Блог сайта СтопВирус Полезные советы по защите сайта | StopVirus. Круглосуточная защита сайта от вирусов!

Ваш сайт постоянна попадает в черный список, надоело удалять вирусы?.

Данная статья написана для опытных пользователей и вебмастеров. Для вашего внимание предоставленная статья стандартного метода очистки сайта от вирусов 1С-Битрикс, UMI.CMS, NetCat, Drupal, Joomla!, MODX, WordPress и так далее.
Внимание метод предоставлен для опытных пользователей!!!!
Если вам не понятен метод или затрудняетесь в пользовании или дополнительные вопросы, пожалуйста, не стесняйтесь обратиться в нашу службу поддержки. Мы всегда рады Вам помочь!

Приступать к очистке лучше всего с компьютера администратора сайта, большинство заражений происходят от причине кражи паролей (FTP или от панели управления сайтом). Перед началом работы рекомендуется проверить рабочий компьютер на вирусы, черви рекомендации установить дополнительный антивирус на ваш компьютер и проверить ещё раз. Проверять компьютер лучше всего несколькими антивирусами минимум 2-мя, так как у всех антивирусов разная база вирусов и некоторые антивирусы пропускают тот или иной вирус. Следующим действием переходим на наш сайт по FTP и скачиваем рабочий архив сайта (рекомендуется всегда оставлять резервную копию для подстраховки). Так же перед началом работы скрипта можете заказать бесплатную проверку сайта на вирусы (наши специалисты вышлют вам вердикт и количество зараженных файлов). После получение отчёта специалистов (вердикта) можно приступать к непосредственной очистки сайта от вирусов первым шагом будет проверка антивирусом, помогает с вероятностью в 35% случаев. Рекомендуется использовать антивирус Avast или Nod32, т.к. DrWeb и антивирус Касперского довольно часто пропускают простые вставки сторонних скриптов. Данный метод помогает не всегда помните, проверка сайта стандартным антивирусом поможет Вам только в простых случаях заражения. Если при данном методе вирусы появляются снова, рекомендуем обратиться за помощью к специалистам StopVirus.by у нас имеется свой облачный антивирус, который очищает и защищает сайт от повторного заражения. В отчёте антивируса смотрим файлы, которые были отмечены как вирусы или подозрительные. В 80% случаях это php файлы, с помощью которых злоумышленник получает полный доступ к файлам сайта. В большинство случаях, их можно просто удалить. Также нужно произвести инъекцию вирусов, прикреплённых к основным файлам сайта. Чаще всего это файлы, которые антивирус не удалил, а отправил в карантин. Для данного действия вам понадобится обычный текстовый редактор, в котором можно править находить заменять с использованием регулярных выражений. Специалисты StopVirus используют PhpED. Есть полнофункциональная ознакомительная 30-ти дневная версия на официальном сайте. Чаще всего оставшиеся вирусы, находятся в конце файла. Наиболее частый случай заражений файл index.php в корневой папке сайта. Тогда достаточно просто удалить код вируса из index.php и шаг 3 можно пропустить. Если же файлов много, переходим к следующему шагу. Сопоставите заражённые файлы. Вирусный код в большинстве одинаковый, либо похожим. Одинаковый код, при помощи предоставленного ранее редактора заменяем его на пустую строку во всех файлах сайта, потенциально подверженных заражению (*.php;*.php4;*.php5;*.inc;*.class;*.js;*.html;*.htm;*.css;*.htc;). В случае при видоизменении вируса строки вируса есть разные переменные в файлах, но имеют общую структуру, рекомендуется производить поиск по регулярным выражениям. Наиболее удобный вариант вариант. В таком случае регулярное выражение имеет вид: начало_вируса.*конец_вируса Лучше перед заменой произвести просто поиск и проверить, не попали ли в список найденных "здоровые" файлы. Если нет, производим замену. Конечно не исключено, что обычный антивирус не найдёт всех заражённых файлов. Для поиска не известных вирусов в своей работе мы используем свой антивирусный сканер StopVirus.by (интегрированный в файл) и ряд своих сигнатур основанных также на регулярных выражениях либо эвристическом анализе, но требующих дополнительного анализа при их использовании. Этот аспект мы рассмотрим в отдельной статье. Здесь можно привести пример пары наиболее безопасных выражений (пункты 5 и 6). На всякий случай ищем скрытые iframe:

<\s*iframe[^<>]*src\s*=\s*('|"|)\s*https://[^<>]*(width|height)[^<>]*=('|"|)(1|0|2|3|4|5)('|"|)[^\d<>]*(width|height)[^<>]*=('|"|)(1|0|2|3|4|5)('|"|)[^\d<>]*>\s*<\s*/\s*iframe\s*>

Анализируем найденное, и что не Вами добавлено, удаляем. Данную регулярку есть смысл поискать и в sql дампе базы данных. Используя мультистроковый поиск с использованием регулярных выражений проверяем .htaccess файлы: .*(HTTP_USER_AGENT|REFERER).* .*(Rewrite|Redirect).*http(|s):// Это позволит выявить нестандартные перенаправления на сторонние сайты, которые выполняются только при выполнении каких-либо условий. Например, перенаправляются только посетители, пришедшие на сайт из поисковых систем. Такое перенаправление владелец сайта может долго не замечать, т.к. он чаще набирает адрес своего сайта в адресной строке. После проделанных операций рекомендуется полностью удалить на хостинге папку с заражённым сайтом и залить с Вашего компьютера его очищенную версию.