Обнаружен вирус что делать?

Сайт заражен вирусом

Бэкапленд не только позволяет быстро и удобно создавать резервные копии, но и оперативно проверять каждый сделанный бэкап на наличие вирусов на Вашем сайте. Бывает, что после очередного бэкапа на Ваш почтовый ящик приходит уведомление, что при проверке были обнаружены вирусы. Это означает, что Ваш сайт заражен вирусом. В панели управления при этом можно увидеть подробную информацию о зараженных файлах:

Вирусы в бэкапе

Там же можно посмотреть более подробную информацию и узнать какие именно файлы были заражены или являются вирусами:

Список вирусов

Что же делать дальше?

  1. Необходимо по FTP или SSH зайти на свой сайт в ту папку, где были обнаружены вирусы (точный путь можно посмотреть в панели управления как на примере изображенном на втором скриншоте выше):
    1. Если зараженный файл не Ваш, то можно смело его удалить.
    2. Если зараженный файл Ваш, то нужно просто восстановить его из бэкапа прошлых дней.
    3. Если Вы не знаете, Ваш файл или нет, можно посмотреть по отчетам прошлых бэкапов был такой файл или нет.
    4. Если у Вас появились какие-либо сомнения или затруднения, Вы можете обратиться в нашу техническую поддержку. Специалисты нашей компании ознакомятся с Вашей ситуацией и подскажут различные способы и варианты решения проблемы.
  2. Удалять вирусы из бэкапа не обязательно, так как Вы уже знаете, что в нем есть зловредные файлы и информация об этом доступна и сохранена в панели управления. Основная задача сводится к максимально быстрому удалению вирусов и восстановлению оригинальных файлов по первому пункту.

Что делать если вирусы появляются каждый день и все варианты выше уже пробовали?

Вирусы на Вашем сайте могут появляться по нескольким причинам:

  1. Вы давно не обновляли программное обеспечение Вашего сайта и хакеры пользуются известными дырами в безопасности для взлома Вашего сайта.
  2. С Вашего домашнего компьютера с помощью вируса могли украсть пароли доступа:
    1. от FTP и/или SSH Вашего сайта
    2. от панели управления Вашим сайтом
  3. В более редких случаях бывает, что программное обеспечение сервера устаревает настолько, что хакеры могут взломать целиком весь сервер, после чего без труда модифицировать файлы операционной системы и файлы Вашего сайта.

Можно постораться исправить и эту ситуацию. Для этого первым делом Вам необходимо ограничить доступ к сайту всем посетителям, кроме Вас. Например так:

Нужно создать файл .htaccess в корне Вашего сайта с таким содержимым:

		Order Deny,Allow
		Deny from all
		Allow from 123.123.123.123
		
где 123.123.123.123 ваш IP

Или можно заблокировать доступ правилами через nginx:

		deny all;
		allow 123.123.123.123;
		
где 123.123.123.123 ваш IP

После того как доступ на сайт остался только у Вас, нужно очистить свой сайт от вирусов, восстанавливая все необходимые незараженные файлы из бэкапов, а так же вручную просматривая все вызывающие подозрение файлы. К сожалению, антивирусные программы плохо распознают вирусы и бекдоры, написанные специально для сайтов - например такой код, вставленный в Ваш php-скрипт, у многих антивирусов максимум вызовет подозрение, а скорее всего они этот код просто не заметят:

		<?php eval($_REQUEST[cmd]); ?>
		

Всего 30 байт кода внедрить в ваш сайт и он превращается в дырявый.

Кроме этого, Вам нужно проверить не запускается ли что-либо подозрительное, через планировщик задач - crontab

После того как Ваш сайт будет очищен от вирусов и все необходимые файлы будут восстановлены, следует обязательно обновить программное обеспечение (CMS) Вашего сайта, так как в случае наличия в нем уязвимости, злоумышленники без труда смогут снова "замусорить" Ваш сайт.

Для увеличения защиты вам нужно, ограничить доступ к административным папкам вашего сайта по IP.

Что делать если взломали целый сервер?

при взломе целого сервера, для удаления вирусов подойдут все способы, описанные выше. Кроме этого можно воспользоваться следующими утилитами:

  1. chkrootkit - поиск руткитов
  2. rkhunter - сканер руткитов, уязвимостей и эксплоитов
  3. clamav - антивирус под unix
  4. debsums - инструмент для проверки контрольных сумм MD5 у установленных файлов пакетов

После полной проверки, обязательно необходимо обновить софт сервера – ядро, и другие программы.

Внимание! При обновлении учитывайте совместимость сайтов с новым программным обеспечением операционной системы.

Что делать, если обновить сайт нет возможности?

Бывают ситуации, когда нет возможности оперативно обновить сайт, программист давно ушел, контактов с разработчиками нет, заниматься сайтом некому и т.д. Временным решением для повышения защиты Вашего сайта будет:

  • Ограничение доступа по IP через .htaccess ко всему к чему только можно.
  • Ограничение определенных подозрительных запросов к сайту через NGINX + NAXSI
  • Создание и размещение HTML копии сайта, а динамическую версию сайта "спрятать" на домене третьего уровня и ограничить к ней доступ.

И всё-таки мы рекомендуем обязательно подумать над поиском постоянного специалиста для поддержки Вашего сайта, иначе рано или поздно Вам придётся просто отказаться от сайта.