На сайте вирусы что делать
8 сетевых ресурсов для удаления вредоносного кода и устранения последствий взлома сайта
Как удалить зараженный сайт из черных списков и очистить его от вредоносного кода?
Взломать или заразить сайт вредоносным кодом могут по многим причинам. Злоумышленники, как правило, используют следующие приемы:
Если вы не уверены, содержит ваш сайт уязвимости или нет, проверьте его с помощью следующих инструментов:
Знаю, взлом сайта может выбить из колеи, но не переживайте, вы не одиноки, а с помощью следующих специалистов вы сможете восстановить вашу деятельность.
Инструменты для удаления вредоносных программ и кода:
1. SUCURI
SUCURI — это один из самых популярных сервисов для обеспечения безопасности сайта. Он помогает устранить такие последствия взлома как:
С помощью SUCURI вы не просто сможете разово устранить все проблемы, но и защитить ваш сайт и предупредить взлом в будущем.
2. Wordfence
Wordfence предназначен для быстрого восстановления сайта на WordPress или Joomla. Знаете ли вы, что расширение Wordfence для WordPress уже установлено более миллионом пользователей?
С Wordfence вы получаете следующее:
3. SiteGuarding
Если вам требуется удалить вредоносный код с WordPress или Joomla в экстренном порядке, то SiteGuarding с этим справляется за 1-3 часа.
На SiteGuarding предусмотрено несколько вариантов удаления вредоносного кода. Можно выбрать то, что подходит именно вам.
В стоимость входит следующее:
4. 6SCAN
Услуги по удалению вредоносного кода входят в пакет защиты сайта «Профессионал». В рамках этого пакета услуг 6SCAN удалит вредоносный код и добавят нужные вам настройки мониторинга и безопасности.
5. StopTheHacker
StopTheHacker оказывает все услуги по защите сайта, в том числе и по очистке сайта от вредоносного кода. Вы можете либо самостоятельно очистить сайт, либо активировать автоматическую очистку StopTheHacker.
Вместе с очисткой вы получите:
6. Web Malware Removal
Web Malware Removal поможет вам удалить вредоносный скрипт, бэкдоры, попадание в черный список Google и защитит вас от будущих атак.
Вы получите и бесплатную проверку сайта на год и защиту от атак SQLi, XSS или брутфорса.
7. SiteLock
SiteLock — бренд, которому многие доверяют безопасность сайта, оказывающий в том числе и услуги удаления вредоносного кода. Сервис называется SiteLock911.
Механизм работы SiteLock911 отличается от других. Сначала программа скачивает файлы сайта, затем проверяет код, удаляет вредоносный скрипт и загружает исправленные файлы на сервер.
Все пакеты SiteLock предусматривают удаление вредоносного кода, а также следующие услуги:
8. Virusdie
Virusdie — сервис с говорящим названием. Он непрерывно проверяет сайт на наличие вредоносного кода и автоматически удаляет его после того, как находит.
Virusdie также защищает сайт от XSS, SQLi, DDoS-атак, помогает с резервным копированием и восстановлением данных и т.д.
Я бы хотел упомянуть еще два инструмента для защиты от DDoS-атак:
Антивирус для сайта
Автоматический антивирус для проверки и удаления вирусов с сайта
Любой сайт, размещённый на хостинге, подвержен опасности заражения вирусами. Чем это грозит его владельцу? Поисковые системы в таком случае добавляют к сайту специальную отметку, которая видна в сниппете при выдаче результатов поиска. Она предупреждает пользователя, что переходить по ссылке опасно. В результате рейтинг такого сайта падает вместе с посещаемостью.
Даже после лечения сайта от вирусов восстановление посещаемости и репутации произойдёт не сразу. Особенно неприятно, если в продвижение ресурса были вложены деньги. Какой же есть выход?
Виды вирусов на сайте
Приведём пример. С началом пандемии стал бурно развиваться рынок онлайн-образования. Многие учебные заведения и платформы не имели защиты от киберугроз. К середине 2020 года на долю образовательной отрасли пришёлся 61% от общего количества кибер-атак. Одна из основных угроз — это фишинговые атаки.
Конечно, это не единственный вид кибер-угрозы, и учебные платформы — не единственная цель для вирусов.
Кратко перечислим основные виды вирусов.
Вирусные вставки кода на сайтах
Основные цели этих вставок:
SQL-инъекции
Фишинговые атаки
Мошенники рассылают поддельные электронные письма или создают поддельные веб-сайты, имитирующие страницы входа известных сайтов, чтобы обманом заставить пользователей раскрыть свои логин и пароль. Эту практику иногда называют «фишингом» — отсылка к английскому слову «рыбалка», потому что мошенник выуживает информацию о личной учетной записи.
Веб-шелл
Это вредоносный скрипт, используемый злоумышленником для поддержания постоянного доступа к уже скомпрометированному веб-приложению. Сама веб-оболочка не может атаковать или использовать удаленную уязвимость, поэтому это всегда второй этап атаки (этот этап также называется пост-эксплуатацией). Веб-оболочки могут обеспечить постоянный бэкдор в веб-приложения и связанные с ними системы.
Бэкдоры
Это тип вредоносного ПО, которое отменяет обычные процедуры аутентификации для доступа к системе. В результате удаленный доступ предоставляется к ресурсам в приложении, что дает злоумышленникам возможность удаленно выполнять системные команды и обновлять вредоносное ПО. Установка бэкдора достигается за счет использования уязвимых компонентов в веб-приложении.
Дорвей
Инструмент «черного SEO». Сайт, созданный для перенаправления пользователей на другой интернет-ресурс. Такие ресурсы считаются поисковым спамом. Они создаются с целью занять высокие позиции в выдаче по выбранным поисковым запросам.
Спам-скрипты
Ведут рассылку спама через php-скрипты. Владелец сайта узнаёт от такой рассылке, как правило, только из предупреждения от хостинговой компании.
Как вирус попадает на сайт?
Какими путями может быть заражён сайт:
Самописные сайты или популярные движки — любой ресурс может оказаться целью атакующего. Причем CMS имеют открытый код. Когда злоумышленник находит уязвимость, он при помощи эксплоита (подвид вредоносных программ) или бота пытается ей воспользоваться на всех сайтах, имеющих эту версию движка. Поэтому атака бывает массовой, а из-за того, что вовремя обновляют версии менее половины владельцев сайтов, проблема может быть масштабной.
В среднем на одно веб-приложение приходится более 30 уязвимостей, шесть из которых имеют высокий уровень риска.
Что может произойти после проникновения вируса на сайт: заражение сайта с целью дальнейшего распространения вируса, кража данных пользователей сайта, кража внутренних данных сайта и сопряжённых систем.
Кому и зачем это нужно? Злоумышленники зарабатывают на распространении вирусов, размещении рекламы и ссылок, краже данных с банковских карт, краже и перепродаже коммерческой информации, шантаже и прочем.
Проверка сайта на вирусы онлайн
Защитить ваш сайт поможет ряд предосторожностей: регулярное обновление ПО сайта, правильные настройки, сложные пароли, которые нужно часто менять и не сохранять в браузере, отсутствие стандартных логинов (вроде admin), регулярные бэкапы.
Но этих мер недостаточно. Важен выбор хорошего проверенного провайдера, который заботится о безопасности сайтов своих клиентов.
SpaceWeb для безопасного размещения у себя на хостинге предлагает антивирус для сайта от лидера рынка веб-безопасности компании Virusdie.
Никаких сложных настроек и подключений к стороннему ресурсу не требуется. В панели управления можно в один клик запустить проверку сайта, а также вылечить обнаруженные вирусы.
Как работает антивирус для сайта
Virusdie поставляет своё решение в целом для всего хостинга, поэтому нет нужды думать, как подключить его для своего сайта. Все сайты в SpaceWeb автоматически проверяются на вирусы раз в месяц. Отчёт с результатами проверки доступен в панели управления. В случае выявления вирусов клиент дополнительно получает уведомление по email.
Для выполнения ежедневной и/или ручной (в любое время) проверки сайта на вирусы необходимо подключить подписку на антивирус в панели управления. Стоимость подписки для одного сайта составляет 199 руб. в месяц. Подписка также позволяет в автоматическом режиме удалять/лечить обнаруженные вирусы.
Вылечить сайт от вирусов
Почему нужно именно лечить файлы, а не удалять? В большинстве случаев файл не полностью является вирусом, а содержит вирусные вставки. Его удаление может нарушить работу сайта. Модуль лечения удалит только вредоносную часть файла, сохранив стабильную работу сайта.
Если вы столкнётесь с угрозами, которые неизлечимы автоматически, их можно попробовать устранить вручную, сделав предварительно бэкап.
Антивирус Virusdie: отзывы, описание
Virusdie (Вирусдай) это облачный сервис, который автоматически выполняет проверку сайта на вирусы онлайн, находит вредоносные программы и помогает очистить от них сайт. Компания начала свою историю в 2012 г. и за это время превратилась в разработчика инструментов, которыми пользуются миллионы пользователей по всему миру.
Вирусдай имеет многоуровневую защиту при работе с сайтами и серверами хостинга: это значит, что он представляет собой множество отдельных подсистем, имеющих свою архитектуру и систему безопасности.
Взаимодействие с сервисом возможно благодаря:
Все данные передаются в зашифрованном виде. Антивирус обнаруживает и автоматически очищает сайт от вирусов и разных видов заражений (шелы, редиректы, спамботы, трояны) в файлах PHP, JS, HTML, изображениях и системных файлах.
Что должен делать владелец сайта, чтобы защититься от кибер-угроз: менять пароли, регулярно делать бэкапы, своевременно обновлять CMS, их плагины, чаще проверять сайт на наличие вирусов. SpaceWeb предлагает хостинг сайтов с автоматической проверкой на угрозы безопасности и позволяет уделять этому минимум времени и сил.
Топ-6 сервисов для проверки кроссбраузерности сайта
NVMe SSD диски — обзор технологии
10 инструментов сжатия изображений
Надежный хостинг для сайта с бесплатным доменом и SSL за 159 ₽
Надежный хостинг для сайта с бесплатным доменом и SSL за 159 ₽
Стань партнером
Выгодное предложение SpaceWeb:
© 2001-2021 ООО «СпейсВэб» Все права защищены.
Лицензия на предоставление телематических услуг связи № 163230.
Стань партнером
Выгодное предложение SpaceWeb:
© 2001-2021 ООО «СпейсВэб» Все права защищены. Лицензия на предоставление телематических услуг связи № 163230.
Общество с ограниченной ответственностью «СпейсВэб». Генеральный директор: Шпагин А.Ю. Юридический адрес: 198095, город Санкт-Петербург, улица Маршала Говорова, дом 35, корпус 5, литер Ж, этаж 4, офис 371. Адрес офиса: 198095, Санкт-Петербург, ул. Маршала Говорова, д. 35, корп. 5, лит. Ж, бизнес-центр «Терминал», офис 401.
Что делать, если сайт заражен вирусом и откуда они берутся?
Чем отличаются вирусы на сайтах и на компьютерах
Вирусы на сайте и вирусы на домашнем или рабочем компьютере это не одно и то же.
Код сайта состоит из обычных текстовых файлов. Вирусы на сайте это такой же программный код. Причем визуально он может не отличаться от остального кода сайта.
Как вирусы на сайте могут навредить
Сайты с вирусами понижаются в рейтинге поисковых систем. Как следствие трафик на такие сайты падает. А если попасть в базу зараженных сайтов, то в браузере у посетителей будет отображаться предупреждение о зараженном сайте.
Как появляются вирусы на сайте
1. Взлом сайта через уязвимости
В WordPress, Joomla, Drupal и других системах управления содержимым сайта (CMS) периодически находят уязвимости. Чем более популярна CMS, тем выгоднее злоумышленникам найти в ней уязвимость, ведь это открывает доступ сразу к десяткам тысяч сайтов.
Стоит регулярно обновлять CMS до последней версии.
2. Подбор пароля от панели управления сайтом
Проверьте, что для административной части вашего сайта установлен надежный пароль.
3. Перехват доступов от FTP
При подключении по FTP логин и пароль передаются в открытом виде, и их могут перехватить злоумышленники. Рекомендуем подключаться по SFTP.
4. Заражение от другого сайта
Если на одной учетной записи размещаются несколько сайтов, то один зараженный сайт может заразить другие.
Как вручную найти вирус
Можно последовательно открывать файлы сайта и обращать внимание на каждый фрагмент кода, назначение которого вызывает вопросы. Два примера вредоносного кода, который внедрялся на сайт на CMS OpenCart:
Либо код может выглядеть нечитаемым. Это обычная техника для вредоносных программ. Вот пример кода, зашифрованного в base64:
Расшифровать base64 можно, например, на сайте base64.ru.
Очистка зараженного сайта вручную это кропотливая работа, проще будет воспользоваться готовыми антивирусами.
Как автоматически найти и вылечить вирус
На всех тарифах Хостинга возможно запустить проверку на вирусы.
Проверка выполняется антивирусом AI-Bolit от компании Revisium. Это один из самых популярных антивирусов для сайтов в Рунете.
Кроме проверки автоматика попробует провести еще и лечение.
2. Кликните по нужному сайту
3. Кликните «Проверить на вирусы»
4. Отчет придет на вашу электронную почту.
Лечение сайта лишь устранит последствия взлома, но не его причины, и вполне вероятно, что через небольшой промежуток времени сайт вновь подвергнется взлому.
Необходимо выяснить, каким образом было выполнено заражение, и закрыть все найденные уязвимости на сайте. Для этого лучше связаться с разработчиками вашего сайта.
Кроме этого мы рекомендуем:
Вирусы на сайте: какие бывают и как могут навредить
Заражение сайта вирусами — результат хакерской атаки, только не всегда целенаправленной. Вероятность того, что именно на ваш сайт нападет злоумышленник, небольшая. Гораздо легче поймать вирус по другой, более прозаичной причине. Например, из-за невнимательности разработчиков при написании кода, неосторожности при работе с сайтом через FTP или из-за плагина CMS.
В статье расскажем, какие бывают вирусы, как они чаще всего попадают на сайт и что будет, если вовремя их не отследить.
Какие бывают вирусы и что они умеют
Вирус — это вредоносный код, который разрабатывают для несанкционированных действий. Он внедряется через уязвимости в сайте или веб-приложении. На первый взгляд вредоносный код мало чем отличается от обычного кода:
Пример вредоносного кода на языке JavaScript. Источник: virusdie.com
Когда на сайт попадает вредоносный код, он приносит много неприятностей: повреждает файлы, крадет информацию, устанавливает вредоносное ПО на устройства пользователей. Из-за вирусов на сайте появляются ошибки, он становится «тяжелее» — тратит больше ресурсов хостинга, страницы загружаются дольше.
Разновидностей вирусов очень много, мы не будем подробно останавливаться на каждой. Расскажем о самых популярных, атакующих сайты и веб-приложения.
XSS-атака
XSS (англ. Cross-Site Scripting — межсайтовый скриптинг) — распространенная уязвимость, которую можно обнаружить на множестве сайтов. В рейтинге CWE за 2020 год, в который вошли 25 самых опасных уязвимостей, XSS занимает 1 место.
Через эту уязвимость злоумышленники могут внедрить код JavaScript прямо на страницу сайта (XSS-атака). Вредоносный скрипт собирает данные: логины и пароли, куки. Для пользователей это проходит незаметно: сайт выглядит как прежде, дизайн не меняется, а все плохое происходит «под капотом» сайта — в коде. Дальше скрипт отправляет все данные на сервер злоумышленника, и он получает доступ к аккаунтам пользователей и их персональной информации.
Также скрипт может перенаправлять пользователя на другой сайт с похожим дизайном. Если человек не заметит подмены, он может ввести свои учетные данные или реквизиты банковской карты прямо на сайте злоумышленника, не зная этого.
LFI — включение локального файла
LFI-уязвимость (англ. Local file include — включение локальных файлов) — уязвимость, которую злоумышленник может использовать, чтобы заставить веб-приложение раскрыть или запустить файлы на сервере. Она возникает из-за неправильной настройки веб-сервера и ошибок в коде сайта.
Обычно эту уязвимость эксплуатируют сразу в двух направлениях:
SQL-инъекция
SQL-инъекция — особый способ внедрения вредоносного кода. SQL-инъекция позволяет вмешиваться в запросы, которые приложение делает к своей базе данных. Атака этого типа возможна из-за неправильно выбранного способа взаимодействия с базой данных при разработке сайта.
Как злоумышленник может использовать SQL-инъекцию:
Вредоносное программное обеспечение
Вредоносное ПО и вредоносный код — разные угрозы, которые часто работают вместе.
Вредоносное ПО — программное обеспечение, которое устанавливается на устройства и содержит в себе множество разных типов вирусов. Тогда как вредоносный код — это веб-скрипт, атакующий сайты и веб-приложения. Вредоносный код проникает через уязвимость сайта и его можно использовать для загрузки вредоносного ПО на устройства пользователей.
Наглядный пример распространения вредоносного ПО через сайт — случай с известной площадкой CNET. На сайте CNET размещалась ссылка для скачивания бесплатного видеоредактора VSDC. В феврале 2020 года ссылка была взломана через уязвимость сайта и вместо подлинной программы посетители скачивали вредоносное ПО, позволяющее злоумышленникам получать доступ к компьютерам пользователей.
При переходе по взломанной ссылке на сайте download.cnet.com загружался файл с инфицированным программным обеспечением. Источник: news.drweb.com
Это лишь один из множества сценариев распространения вредоносного ПО через взломанные сайты. Расскажем о некоторых типах вредоносного ПО, которые проникают на устройства через сайты.
Spyware — это разновидность шпионского ПО. Позволяет собирать личные данные пользователя, в том числе конфиденциальные: банковские реквизиты, логины-пароли, адреса электронной почты и даже нажатие клавиш на клавиатуре. Отслеживает действия и поведение в сети.
Трояны — маскируются под обычное ПО: бесплатную программу, zip-архив. Если запустить троян на устройстве, он сможет полностью контролировать систему: изменять другое ПО и файлы, передавать данные с ПК на сервер или использовать компьютер в своих целях — например, для кибератак.
Черви — попадают на компьютер, размножаются и распространяются на ПК других пользователей, например, через электронные адреса в памяти захваченных устройств.
Следствие атак червей:
Злоумышленники используют это ПО, чтобы вредить работе организаций, рассылать спам или получать доступ к управлению устройствами.
Rootkits — это утилиты, которые маскируются под системные вспомогательные программы и скрывают процессы других вредоносных программ. С помощью последних взломщики получают файлы или наносят вред системам устройств.
Keyloggers — это ПО перехватывает данные с устройств:
С помощью кейлогеров злоумышленники воруют номера счетов, карт, пароли и другие персональные данные.
Майнеры — ПО, которое использует ресурсы устройств для добычи криптовалюты.
Программы-майнеры могут быть легальными и нелегальными.
Легальный майнинг. Пользователь, желая заработать, самостоятельно устанавливает и запускает программу на ПК.
Нелегальный майнинг. Злоумышленники устанавливают программу и пользуются компьютером без ведома владельца. Чаще от этого страдают корпорации — в крупной компании сложно отследить, что устройства стали потреблять больше энергии.
Как вирусы попадают на сайт
Вирус попадает на сайт в результате взлома: целевого или нецелевого.
Целевой взлом, как ясно из названия, происходит целенаправленно. Такой взлом могут заказать, например, конкуренты компании. Хакер хочет взломать конкретный сайт и пытается найти точку входа: ищет в коде слабые места или использует перебор паролей к серверу. Если получается найти уязвимость — внедряет на сайт вирус.
Нецелевой взлом никто не заказывает. Такие атаки осуществляются с использованием автоматизированных инструментов, которые были запрограммированы для поиска уязвимости и добавления вируса. Подавляющее большинство взломанных сайтов — жертвы нецелевых атак. Такие атаки дешевле целевых и дают возможность с минимальными усилиями нанести ущерб огромному количеству сайтов и систем.
Владелец или разработчик сайта часто неосознанно способствует попаданию на него вируса. Например, создает некачественный код или использует ПО для разработки сайта из непроверенных источников, которые уже содержат вирус.
Рассмотрим пути заражения подробнее.
Ошибки в коде и настройках сайта
В коде любого сайта и логике его работы могут быть ошибки — это помогает вирусам попадать на сайт. В результатах исследования компании Positive Technologies говорится, что 82% уязвимостей были обнаружены именно в коде приложений (в исследовании участвовало 38 веб-приложений из разных сфер бизнеса). Большинство веб-приложений имело в среднем 22 уязвимости, половина которых — с высокой степенью опасности.
Ошибки в коде появляются из-за некомпетентности или невнимательности разработчика — например, из-за такой мелочи, как неправильная обработка текста от пользователей, на сайте возникает XSS-уязвимость.
Представьте, что на сайте есть форма для отправки отзыва, которая содержит поля для ввода текста. В коде этой формы разработчик может забыть настроить проверку вводимой информации и злоумышленник сможет отправить вредоносный код, просто вписав его в поле формы. Дальше этот код сохранится на странице и будет загружаться в браузер каждого пользователя, который зайдет на страницу сайта (XSS-атака).
Еще одна причина появления уязвимостей — небезопасные библиотеки (фреймворки). Большинство современных сайтов создается с помощью готовых решений (фреймворков) — это дешево и удобно. Не нужно писать код с нуля, достаточно доработать готовую библиотеку под нужды сайта. Но сторонние фреймворки могут содержать в себе ошибки, которые и становятся причиной заражения вирусами.
Неправильная настройка сайта также открывает множество лазеек для злоумышленников. Разработчики и администраторы довольно часто пренебрегают безопасностью:
Разработчики и веб-мастера могут допускать ошибки в коде и настройке сайта случайно — из-за недостатка опыта, или немеренно. Так бывает, когда на проекте возникают конфликты и разногласия. Тогда разработчик перед уходом специально может оставить бэкдор.
Заражение через FTP-клиент
Многие вебмастера работают с сайтом через FTP (англ. File Transfer Protocol — протокол передачи файлов), пользуются FTP-клиентами: FileZilla, WinSCP, Core FTP LE, CuteFTP и др. Это позволяет удаленно управлять файлами на сервере: просматривать, загружать, перемещать, удалять их и т. д.
Часто FTP-клиент сохраняет логин и пароль пользователя для автоматической авторизации. Это удобно, но небезопасно: такие данные могут храниться в незашифрованном виде. Когда на компьютер веб-мастера попадает вредоносная программа, например, червь — она может собирать и передавать данные злоумышленникам, так доступ к сайту оказывается в чужих руках. Дальше — потеря контроля, вирусы на сайте, ошибки в работе приложения.
Уязвимости в CMS и плагинах
CMS — это программы, которые помогают управлять сайтом: менять дизайн, писать тексты, добавлять виджеты и т. д.
Коды многих популярных CMS (WordPress, Joomla и т. д.) есть в открытом доступе. На такое ПО обычно не нужно покупать лицензию — это выгодно для владельцев сайтов. Но код такого ПО может изучить кто угодно, в том числе злоумышленники — так они находят слабые места в системах управления сайтами и используют бреши для атак.
Обезопасить CMS от взлома можно. Если использовать лицензионные CMS, следить за официальными обновлениями платформы и устанавливать их вовремя, риск заражения становится минимальным. А вот сторонние плагины для CMS из непроверенных источников могут содержать уязвимости.
Плагины CMS — это расширения, которые подключаются к CMS. С их помощью на сайте добавляют нужные модули (интеграцию с соцсетями, обработку платежей) или меняют тему оформления.
Плагины из официальных каталогов CMS, как правило, платные. Те, кто хочет сэкономить, скачивают бесплатные плагины, часто с непроверенных сайтов. С этого, как правило, начинается история заражения сайта, так как такие плагины в большинстве случаев уже содержат вирусы.
Причиной уязвимости также становятся старые плагины. Веб-мастера со временем перестают использовать какие-то скачанные расширения, но часто забывают удалять их. А старый плагин, который не удален и не обновляется — слабое место, через которое злоумышленник может получить доступ к коду CMS.
Последствия заражения сайта вирусом
Если вовремя не принять меры, заражение сайта вирусом может закончиться неприятно. Основные последствия для сайта и бизнеса: