Як знайти і вилікувати від вірусів свій сайт

Рано чи пізно ваш сайт, створений за замовленням або власними руками, відвідають зловмисники. Головною метою цих "IT-жучків" є збільшення відвідуваності свого сайту шляхом перенаправлення (перенаправлення) відвідувача, підвішування на ваш ресурс особливого вірусу-блокатора (банера), який вимагав гроші, в рідкісному випадку - простий спортивний інтерес. Незалежно від того чим є сайт - візитною карткою фірми або інтернет-магазином, зараження вірусом - це завжди неприємно і часто веде до прямих матеріальних втрат, зниження рейтингу сайту і навіть його повного блокування пошуковими системами. Виявлення та чистка сайту від вірусів досить копітка і довга робота, нерідко супроводжується рецидивами зараження. Однак вона під силу будь-якому адміністратору сайту, головне - дотримуватися певної послідовності дій.

З якого боку підходити до зараженого сайту

Якщо сайт заражений вірусом, а ознаками цього є, наприклад:
• Автоматичний редирект на інший ресурс або блокування комп`ютера користувача вірусом-банером.
• Повідомлення пошукової системи (Яндекс, Google) про те, що на сайті виявлений шкідливий код.
Те підібратися до вірусного коду і буквально «виколупати» його можна тільки з панелі управління сайтом на хості. Точніше - з тієї її частини, яка називається FTP-менеджер. Саме такий підхід дозволить вам не запустити заражений файл, а побачити рядок вірусного коду і знищити її.

Слід, який залишають зловмисники

Якщо ви відкриєте FTP-менеджер панелі управління сайтом на хості, то побачите список файлів і папок, які і складають дистрибутив сайту. Біля кожного з них стоїть дата створення і зміни, включаючи час. Саме вона є слідом, за яким визначається, що на вашому сайті побували злодії. Ну, звичайно, якщо ви точно пам`ятаєте що, коли і навіщо змінювали на сайті.

Що можна побачити в зміні не вами папці або файлі

Зайшовши в папку, дата зміни якої викликає сумніви, ви можете виявити там не ваші файли з розширеннями .exe і .js або змінені, знову ж таки не вами, індексні файли типу index.html і index.php. Файлів з розширенням .exe в дистрибутиві сайту бути не повинно, це явний вірус. Виконувані файли .js можуть бути і вашими «рідними», але доповненими, тому відразу знищувати їх не слід. В індексних файлах найчастіше зустрічаються віруси виду:
• lt ;? Eval ... gt; ознакою вірусу є дуже довга нерозривний рядок з латинських букв і цифр.
• iframe ... ознака вірусу - розмір фрейма 1 на 1 піксель.

Що робити

Лікування сайту від вірусу починається з генеральної чистки власного комп`ютера. Обов`язково треба змінити все логіни і паролі: FTP, доступу в панель адміністрування сайту і доступу до панелі управління на хості.

Після цього в FTP-менеджері хоста перевіряєте кожен файл, який викликає сумніви. Вам треба не запустити його, а побачити код, тому тисніть на кнопку "редагувати". Файли з розширенням .exe відразу знищуєте, що мають розширення .js перевіряєте на наявність зайвих рядків коду. Щоб не сумніватися - зберігайте всі встановлені на сайті скрипти в окремій папці свого комп`ютера. В індексних файлах перете все фрейми розміром в піксель і довжелезні безглузді рядки з набору букв і цифр після значка lt;?.

Перед входом на FTP-менеджер панелі управління сайту зазвичай є папки log-файлів. Їх треба відкрити і подивитися - хто заходив на сайт в той час, коли імовірно відбулося зараження. Ви побачите IP зловмисника. Створюєте (якщо його немає) файл .htaccess всередині папки з файлами сайту і пишете в ньому рядок заборони на вхід з цього IP.

Через два дні треба провести повторну ревізію, можливо процес чистки сайту доведеться повторити ще кілька разів.

Увага, тільки СЬОГОДНІ!