Semenalidery.com

IT Новости из мира ПК
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как удалить html вирусы

Как удалить вирус из браузера (за 5 шагов!)

Подскажите, кажется, мой браузер Chrome «поймал» вирус. Теперь на большом количестве сайтов появилась говорящая реклама, идут какие-то щелчки, предложение посмотреть подарок и т.д. На некоторых сайтах появляется реклама казино «Вулкан» (хотя я никогда не играл в него). Очень сильно всё это раздражает и отнимает время.

Пробовал переустановить браузер — не помогло (думаю, что вирус засел не только в браузере, но и в Windows). Скачивал Dr.Web, им сканировал все диски в системе: везде всё чисто, вирусов не найдено. Пробовал запускать Internet Explorer — в нем нет рекламы, но им не удобно пользоваться. Подскажите, как удалить вирус из браузера, чтобы не всплывала эта реклама со звуком.

Всем всего доброго!

Это далеко не единичный вопрос. Вообще, если в вашем браузере стали появляться и самостоятельно открываться окна, страница приветствия и поиска меняются без вашего указания, есть незнакомые расширения, всплывают различные рекламные блоки (причем там, где их раньше никогда не было) — скорее всего (на 99%) Вы подцепили вирус (возможно это какие-то рекламное ПО).

В этой статье приведу небольшую инструкцию об удалении подобного ПО из Windows и вашего обозревателя.

👉 В помощь!

Чистим систему и браузер от рекламного ПО за 5 шагов

Многие пользователи при появлении подобный «чехарды» в браузере — первым делом устанавливают антивирус и начинают полностью сканировать все свои диски. Между тем, в подавляющем большинстве случаев, классический антивирус ничего не находит!

Но это не означает, что на вашем ПК нет рекламного ПО, просто антивирус не специализируется на борьбе с такого рода угрозой (хотя в последнее время многие антивирусы «поумнели» в этом плане 👌).

Я предлагаю выполнить нехитрый ряд шагов, который, в большинстве случаев, полностью избавит вашу систему от рекламы, произвольно добавляющейся в ваш браузер. 👇

ШАГ 1: удаление «подозрительных» программ в Windows

Первое, с чего следует начать чистку системы, это зайти в список установленных программ в панели управления Windows и посмотреть нет ли там ничего подозрительного и незнакомого.

Мой совет : все программы, которые вы давно не используете — удалите. Всё равно только место занимают! Очень часто за незнакомыми названиями программ — как раз и маскируется рекламное ПО.

Удаление программы — Windows 10

Совет!

Еще лучше использовать специальную утилиту для удаления других программ (извините за тавтологию) . Она удалит любую установленную программу (даже ту, которую не получается удалить из-под Windows) , а также проверит, чтобы в реестре или на диске не осталось «хвостов» (старых записей, файлов, которые более не нужны). См. ссылку ниже.

👉 В помощь!

ШАГ 2: удаление ненужных расширений и плагинов в браузере

Второе по популярности место для «прописывания» вирусного ПО — это расширения браузеров. Маскируясь под каким-нибудь иностранным названием среди десятка-другого плагинов — такое ПО остается незамеченным у большинства пользователей.

Рекомендация : зайти в меню для установки и удаления расширений в браузере и удалить все незнакомые, которые вы не устанавливали (или не помните даже, что это).

Chrome

Просто откройте в адресной строке: chrome://extensions/

Чтобы удалить какое-нибудь расширение — просто нажмите на значок с корзиной напротив него (пример ниже).

Расширения в Chrome

Firefox

Адрес настроек: about:addons

Просмотрите вкладки расширения и плагины.

Opera

Чтобы посмотреть вкладку с расширениями — нажмите сочетание кнопок Ctrl+Shift+E . Можно открыть через меню Opera (сверху, слева).

Управление расширениями в Opera

ШАГ 3: проверка Windows на рекламное ПО. Восстановление HOSTS

Т.к. классический антивирус в случае с рекламным ПО вам вряд ли поможет — то рекомендовать им чистить систему здесь я не буду (хотя лишняя проверка — лишней не бывает 👌) . Вместо антивируса, рекомендую использовать специальную утилиту — MalwareBytes.

MalwareBytes

Одна из лучших утилит от разного рода рекламного ПО. Позволяет очистить ПК от большинства угроз, которые может «пропустить» любой классический антивирус.

Кроме этого, программа защищает вашу систему от вирусов-вымогателей, от эксплойтов, от вредоносных веб-сайтов, на которых можно подцепить какой-нибудь вирусный скрипт.

В общем-то, однозначно рекомендую скачать и проверить свой компьютер полностью MalwareBytes.

В дополнении к MalwareBytes рекомендую иметь на ПК еще одну утилиту — AdwCleaner . Она так же специализируется на чистке ПК от разного рода рекламного «мусора».

Восстановление HOSTS

В Windows есть специальный системный файл, с помощью которого некоторое вирусное ПО меняет реальный адрес веб-сайта на поддельный. Также с помощью него можно заблокировать доступ к любому сайту (ограничение будет действовать только на вашем ПК, разумеется).

В любом случае, я рекомендую его очистить и восстановить. Делается это в 2-3 клика, просто даже для людей, которые совсем недавно познакомились с ПК. Ссылки привел ниже.

👉 Инструкции!

Лучший способ восстановить файл HOSTS: с помощью утилиты AVZ (ссылка на описание и загрузку) — https://ocomp.info/luchshie-antivirusyi-17.html#AVZ).

Чтобы восстановить HOSTS в AVZ, необходимо:

  1. Открыть меню «Файл/Восстановление системы»;
  2. Поставить галочку на против пункта «Очистить файл HOSTS» и нажать кнопку «Выполнить отмеченные операции». Собственно, утилита сделает все за вас!

Очистка файла HOSTS

ШАГ 4: удаление ярлыков браузера с рабочего стола

Сравнительно часто вирус изменяет ярлык браузера на рабочем столе. Благодаря этому, вирусу удается заполучать доступ при каждом открытии программы. Часто в этом случае при запуске браузера — стартовая страница автоматически переадресовывается на какую-то постороннюю, а не ту, которая у вас указана в настройках.

Чтобы проверить, всё ли в порядке с ярлыком, просто откройте его свойства . В свойствах посмотрите строку «Объект», куда она ведет. Например, для браузера Chrome строка должна оканчиваться на «Applicationchrome.exe» , а никак иначе (внизу на скриншоте показано два варианта: слева — нормальный ярлык, и справа — измененная строка рекламным ПО).

Если ярлык изменен : просто удалите его и создайте заново. Дело 10 сек.!

Слева: с ярлыком все OK, справа: ярлык изменен вирусом

ШАГ 5: чистка системы от мусора

Ну и последнее, что посоветовал бы, после всех проверок и удаления шпионского и рекламного ПО — почистите компьютер также от накопившегося мусора: старых временных файлов, «хвостов» от давно удаленных программ, ошибочных записей в реестре и т.д.

Ниже на скриншоте представлена утилита System Care, которой удалось найти более 3,5 ГБ мусора и десятки ошибок.

Найденный проблемы после сканирования в System Care 12

Также приведу пару ссылок на свои статьи, где подробно разобран сей вопрос.

👉 В помощь!

Лучшие программы для очистки компьютера (ноутбука) от мусора — https://ocomp.info/programmyi-dlya-ochistki-musora.html

PS

Кроме этого, рекомендую сделать следующее:

  1. установить спец. утилиты, блокирующие всплывающую рекламу;
  2. установить современный антивирус (который регулярно будет обновляться. См. в боковое меню моего сайта — там всегда есть ссылка на актуальные антивирусы этого года);
  3. перестать посещать сомнительные сайты, и устанавливать «ломанный» софт.

Выполняя такой нехитрый ряд правил, сталкиваться с рекламным ПО (на своем компьютере 😊) вы будете куда реже.

Дополнения, как всегда, были бы кстати.

Как найти и удалить вирус на сайте, на примере MW:SPAM:SEO

Вы наверно уже знаете, что вирусы заражают не только файлы на компьютере, но и страницы в интернете. Сегодня мы поговорим о том как найти и удалить вирус на сайте, на примере довольно безобидного, но все же неприятного, вируса категории MW:SPAM:SEO.

Что же из себя представляет этот самый вирус, скрывающийся за страшной аббревиатурой MW:SPAM:SEO? Все не так страшно, MW – malware – вредоносная программа, целью которой является поднятие SEO показателей сайта нарушителя, что представлено в виде ссылки этот самый сайт, а для остальных это просто спам.

Как найти вирус на сайте?

Наиболее надежным способом обнаружить вирус на сайте, является проверка онлайн-сканерами, такими как всем известный VirusTotal и ориентированный на проверку сайтов sucuri.net, правда на английском языке, но зато позволяет подробнее узнать о заражении. Для вашего удобства ниже приведены ссылки на эти сервисы 🙂

[scbutton link=”https://www.virustotal.com/ru/#url” target=”blank” variation=”blue” size=”large” align=”none”]VirusTotal[/scbutton] [scbutton link=”http://sucuri.net/” target=”blank” variation=”blue” size=”large” align=”none”]sucuri.net[/scbutton]

Заходим на страницу сканера, вбиваем адрес интересующего сайта и получаем отчет о проверке. VT пишет только название найденного заражения и все, в то время как sucuri.net приведет вам участок кода, в котором обнаружена угроза, и сообщит о принятых в отношении вас мерах, со стороны поисковых систем (да, там есть и Яндекс).

Существую еще различные “антивирусные плагины” для CMS, однако я ничего не могу сказать об их эффективности. Но плагины отслеживающие изменения в файлах вашего сайта должны помочь.

Как удалить вирус на сайте?

После того как вы обнаружили вирус на своем сайте с помощью сканера, то должно быть уже увидели фрагмент кода, где он был обнаружен. Поэтому вам только остается определить конкретный файл, в котором произошло заражение и привести его к изначальному виду. Скорее всего это будет один из файлов темы оформления вашей CMS, хотя хитрый нарушитель может позариться и на файлы ядра CMS, но принципиальной разницы нет.

Самый простой способ найти вирус на сайте, если вы вообще не знаете в какую сторону копать – это скачать на свой компьютер все php файлы вашей CMS, открыть их Notepad++, копировать фрагмент вредоносного кода и “Найти во всех открытых файлах”. Ну а потом закачать исправленный файл на место.

Опять же, хитрый нарушитель может может не только встроить свой код, но и частично “зашифровать” (base64) часть кода вашей темы. И может получиться, что полностью удалив подозрительный код вы приведете свою тему оформления в нерабочее состояние (разрывы шаблонов в странице, неправильное отображение, ошибки интерпретации php после поврежденного участка). Но и тут все не так плохо. Есть такая замечательная ведь как http://jsbeautifier.org/ с помощью которой можно тарабарщину вроде

превратить во вполне удобоваримый код

После избавления от вируса не забудьте изменить атрибуты доступа к сайту – пароль администратора и пароль от FTP.

Как же работает этот вирус?

Нарушитель каким-то образом получает доступ к вашему сайта (через админкуftp) и встраивает следующий код:

Сразу можно заметить ссылку на посторонний сайт, ради которой нарушитель все и затевал. Однако при просмотре сайта эту ссылку не видно. В чем же дело? А дело как раз в js-коде идущем перед ссылкой. Если мы откроем исходный код открытой страницы, то увидим что перед ссылкой добавилась строчка

Которая собственно и скрывает спамную ссылку, сдвигая ее на 9999 пикселей выше заголовка окна. На 9999 пикселей обычно сдвигают текст ссылки логотипа сайта, так что вероятно поисковые машины относятся к этому лояльно, и передают этой ссылке часть веса вашей страницы.

Но меня заинтересовало как же работает сам внедренный код, поэтому я его изучил подробнее.

Скрипт перебирает элементы массива, расшифровывает их и вставляет в страницу строку с css стилем прячущим ссылку от посетителей.

Элементы массива перебираются с конца. Затем считывается по 2 символа текущего элемента массива, приводятся к int. Потом с этим значением проводятся нехитрые манипуляции parseInt(t) + 25 – l + a, где l -число элементов массива, а – счетчик дешифруемого элемента массива. В итоге получатся char номер символа в таблице символов, который и записывается в промежуточную переменную z. Достигнув конца элемента массива скрипт заменяет его дешифрованной версией (хранится в z). А затем собирает итоговую строку и внедряет ее в страницу.

Лечение сайта от вирусов: чистим код вручную и автоматически

Никто не хочет, чтобы с его сайта пропали данные или ресурс стал источником заражения других устройств. Но такое случается, когда на сайт попадает вредоносный код, или, проще говоря, вирус.

Практика показывает, что в основном заражение сайта происходит через системы управления контентом (CMS) и плагины к ним. Вы либо скачиваете из неофициального источника уже зараженный файл. Либо скачиваете из официального, но продукт с ошибкой, о которой пока никто кроме хакеров не знает. Такие ошибки называют уязвимостями.

Хакеры постоянно сканируют интернет в поисках уязвимых сайтов. Когда находят — загружают в файлы сайта вредоносный код. Он-то и рассылает спам, перенаправляет пользователей на зараженные страницы или крадет данные.

Бывает и по-другому, но редко.

Как понять, что сайт заражен

Обычно о заражении сообщает браузер, настольный антивирус или панель веб-мастера. Чтобы удостовериться, проверьте с помощью бесплатных сервисов:

Что делать, если сайт заражен

Обновите программное обеспечение. Как только об уязвимостях становится известно, их исправляют и выпускают обновления. Устанавливайте обновления только с официальных сайтов: WordPress, Joomla!, Drupal.

Удалите пиратские плагины.Устанавливайте плагины только от официальных разработчиков. Если на каком-то сайте размещен бесплатный аналог платного плагина, то скорее всего он уже содержит вирус. Лучше заплатить за оригинальное ПО, чем лечить зараженный сайт.

Поменяйте пароли. Часто вирус попадает на сайт используя пароль от админских панелей FTP или CMS, которые крадет во взломанной почте или компьютере. Смените пароли доступа к панели управления сервером, FTP/SSH-аккаунтам, MySQL, CMS. Используйте сложные пароли: не менее 10 символов, заглавные и строчные буквы, цифры и специальные символы. Для быстрой генерации используйте бесплатные сервисы: 1, 2.

Настройте права доступа к файлам. Через FTP или ISPmanager установите права доступа к файлам сайта. Права определяют, кто может просматривать, записывать и исполнять код. Для файлов сайта подходит значение 644 (изменять содержимое может только администратор, читать и исполнять код — любой посетитель сайта), для директорий лучше установить 755 (администратор может читать и редактировать, все остальные — только читать содержимое).

Восстановите резервную копию. Если вы знаете, когда произошло заражение сайта, восстановите созданную до заражения резервную копию. Это избавит от необходимости «лечить» ресурс.

Заблокируйте неиспользуемые функции в файлах конфигурации PHP. В файле конфигурации PHP (php.ini) добавьте disable_functions к неиспользуемым функциям из вот этого списка: passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source.

Лечим сайт вручную

Лечить сайт можно вручную и с помощью антивирусов.

Если вы умеете работать с консолью сервера, очистите код сайта вручную. Для начала найдите чужеродный код: проверьте зараженные файлы, сравните их с незараженными из резервной копии. После, используя тип файла и фрагмент кода, найдите все зараженные файлы и удалите вредоносный код.

Пример команды для поиска паттернов вирусов в файлах php* и htm* директории /var/www/*/data/www/.

Лечим с помощью антивирусов

Если вы не умеете работать с консолью сервера, используйте готовые решения. Самые большие базы паттернов вирусов, распространенных в рунете, содержат два антивируса: Virusdie и AI-Bolit.

Virusdie

Платный инструмент. Автоматически находит вредоносный код и удаляет его. Помогает снять санкции браузера. С Virusdie работать просто, так как антивирус интегрирован с панелью управления веб-сервером ISPmanager.

ImunifyAV

Cканер вирусов. Проверяет сайт на взлом, вирусы и хакерские скрипты. ImunifyAV также интегрирован с ISPmanager: устанавливается по умолчанию и раз в месяц сканирует весь сайт. Чтобы лечить, нужно активировать платную версию.

Отзывы и обзоры хостинга

Сайт — это набор файлов, размещенных на постоянно подключенном к интернету сервере. Соответственно, под «вирусами на сайтах» подразумеваются программы или вредоносные включения в файлы сайта, из-за которых сайт работает не так, как он должен работать. Что делать, если ваш сайт заражен?

Каковы причины заражения сайтов?

Основная причина заражения сайтов — это желание заработать за чужой счет. Схема обычно выглядит так: пользователь, зашедший на зараженный сайт, принудительно перенаправляется на сторонний ресурс, не имеющий к исходному никакого отношения (например, на платник партнерской программы). Злоумышленник получает деньги за трафик, перенаправляемый со взломанных сайтов.

Некоторые сайты взламываются ради распространения среди пользователей классических вирусов и формирования ботнетов. Как правило, такие сайты блокируются поисковыми системами, и пользователи при обращении к подобным ресурсам видят предупреждение о том, что сайт заражен. Популярные поисковые системы предоставляют сервис почтовых извещений о заражении ваших сайтов: webmaster.yandex.ru, google.com/webmasters.

Что делать при заражении или взломе сайта? Кто виноват?

Если ваш сайт заражен, не стоит паниковать и мучать своего хостера гневными обвинениями. В 90% случаев хостер к этой проблеме не имеет никакого отношения.

Но всё-таки можно уточнить у своего провайдера, имеет ли проблема массовый характер, или возникла только на вашем сайте. Если сайт размещен на shared-хостинге с общим IP-адресом, можно найти сайты соседей, например с помощью сервиса xseo.in, и проверить, заражены ли они.

Если проблема затронула только ваши сайты, нужно исследовать, при каких обстоятельствах возникла проблема, и начать ее решение самостоятельно. Самые частые способы заражения сайта — похищение пароля FTP-доступа к хостингу с компьютера веб-мастера с помощью кейлоггера, из менеджера паролей или из взломанного почтового ящика, а также использование уязвимостей популярных систем управления сайтом (CMS) и скриптов.

Первым делом стоит обновить антивирус и выполнить полную проверку собственного компьютера на вирусы. Бесплатные программы HiJackThis, Dr.Web CureIt!, AVZ помогут найти даже ту заразу, которая не была обнаружена обычным антивирусом.

После сканирования (и лечения, если требуется) смените пароли доступа к электронной почте, аккаунту на хостинге, и удалите все сохраненные пароли из браузеров и FTP-клиентов.

Загрузите резервную копию зараженного сайта на собственный компьютер, и проверьте ее антивирусом и упомянутыми выше утилитами — иногда даже такая простая мера находит источник проблемы.

Полезным является бесплатный скрипт AI-Bolit. Он умеет искать вирусы, редиректы на сторонние сайты, дорвеи код ссылочных бирж, директории, открытые на запись для всех и др. После проверки скрипт выведет список подозрений на вредоносные включения, которые можно будет проверить и устранить вручную, отредактировав исходные коды файлов сайта.

Если сайт построен на популярной CMS (особенно DLE, WordPress и Joomla), то возможно злоумышленник воспользовался ее уязвимостью. Это значит, что нужно обновить CMS и ее модули до последних стабильных версий из официальных источников, отключить неиспользуемые или подозрительные модули, закрыть доступ к административным частям сайта с помощью .htpasswd (или с помощью панели управления хостингом), а также периодически проводить аудит безопасности сайта и менять административные пароли.

Обязательно нужно проверить логи доступа к веб-серверу на предмет посторонних запросов.

Также нужно проверить временные директории CMS, и директории, в которые разрешена загрузка файлов (tmp, cache, images, uploads, user_files и так далее) на предмет посторонних файлов, а также попросить хостера проверить общую временную директорию сервера (обычно это /tmp).

Как удалить вредоносные включения?

Для удаления вредоносных включений удобно использовать возможности консоли сервера (доступ по SSH). Большинство хостинг-провайдеров предоставляет данную возможность по умолчанию или же по обоснованному запросу.

Допустим, мы знаем, что заражены все .js файлы, и у нас есть фрагмент вредоносного кода. Значит, нужно найти все .js файлы и вырезать вредоносный код. Сделать это можно с помощью следующей несложной команды, запустить которую нужно из текущей директории сайта:

find ./ -name ‘*.js’ -exec sed -ie ‘s|вредоносный_код||g’ <> ;

Команда выполняет поиск всех js-файлов, и для каждого найденного файла с помощью утилиты sed заменяет вредоносный код на пустое место. Обратите внимание, что при указании вредоносного кода нужно экранировать специальные символы (`

! @ # $ % ^ & * ( ) _ — [ ] < >: ; ‘ » / > А что конкретно из внимательно прочитанного Вами, перечит здравому смыслу?

Почему-то аффтар считает, что левые скрипты могут находиться только в файлах вида ‘*.js’, а в регэкспе надо ещё экранировать и символ ‘|’. Но это ещё мелочи по сравнению с тем, что сама по себе идея просто удалить куски кода из другого кода далеко не здравая, т. к. этот код может заменять другой полезный и нужный для функционирования системы код.

Более того, кто сказал, что найденный кусок и есть весь вредоносный код?

Любую скомпрометированную систему надо устанавливать заново, а данные брать из бекапа. Это базовое правило безопасности. Плохо, что аффтар его не знает.

> Тот же Ai-Bolit вполне справляется со своими функциями и дает много полезных рекомендаций,соблюдая которые,многие даже не были бы взломаны.

Все эти рекомендации можно прочесть в любом пособии по PHP. А в других случаях этот Ai-Bolit абсолютно бесполезен. И код у него ужасный.

>Почему-то аффтар считает, что левые скрипты могут находиться только в файлах вида ‘*.js’,
Это пример,а не четкое руководство,не будет же он перечислять все типы файлов в которые можно что то внедрить.
> надо ещё экранировать и символ ‘|’. Но это ещё мелочи
Нет,вовсе не обязательно в данном случае,смотрите внимательно саму команду.
> этот код может заменять другой полезный и нужный для функционирования системы код.
Да,может,но переустановка полностью всей CMS,идея не менее маразматичная.Если удален весь вредоносный код,найден вредоносный файл который его туда записывает(хотя это мог и тупо бот пройти) и сайт работает нормально,то зачем же все переустанавливать?
>А в других случаях этот Ai-Bolit абсолютно бесполезен. И код у него • ужасный.
Он все же выполняет свои функции и дает человекопонятный отчет и рекомендации,ни кто же не говорит,что это единственно правильный способ поиска и устранения вредоносного кода.Нужно использовать все методы в совокупности,но при этом конечно же с умом.

> Это пример,а не четкое руководство,не будет же он перечислять все типы файлов в которые можно что то внедрить.
А разве маска «*» уже не работает?
> Нет,вовсе не обязательно в данном случае,смотрите внимательно саму команду.
В языке sed после s следует маркер окончания регэкспа. В примере это символ ‘|’. Поэтому его надо экранировать.
> Если удален весь вредоносный код,найден вредоносный файл который его туда записывает(хотя это мог и тупо бот пройти)
Начнём с того, что откуда вы знаете, что это весь вредоносный код, а где-то не лежит маленький такой backdoor?
> сайт работает нормально
Откуда известно что сайт работает нормально? Неужели есть полное покрытие сайта тестами? Что-то я сильно сомневаюсь. А то что одна—две страница открылись ещё ни о чём не говорит.> Он все же выполняет свои функции и дает человекопонятный отчет и рекомендации
Это для вас он — человекопонятный. А для «web-мастеров» — нет. Кроме того, рекомендации у него часто, мягко скажем, весьма предвзятые (та же не понятная любовь к тындексу) или слышанные, но не понятные аффтором (например, бекап на рабочий комп LOL).
Кроме того, ни это скрипт, ни сам автор не даёт самых простых и надёжных рекомендаций типа
«При работе вы должны использовать только свободное ПО. Свободное, а не бесплатное. И не только на сайте, но и на компе, с которого вы управляете сайтом.»

Скажите, а Вы можете «почистить» сайт от гадости, если он написан на ASP?

Как найти и удалить вирус на сайте, на примере MW:SPAM:SEO

Вы наверно уже знаете, что вирусы заражают не только файлы на компьютере, но и страницы в интернете. Сегодня мы поговорим о том как найти и удалить вирус на сайте, на примере довольно безобидного, но все же неприятного, вируса категории MW:SPAM:SEO.

Что же из себя представляет этот самый вирус, скрывающийся за страшной аббревиатурой MW:SPAM:SEO? Все не так страшно, MW – malware – вредоносная программа, целью которой является поднятие SEO показателей сайта нарушителя, что представлено в виде ссылки этот самый сайт, а для остальных это просто спам.

Как найти вирус на сайте?

Наиболее надежным способом обнаружить вирус на сайте, является проверка онлайн-сканерами, такими как всем известный VirusTotal и ориентированный на проверку сайтов sucuri.net, правда на английском языке, но зато позволяет подробнее узнать о заражении. Для вашего удобства ниже приведены ссылки на эти сервисы 🙂

[scbutton link=”https://www.virustotal.com/ru/#url” target=”blank” variation=”blue” size=”large” align=”none”]VirusTotal[/scbutton] [scbutton link=”http://sucuri.net/” target=”blank” variation=”blue” size=”large” align=”none”]sucuri.net[/scbutton]

Заходим на страницу сканера, вбиваем адрес интересующего сайта и получаем отчет о проверке. VT пишет только название найденного заражения и все, в то время как sucuri.net приведет вам участок кода, в котором обнаружена угроза, и сообщит о принятых в отношении вас мерах, со стороны поисковых систем (да, там есть и Яндекс).

Существую еще различные “антивирусные плагины” для CMS, однако я ничего не могу сказать об их эффективности. Но плагины отслеживающие изменения в файлах вашего сайта должны помочь.

Как удалить вирус на сайте?

После того как вы обнаружили вирус на своем сайте с помощью сканера, то должно быть уже увидели фрагмент кода, где он был обнаружен. Поэтому вам только остается определить конкретный файл, в котором произошло заражение и привести его к изначальному виду. Скорее всего это будет один из файлов темы оформления вашей CMS, хотя хитрый нарушитель может позариться и на файлы ядра CMS, но принципиальной разницы нет.

Самый простой способ найти вирус на сайте, если вы вообще не знаете в какую сторону копать – это скачать на свой компьютер все php файлы вашей CMS, открыть их Notepad++, копировать фрагмент вредоносного кода и “Найти во всех открытых файлах”. Ну а потом закачать исправленный файл на место.

Опять же, хитрый нарушитель может может не только встроить свой код, но и частично “зашифровать” (base64) часть кода вашей темы. И может получиться, что полностью удалив подозрительный код вы приведете свою тему оформления в нерабочее состояние (разрывы шаблонов в странице, неправильное отображение, ошибки интерпретации php после поврежденного участка). Но и тут все не так плохо. Есть такая замечательная ведь как http://jsbeautifier.org/ с помощью которой можно тарабарщину вроде

превратить во вполне удобоваримый код

После избавления от вируса не забудьте изменить атрибуты доступа к сайту – пароль администратора и пароль от FTP.

Как же работает этот вирус?

Нарушитель каким-то образом получает доступ к вашему сайта (через админкуftp) и встраивает следующий код:

Сразу можно заметить ссылку на посторонний сайт, ради которой нарушитель все и затевал. Однако при просмотре сайта эту ссылку не видно. В чем же дело? А дело как раз в js-коде идущем перед ссылкой. Если мы откроем исходный код открытой страницы, то увидим что перед ссылкой добавилась строчка

Которая собственно и скрывает спамную ссылку, сдвигая ее на 9999 пикселей выше заголовка окна. На 9999 пикселей обычно сдвигают текст ссылки логотипа сайта, так что вероятно поисковые машины относятся к этому лояльно, и передают этой ссылке часть веса вашей страницы.

Но меня заинтересовало как же работает сам внедренный код, поэтому я его изучил подробнее.

Скрипт перебирает элементы массива, расшифровывает их и вставляет в страницу строку с css стилем прячущим ссылку от посетителей.

Элементы массива перебираются с конца. Затем считывается по 2 символа текущего элемента массива, приводятся к int. Потом с этим значением проводятся нехитрые манипуляции parseInt(t) + 25 – l + a, где l -число элементов массива, а – счетчик дешифруемого элемента массива. В итоге получатся char номер символа в таблице символов, который и записывается в промежуточную переменную z. Достигнув конца элемента массива скрипт заменяет его дешифрованной версией (хранится в z). А затем собирает итоговую строку и внедряет ее в страницу.

Читать еще:  Самый лучший антивирусник 2020
Ссылка на основную публикацию
Adblock
detector