Как удалить вирус с сайта
+1
Как удалить вирус с сайта
Пришло уведомление от яндекса о том что на вашем сайте обнаружен вирус? Ставим последние патчи на движок, читаем форумы с похожими заражениями что-бы понять в чем дыра. Ну и наконец находим и удаляем заразу.


Сначала сразу несколько клиентов жаловались на падение позиций сайта в поисковиках, как показал первичный анализ, появились непонятные вирусы на сайтах, а также, что Opera и любимый наш Яндекс «предупреждают об опасности на странице».

Затем Яндекс.Вебмастер стал мне слать письма о том, что и на моих личных сайтах также найден вирус.
Как удалить вирус с сайта

Более тщательный анализ показал, зловредный код действительно имел место , и заключался он в функции:
eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxt... Дальше много таких цифр..

Найти его очень просто, нужно поискать в файлах сайта строку «eval(base64_decode». Воспользуемся утилитой поиска в файлах: Mythicsoft Agent Ransack
Найдется возможно 5000 страниц, может и больше, обычно протроянивают сайт полностью не упуская не одного файла.
Как удалить вирус с сайта


Для того чтобы очистить от скверны все наши пять тысяч файлов загрузим программу Text Replacer 3.02
Как удалить вирус с сайта

Программа имеет русский интерфейс, с ней вам не будет сложно разобраться.
Как удалить вирус с сайта

Вот и всё, из файлов сайта вирус удалён. Заливаем бэкап обратно на хостинг.

Небольшой совет: Текст Реплэйсер может и не найти файлы, тогда фразу по частям ищем.

Но на этом излечение не заканчивается, нужно еще сделать дамп мускульной базы данных, поискать там на всякий случай злосчастную фразу, и тоже удалить, если есть. Теперь точно всё, зараза удалена. Но как не допустить, чтобы снова она появилась?

В данном случае, например, сторонних доступов по FTP не было, поэтому появился вирус либо из-за уязвимостей в Joomla, либо из-за неправильно выставленных прав на папки (CHMOD).

Поэтому, КРАЙНЕ ВАЖНО, провести следующие профилактические действия: просканировать сайт на данную ерунду, обновить джумлу и проверить доступы к файлам/папкам, иначе велик шанс не только заполучить кучу левых ссылок, а то и реально вирус у себя на сайте, но и выпадение сайта из индекса Яндекса, а насколько это плохо — тут и дураку понятно.

Автор: linur, источник niceseo.ru


Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...
Russian Federation  Комментарий #1, добавлен: 21 мая 2013, 17:43 [2] [Q] [#]
0
Тема актуальная, многие нахватали на джумле заразу.
Вот только как выцепить строку? Не везде же засранец
eval(base64_decode
...
Ну и поиск/замену можно сделать в Тотале+AkelPad

Cтатус: Ом Мани Падмэ Хум :: изменен: 2014-02-24 01:46:34
Канал по криптовалюте!
Russian Federation  Комментарий от Автора #3, добавлен: 21 мая 2013, 19:57 [2] [Q] [#]
0
Заменил ссылку на текстовую, похоже это из-за того что автор статьи выложил в текст новости исходные коды заразы.

Ukraine  Комментарий #4, добавлен: 21 мая 2013, 19:59 [2] [Q] [#]
0
а если хакер залил на сайт еще и шел, то через пару дней вы снова начнете чистить эти файлы и искать крайнего.
Есть много утилит для анализа изменений, я например использую Compare Suite PRO 7.0 загружаю себе 2 бекапа (зараженный и месячной давности), скармливаю их програме и вижу что конкретно и где менялось.

Самый простой способ, это загрузить последний (зараженный) бекап, и просто пройтись поиском тем же Тоталом, указав в настройках поиска интервал времени, в котором был осуществлен взлом и дописи файлов. В обеих случая пропустить шел будет проблематично.

Russian Federation  Комментарий от Автора #5, добавлен: 21 мая 2013, 21:33 [2] [Q] [#]
0
Abi3,
ещё win merge отлично подходит для отображения изменений или появление новых файлов.

Оставить комментарий / Добавление ссылок в комментариях разрешено