Обнаружен вирус, что делать?

Сайт заражен вирусом

Бэкапленд позволяет не только быстро и удобно создавать резервные копии, но и оперативно проверять каждый сделанный бэкап на наличие вирусов. Если после создания очередного бэкапа на Ваш почтовый ящик пришло уведомление, что при проверке были обнаружены вирусы, то с высокой долей вероятности это может означать, что Ваш сайт заражен вирусом.

Более подробную информацию о зараженных файлах можно получить в панели управления:

Вирусы в бэкапе

Кроме наличия и количества зараженных файлов, панель управления позволяе просмотреть более подробную информацию. Можно просмотреть полный список подозрительных файлов, их точное месторасположение и название вируса, которым они были заражены:

Список вирусов

Что же делать дальше?

Необходимо по FTP или SSH зайти на свой сайт в ту папку, где были обнаружены вирусы (точный путь можно посмотреть в панели управления, как на примере изображенном на втором скриншоте выше):

  • Если зараженный файл не Ваш, то можно смело его удалить.
  • Если зараженный файл Ваш, то нужно просто восстановить его из бэкапа прошлых дней.
  • Если Вы не знаете, Ваш файл или нет, можно посмотреть по отчетам прошлых бэкапов был такой файл или нет.
  • Если у Вас появились какие-либо сомнения или затруднения, Вы можете обратиться в нашу техническую поддержку. Специалисты нашей компании ознакомятся с Вашей ситуацией и подскажут различные способы и варианты решения проблемы.

Удалять вирусы из бэкапа не обязательно, так как Вы уже знаете, что в нем есть зловредные файлы и информация об этом доступна и сохранена в панели управления. Основная задача сводится к максимально быстрому удалению вирусов и восстановлению оригинальных файлов по первому пункту.

Вирусы каждый день

Что делать если вирусы появляются каждый день хотя все варианты выше уже пробовали? Откуда они берутся? На самом деле Вирусы на сайте могут появляться по нескольким причинам:

  • Программное обеспечение сайта не обновлялось продолжительное время и хакеры для взлома используют известные уязвимости безопасности.
  • С компьютера, с которого осуществляется доступ к сайту, с помощью вируса могли украсть пароли от панели управления сайтом или доступы к FTP и/или SSH
  • В более редких случаях бывает, что программное обеспечение сервера устаревает настолько, что хакеры могут взломать целиком весь сервер, после чего без труда модифицировать файлы операционной системы и файлы Вашего сайта.

Можно постораться исправить и эту ситуацию. Для этого первым делом Вам необходимо ограничить доступ к сайту всем посетителям, кроме Вас.
Например так:

Нужно создать файл .htaccess в корне Вашего сайта с таким содержимым:

Order Deny,Allow
Deny from all
Allow from 123.123.123.123

где 123.123.123.123 ваш IP

Или можно заблокировать доступ правилами через nginx:

deny all; allow 123.123.123.123;

где 123.123.123.123 ваш IP

После того, как доступ на сайт остался только у Вас, нужно очистить свой сайт от вирусов, восстанавливая все необходимые незараженные файлы из бэкапов и вручную просматривая все вызывающие подозрение файлы. К сожалению, антивирусные программы плохо распознают вирусы и бекдоры, написанные специально для сайтов - например такой код, вставленный в Ваш php-скрипт, у многих антивирусов максимум вызовет подозрение, а скорее всего они этот код просто не заметят:

<?php eval($_REQUEST[cmd]); ?>

Всего 30 байт кода внедрить в Ваш сайт и он превращается в дырявый.

Кроме этого, Вам нужно проверить не запускается ли что-либо подозрительное, через планировщик задач - crontab

После того, как Ваш сайт будет полностью очищен от вирусов и все необходимые файлы будут восстановлены, следует обязательно обновить программное обеспечение (CMS) Вашего сайта, так как в случае наличия в нем уязвимости, злоумышленники без труда смогут снова "замусорить" Ваш сайт.

Для увеличения защиты вам нужно, ограничить доступ к административным папкам вашего сайта по IP.

Что делать если взломали целый сервер?

при взломе целого сервера, для удаления вирусов подойдут все способы, описанные выше. Кроме этого можно воспользоваться следующими утилитами:

  • chkrootkit - поиск руткитов
  • rkhunter - сканер руткитов, уязвимостей и эксплоитов
  • clamav - антивирус под unix
  • debsums - инструмент для проверки контрольных сумм MD5 у установленных файлов пакетов

После полной проверки, обязательно необходимо обновить софт сервера – ядро, и другие программы.

Внимание! При обновлении учитывайте совместимость сайтов с новым программным обеспечением операционной системы.

Что делать, если обновить сайт нет возможности?

Бывают ситуации, когда нет возможности оперативно обновить сайт, программист давно ушел, контактов с разработчиками нет, заниматься сайтом некому и т.д. Временным решением для повышения защиты Вашего сайта будет:

  • Ограничение доступа по IP через .htaccess ко всему к чему только можно.
  • Ограничение определенных подозрительных запросов к сайту через NGINX + NAXSI
  • Создание и размещение HTML копии сайта, а динамическую версию сайта "спрятать" на домене третьего уровня и ограничить к ней доступ.

И всё-таки мы рекомендуем обязательно подумать над поиском постоянного специалиста для поддержки Вашего сайта, иначе рано или поздно Вам придётся просто отказаться от сайта.