меню. Выберите раздел «Расширения».
2. Откроется список дополнений. Наведите на нужно строку мышку, а затем нажмите на шестеренку.
3. Переведите тумблер в состояние «Выкл». В этом же окне происходит удаление.
4. Opera

Без особых отличий происходит отключение и удаление плагинов в браузере Opera. Пользователю необходимо проделать следующие пункты:

• Зайдите в главное меню и найдите подпункты «Расширения».

• Пролистайте до нужного расширения. Нажмите кнопку «Отключить».

Обратите внимание, что кнопки удалить нет. В верхнем углу при наведении на окошко появится крестик. Именно он отвечает за стирание дополнения.

Mozilla Firefox

Для работы с плагинами в Firefox вам необходимо сделать:

1. Нажмите пункт меню «Инструменты», подраздел «Дополнения».
2. В Firefox все находится в одном месте (список плагинов, кнопки отключения и удаления). В связи с этим, бродить по окнам вам не придется.

Обратите внимание, что здесь сторонние приложения разделены на «расширения» и «плагины». Рекомендуем заглянуть на обе вкладки.

Google Chrome

Настройки над плагинами в «Хроме» также достаточно быстро и легко выполняются:

1. Нажмите «меню» в правой части окна.
2. Перейдите в раздел «Настройки», далее – в подменю «Расширения».
3. В блоке аддона снимите «галочку» рядом с «Включено». Это деактивирует расширение.

Safari

Функционал браузера «Сафари» от «Эппл» также позволяет гибко настраивать работу расширений:

• запустите программу Safari;
• в меню перейдите в «Настройки»;
• зайдите в раздел «Расширения»;
• для деактивации нужного плагина уберите флажок с «Включить».

Яндекс.Браузер

Разработчики браузера от «Яндекс» не стали изобретать колесо, поэтому настройка дополнений происходит по уже привычному многим пути:

1. Через основное меню перейдите в раздел «Дополнения».
2. Переведите переключатель в состояние «Выкл.» напротив нужного расширения. Для деинсталляции нажмите надпись «удалить».

Проверка ярлыка браузера

Часто вирусы изменяют описание ярлыка, из-за чего при запуске браузера автоматически выполняются команды, прописанные в поле «Объект». Исправить ситуацию достаточно просто: необходимо перейти в свойства ярлыка, а затем удалить все надпили, которые следуют после пути к файлу.

После редактирования не забудьте нажать кнопку «Применить».

Проверка недавно установленных программ и приложений

Сторонние приложения во многих случаях являются источниками проблем. Рекомендуем перейти в раздел «Программы и компоненты», а затем тщательно изучить весь список установленного ПО.

Некоторые вирусы в виде программ отображаются в этом списке, например, генератор рекламы «Казино Вулкан». Пользователю необходимо нажать правой кнопкой мыши по строке и выбрать «Удалить». Если при деинсталляции возникают ошибки, найдите расположение каталога на жестком диске, а затем вручную очистите папку от файлов этой программы.

Проверка файла hosts

В операционных системах Windows есть специальный файл hosts. Он содержит базу доменных имен и сетевые адреса, которые используются для трансляции. Проще говоря, изменив или добавив данные в этот файл, можно сделать переход на сторонний ресурс без ведома пользователя. Юзер будет думать, что открывает необходимый ему сайт.

Файл находится по следующему пути:

Откройте его через обычный «Блокнот» и проверьте, не дописано ли в нем лишних строк. Например, в файле может быть заблокирован какой-либо сайт или выполнено перенаправление.

Содержимое должно выглядеть так, как представлено на изображении ниже.

Если в hosts постоянно после удаления добавляются сторонние строки, проверяйте весь компьютер на вирусы.

Проверка процессов в Диспетчере задач

Довольно часто вирусы «раскрывают» себя по дополнительному расходу трафика, оперативной памяти или ресурсов процессора. Выявить их в таком случае позволяет диспетчер задач. Он вызывается сочетанием клавиш Ctrl+Alt+Del. Перейдите во вкладку «Процессы» и проследите, что больше всего потребляет ресурсов. Например, какой-то процесс грузит на 90-100% жесткий диск или процессор, при этом вы ничего не запускали на компьютере. Это возможный признак наличия вируса.

Необходимо нажать правой кнопкой компьютерной мышки по процессу и выбрать «Расположение файла». Если он не является системным файлом, то, скорее всего, он и есть то самое вредоносное ПО.

Для тестирования можете отключить этот процесс, чтобы проверить, наладилась ли работа системы. Будьте осторожны при удалении любых файлов. Предварительно читайте в Интернет, для чего необходим каждый из них. Некомпетентность в этом вопросе может привести к критическим ошибкам и необходимости восстанавливать Windows.

Проверка «Планировщика заданий»

Автоматическое включение браузера или рекламы может быть связано с установкой соответствующих действий в планировщике задач. Это специальный раздел в Windows, который автоматически запускает необходимое ПО, например, ежедневные проверки на наличие обновления драйверов и так далее. Рекомендуем тщательно изучить, что находится в планировщике заданий:

1. Нажмите на клавиатуре клавиши Win (иконка «Виндовс») +R. В открывшемся окне введите taskschd.msc и нажмите «Энтер».
2. В окне планировщика нажмите на «Библиотеку планировщика», выберите файл и переключите на вкладку «Действия». Если какое-либо действие изменяет параметры запуска браузера, то удалите этот файл.

Рекомендуем пролистать весь список, поскольку в планировщике могут «спрятаться» несколько вирусов, каждый из которых необходимо удалить.

Использование специальных программ

Чистка браузера от опасного ПО – задача довольно проблематичная. Чтобы облегчить этот процесс, сторонние разработчики создают специализированный софт, который по аналогии с антивирусом ищет различные рекламные вирусы и нарушения в работе браузера.

Malwarebytes

Функциональный софт для чистки ПК или ноутбука от «браузерных» вирусов. Есть версии для Windows, MacOS и даже для «Андроид». Софт – платный, но можно скачать ознакомительную версию. Malwarebytes выполняет проверку памяти, файлов автозагрузки, реестра, файловой системы и осуществляет эвристический анализ. Есть возможность формировать подробные отчеты и перемещать опасные файлы в карантин.

Многие эксперты ставят этот софт наравне с продукцией Norton и Kaspersky Antivirus, поэтому в безысходных ситуациях обязательно попробуйте «Малварбайтс».

AdwCleaner

Максимально простая и удобная программа для чистки компьютера. Софт имеет достаточно широкие возможности:

• удаление практически любых видов рекламного ПО, встроенных панелей;
• выполняет полное сканирование служб, папок, ярлыков и файлов;
• работает с большинством актуальных браузеров;
• наглядный и максимально простой интерфейс;
• портативность софта.

Выпускается на русском языке полностью бесплатно. Рекомендуем всегда иметь на флешке данную утилиту.

Советы для отдельных браузеров

Существуют также частные случаи решения, которые могут работать в отдельных браузерах. Именно о таких случаях мы поговорим далее.

«Яндекс.Браузер»

Этот браузер – один из самых новых приложений, поэтому даже в свежих версиях могут происходить сбои. Решить их в большинстве случаев помогает типичная переустановка программы. Предварительно не забудьте сделать бэкап важных данных: паролей, закладок и так далее. Также рекомендуем почистить временные файлы:

• Зайдите в «Инструменты» и нажмите по «Настройки».

• Выберите пункт «Настройки JavaScript». Непременно почистите папку от всего содержимого.

Скопившийся «мусор» может создавать проблемы в работе браузера.

Internet Explorer

В «Интернет Эксплорер» для удаления рекламного вируса потребуется поочередно выключать каждое приложение, чтобы таким способом искать виновника. После каждого отключения не забывайте перезапускать браузер. Определив источник рекламы, обязательно удалите его.

Основные причины «заражения»

Лучший способ решения проблемы – это не допустить ее появления. Каждый пользователь должен знать, откуда на компьютере появляется вредоносное ПО. Это позволит в будущем быть максимально осторожным, при этом обезопасить свои личные данные. В большинстве случаев пользователь «подхватывает» вирусы в следующих местах:

• Использование «специализированных» установщиков. Некоторые сайты предлагают для скачивания предварительно установить программу-загрузчик (например, MediaGet). Такое ПО часто содержит вирусы.
• Использование файловых обменников. На такие ресурсы можно загружать что угодно, а содержимое никак не проверяется на наличие вирусов. Доверчивые пользователи потом скачивают эти файлы на свой компьютер.
• Установка нелицензионных программ. Вместе с нужным софтом в инсталляторе может быть прописана установка «Амиго» или других рекламных программ. Обязательно проверяйте и читайте все пункты.

• Посещение фишинговых сайтов. Такие ресурсы созданы специально для заражения как можно большего числа компьютеров.

Отсутствие антивируса только усугубляет эти проблемы.

Как предупредить проблему

Чтобы не заниматься изнурительным удалением рекламы в браузере или поиском вирусов, рекомендуем придерживаться важных советов, которые помогут выполнять безопасный серфинг в Интернете. Во-первых, всегда имейте на компьютере антивирус.

Windows располагает собственной системой безопасности, но ее эффективность оставляет желать лучшего. Установите на ПК или ноутбук Dr.Web, Eset, NOD32, Avast или любой другой известный антивирус. Большинство из них имеют бесплатные версии или общедоступные лицензионные ключи. Также рекомендуем проводить полную проверку файлов на компьютере один раз в неделю.

Второй совет – не посещайте сайты с сомнительным содержанием. Большинство поисковых систем тщательно фильтруют интернет-ресурсы, но некоторые опасные интернет-ресурсы попадают в выдачу поиска. Если сайт имеет странный адрес, не переходите на него. Часто поисковики сами предупреждают пользователей о мошеннической деятельности.

Рекомендуем не выходить дальше проверенных сервисов и социальных сетей. Скачивать необходимое ПО можно с крупных трекеров, предварительно почитав комментарии к конкретной раздаче. Если с деньгами проблем нет, покупайте лицензионный софт.

Старайтесь не хранить важную информацию в электронном виде. Это касается логинов и паролей к социальным сетям и финансовым приложением. Браузеры всегда предлагают высокий уровень безопасности хранения паролей, но украсть личную информацию все-таки возможно. Не поленитесь каждый раз вводить пароль самостоятельно, возможно, это сохранит ваш аккаунт в безопасности при попадании вирусов на компьютер.

Обязательно делайте резервные копии. Если пишите на компьютере книгу, диплом или храните файл-кошелек от биткоина, сделайте несколько копий на флешке. Существует ряд вирусов, которые шифруют всю информацию на компьютере, делая ее недоступной для пользователей. При отсутствии резервных копий потери могут быть критичными.

Также советуем настроить в системе Windows формирование точек восстановления. При обнаружении проблем вы сможете «откатить» свой «Виндовс» до состояния, когда все работало корректно. Создание точек выполняется в меню «Свойства системы», вкладка «Защита системы».

Придерживайтесь этих советов, и вы обезопасите свои личные данные. При возникновении проблем используйте специализированный софт для чистки от рекламных вирусов, проверяйте планировщик заданий, автозапуск и файл hosts.

Пожаловаться на контент

методика лечения и настройка безопасности

Зараженный ресурс рассылает спам, вредит компьютерам ваших клиентов, портит выдачу в поисковых системах и т. д. Вы обязаны заботиться о его безопасности, если не хотите потерять клиентов, позиции и репутацию.

Не знаете, что и как делать? Не проблема, эта статья снимет все вопросы и поможет разобраться в диагностировании, лечении и предотвращении заражения.

Как понять, что произошло заражение сайта

Самые популярные маркеры того, что с сайтом что-то идет не так:

• ресурс заблокирован антивирусом или интернет-браузером;
• произошли резкие изменения в статистических параметрах сервера или индексации поисковых систем;
• сайт находится в черном списке Google или другой базе нежелательных адресов;

  

• сайт не работает должным образом, выдаются ошибки, предупреждения;
• в коде сайта есть подозрительный текст.

  

Однако проверить свой сайт стоит в любом случае, даже если вы ничего из вышеперечисленного не замечали. Выдохнуть спокойно можно, когда подозрения на наличие вирусов на сайте не подтвердятся. Хотя нет, только после того, как примете превентивные меры защиты.

Наиболее частые источники или причины заражения

Основных причин и факторов, по которым ваш сайт может подхватить вирус и распространять его после этого по всему Интернету, не так и много. Ниже приведен список основных и наиболее встречающихся.

• использование вирусного ПО для кражи учетных данных, доступов от FTP, хостинга или панели управления сайтом;
• уязвимые компоненты в популярных CMS-платформах, например, Joomla, WordPress, Bitrix, osCommerce;
• брутфорс – взлом пароля перебором.

Теперь мы знаем, что сайт может быть заражен как по вашей вине, так и благодаря стараниям сторонних «доброжелателей». Самое время рассмотреть, пожалуй, главное – идентификацию проблемы и ее устранение.

Что и чем проверять, и как лечить

Есть несколько подходов по выявлению причины проблемы и также несколько советов по ее излечению. Как и в других сферах, нет 100% гарантии, что проверка одним способом поможет решить все косяки. Мы советуем для надежности использовать несколько методов.

1. Автоматическая проверка на вирусы средствами хостинга. Конечно, данные модули не являются панацеей, но в большинстве случаев определят заражение и укажут проблемные файлы.
2. Тестирование через программу Ai-bolit от revisium.com. Наиболее современная из всех существующих программ на данный момент. Она позволяет вычислить до 90% проблем. А там уже по факту обнаружения можно подбирать и метод исправления.
3. Если в коде сайта вы заметили какие-то посторонние подозрительные символы, куски кода и т. д., можно пользоваться специальными PHP-скриптами. Например, Far от Secu.ru. Они помогут найти файлы, которые содержат эту маску. После обнаружения надо провести чистку файлов от найденного мусора. Но для данного метода нужны определенные знания в области программирования и файловой структуры сайта.
4. Полезно также проверить загруженную копию сайта на своём компьютере при помощи антивируса, предназначенного для локального компьютера. Современные антивирусы имеют развитый эвристический модуль, который позволяет с легкостью выявить вредоносные коды, поражающие сайты. Наиболее популярный на данный момент – rescan.pro.
5. Также можно проверить сайт через вебмастер Яндекса, Mail, Bing, Google. Если на сайте будет обнаружена подозрительная активность, в панели вебмастера появится соответствующее сообщение и общие рекомендации по дальнейшим действиям.
6. Периодически проверяйте страницы вашего сайта в индексе поисковых систем и по сниппету смотрите на содержание (для большого сайта). Если сайт небольшой (до 50 страниц), можно посмотреть каждую из страниц в сохраненной копии. Также рекомендуем периодически проверять файл .htaccess на наличие постороннего кода, который отправляет пользователей и роботов на разные виды контента (клоакинг). По аналогичной схеме работает часть дорвеев, но только в этом случае пользователю показывается тот же контент, либо производится его 3хх редирект на нужную страницу злоумышленника. В этом случае проверьте правильный ответ сервера страницы, при необходимости устраните проблему, в результате которой отдается неверный ответ. Стоит добавить правила в robots.txt для закрытия от индексации ненужных вошедших в индекс страниц, если взлом произошел.

   

7. Важно проверять и состав пользователей, которые зарегистрированы на сайте. В первую очередь проверяем имеющих права к редактированию сайта. Если есть посторонние пользователи, их удаляем, отключаем права на редактирование и производим поиск уязвимости, выясняя, каким образом данный пользователь был добавлен.

Когда проверили сайт, нашли проблемы и устранили их, необходимо сменить пароли ко всем аккаунтам (панели управления хостингом и CMS, FTP, SSH, и т. д.).

Как защитить сайт?

Как уже неоднократно говорилось выше, лучше предупредить заражение, чем потом его лечить и исправлять последствия. Поэтому настоятельно рекомендуем соблюдать следующие меры безопасности.

1. Делайте резервные копии сайта. Желательно, чтобы период копирования был не менее 6 месяцев, т. к. при запущенной стадии заражения незатронутые вирусом файлы могут быть только в самых ранних версиях.
2. Используйте криптостойкие пароли. Их желательно ежемесячно обновлять.
3. Cкачивайте и устанавливайте актуальные версии ПО, регулярно их обновляйте. Своевременно устанавливайте все необходимые патчи, это поможет снизить риск атаки с использованием эксплойтов.
4. Не будет лишней и установка плагинов или компонентов с защитными свойствами. Например, изменяющие адреса админки или блокирующие IP вредителей, которые пытаются подобрать пароль. Можно добавить двойную авторизацию с помощью файлов *.htpasswd, отключив стандартный модуль восстановления пароля.
5. Настройте автоматическую проверку вашего сайта средствами хостинга.
6. Установите надежный антивирус на все компьютеры, с которых работаете с сайтом.
7. Не пересылайте пароли и запретите это делать всем сотрудникам, работающим с сайтом, любыми каналами связи (ВКонтакте, Facebook, Skype, различные мессенджеры и т.д.). Регулярно меняйте пароль от почты, с которой связан ваш сайт.
8. Повысьте безопасность специальными правилами в файле *.htaccess. Например, запретите php в папках, загружаемых пользователем через сайт, закройте загрузку исполняемых файлов.
9. Дополнительно можно ограничить показ сайта только в странах с вашей аудиторией. Очень часто преступники пользуются программами, шифрующими их местоположение IP других стран.
10. Если не используете SSH, то лучше вообще отключите его.

Выводы

К сожалению, не существует той самой таблетки, которая избавит вас от заражения раз и навсегда. Кибер-преступники не сидят на месте и изобретают новые способы, находят новые дыры, пишут новые вирусы. Однако каждый может повысить надежность своего сайта, соблюдая основные правила безопасности, поддерживая чистоту сайта и компьютера.

Ваш сайт уже заражен, а вы не можете найти причину или не знаете, как ее устранить? Или хотите проверить ресурс и убедиться, что с ним все в полном порядке? С радостью поможем. Просто оставьте заявку на проверку.

Обнаружение и устранение вирусов на сайте. Что делать при заражении. Как вылечить сайт. Хостинг в деталях

Сайт — это набор файлов, размещенных на постоянно подключенном к интернету сервере. Соответственно, под «вирусами на сайтах» подразумеваются программы или вредоносные включения в файлы сайта, из-за которых сайт работает не так, как он должен работать. Что делать, если ваш сайт заражен?

Каковы причины заражения сайтов?

Основная причина заражения сайтов — это желание заработать за чужой счет. Схема обычно выглядит так: пользователь, зашедший на зараженный сайт, принудительно перенаправляется на сторонний ресурс, не имеющий к исходному никакого отношения (например, на платник партнерской программы). Злоумышленник получает деньги за трафик, перенаправляемый со взломанных сайтов.

Некоторые сайты взламываются ради распространения среди пользователей классических вирусов и формирования ботнетов. Как правило, такие сайты блокируются поисковыми системами, и пользователи при обращении к подобным ресурсам видят предупреждение о том, что сайт заражен. Популярные поисковые системы предоставляют сервис почтовых извещений о заражении ваших сайтов: webmaster.yandex.ru, google.com/webmasters.

Что делать при заражении или взломе сайта? Кто виноват?

Если ваш сайт заражен, не стоит паниковать и мучать своего хостера гневными обвинениями. В 90% случаев хостер к этой проблеме не имеет никакого отношения.

Но всё-таки можно уточнить у своего провайдера, имеет ли проблема массовый характер, или возникла только на вашем сайте. Если сайт размещен на shared-хостинге с общим IP-адресом, можно найти сайты соседей, например с помощью сервиса xseo.in, и проверить, заражены ли они.

Если проблема затронула только ваши сайты, нужно исследовать, при каких обстоятельствах возникла проблема, и начать ее решение самостоятельно. Самые частые способы заражения сайта — похищение пароля FTP-доступа к хостингу с компьютера веб-мастера с помощью кейлоггера, из менеджера паролей или из взломанного почтового ящика, а также использование уязвимостей популярных систем управления сайтом (CMS) и скриптов.

Первым делом стоит обновить антивирус и выполнить полную проверку собственного компьютера на вирусы. Бесплатные программы HiJackThis, Dr.Web CureIt!, AVZ помогут найти даже ту заразу, которая не была обнаружена обычным антивирусом.

После сканирования (и лечения, если требуется) смените пароли доступа к электронной почте, аккаунту на хостинге, и удалите все сохраненные пароли из браузеров и FTP-клиентов.

Загрузите резервную копию зараженного сайта на собственный компьютер, и проверьте ее антивирусом и упомянутыми выше утилитами — иногда даже такая простая мера находит источник проблемы.

Полезным является бесплатный скрипт AI-Bolit. Он умеет искать вирусы, редиректы на сторонние сайты, дорвеи код ссылочных бирж, директории, открытые на запись для всех и др. После проверки скрипт выведет список подозрений на вредоносные включения, которые можно будет проверить и устранить вручную, отредактировав исходные коды файлов сайта.

Если сайт построен на популярной CMS (особенно DLE, WordPress и Joomla), то возможно злоумышленник воспользовался ее уязвимостью. Это значит, что нужно обновить CMS и ее модули до последних стабильных версий из официальных источников, отключить неиспользуемые или подозрительные модули, закрыть доступ к административным частям сайта с помощью .htpasswd (или с помощью панели управления хостингом), а также периодически проводить аудит безопасности сайта и менять административные пароли.

Обязательно нужно проверить логи доступа к веб-серверу на предмет посторонних запросов.

Также нужно проверить временные директории CMS, и директории, в которые разрешена загрузка файлов (tmp, cache, images, uploads, user_files и так далее) на предмет посторонних файлов, а также попросить хостера проверить общую временную директорию сервера (обычно это /tmp).

Как удалить вредоносные включения?

Для удаления вредоносных включений удобно использовать возможности консоли сервера (доступ по SSH). Большинство хостинг-провайдеров предоставляет данную возможность по умолчанию или же по обоснованному запросу.

Допустим, мы знаем, что заражены все .js файлы, и у нас есть фрагмент вредоносного кода. Значит, нужно найти все .js файлы и вырезать вредоносный код. Сделать это можно с помощью следующей несложной команды, запустить которую нужно из текущей директории сайта:

find ./ -name '*.js' -exec sed -ie 's|вредоносный_код||g' {} \;

Команда выполняет поиск всех js-файлов, и для каждого найденного файла с помощью утилиты sed заменяет вредоносный код на пустое место. Обратите внимание, что при указании вредоносного кода нужно экранировать специальные символы (` ~ ! @ # $ % ^ & * ( ) _ — [ ] { } : ; ‘ » / \ > <) с помощью обратного слеша: \ , чтобы оболочка воспринимала их именно как символы, а не как инструкции.

Многие провайдеры могут выполнить подобные действия по вашему запросу, часто даже бесплатно.

В заключение, полезные советы:

• В процессе решения проблемы взлома сайта, если нет возможности заблокировать к нему доступ посетителей, заблокируйте хотя бы запросы POST, чтобы злоумышленники не хотя бы не могли применить стандартные эксплойты.
• Не используйте устаревшие версии CMS и плагинов к ним. Следите за обновлениями.
• После определения причины заражения сайта не ограничивайтесь только одним лишь его лечением, так как добавленные злоумышленником точки проникновения могут быть хорошо скрыты. Проверьте всё, что кажется вам подозрительным.
• Лучшая схема восстановления сайта после взлома — это закрыть к нему доступ посетителей, найти причину взлома, восстановить сайт из резервной копии (этим мы исключаем любые изменения сайта, которые мог произвести злоумышленник), обновить CMS, убедившись, что уязвимый компонент также обновился, после чего снова открыть доступ к сайту.
• Регулярно проводите аудит безопасности. Даже еженедельная профилактика займет меньше времени, чем решение проблемы после ее возникновения.

Как найти вирус на сайте

Доброго времени суток! Тема сегодняшнего поста не планировалась заранее, но события сегодняшнего утра натолкнули на ее написание. Итак, тема сегодняшней статьи: «Вирус на сайте. Как найти вирус и удалить его». До сегодняшнего для не приходилось сталкиваться с подобным. Но включив утром компьютер и подключившись к интернету, при загрузке одного из сайтов, антивирус Касперского показал, что на сайте вирус Trojan.JS.Redirector.ZT.

Как проверить сайт на вирусы

Проверка различными сервисами не давала результатов, все показывали, что вирусов на сайте не обнаружено, но Касперский настаивал на своем. Единственный сервис для онлайн проверки сайта на вирусы нашел вредоносную программу. Вот ссылка на этот сервис проверки на вирусы.

После проверки этим сервисом, он показал, что действительно сайт содержит вирус:

Вирус выявлен. Но теперь нужно вручную проверить все файлы, найти и удалить вредоносный код Trojan.JS.Redirector.ZT.

Как удалить вирус Trojan.JS.Redirector.ZT из файлов шаблона

Первым делом, я ввела в поисковик Trojan.JS.Redirector.ZT и в результатах выдали была ссылка на форум, где люди обсуждали аналогичную ситуацию. Вирус новенький, появился на днях. И прописывается он у всех в файле functions.php. У меня он был выявлен в самом конце файла functions.php и имел следующий вид:

В других файлах темы этого скрипта не выявлено. Хотя, говорят, что он может прописываться и в файлах с расширением .php. Поэтому, если у Вас на сайте завелся вирус Trojan.JS.Redirector.ZT, то проверьте и их.

Как не допустить попадания вирусов на сайт:

1. Не храните пароль для доступа в админку в браузере. У меня он был сохранен.
2. Обновляйте движок WordPress до последней версии, а также плагины.
3. Не ставьте на сайт кодов непроверенных партнерок. Если вам предлагают установить не обычный баннер (картинка и ссылка), а iframe код. Проигнорируйте это предложение, даже если за него обещают оплату выше стандартной.

А, если на сайт забрался вирус, то сделайте следующее:

1. Почистите шаблон от вредоносных кодов.
2. Обновите WordPress до последней версии.
3. И не забудьте сменить пароль доступа к сайту.

На этом у меня все. Надеюсь теперь Вы сможете самостоятельно удалить вирус Trojan.JS.Redirector.ZT с сайта. Если у Вас была подобная ситуация, то пишите в комментариях.

С уважением, Виктория – блог inetsovety.ru