Каждый вебмастер сталкивался с проблемой поиска уязвимых мест своего сайта, с помощью которых злоумышленник может загрузить свой вредоносный код, который так или иначе повлияет на работоспособность всего сайта, вплоть до его исключения из поисковой выдачи.

Чаще всего заражение происходит из-за человеческого фактора, но что делать, если сайт все-таки взломан?

Основные проблемы

Меньшее из зол - это найти и удалить сам вредоносный код. Основная же проблема заключается в поиске того уязвимого места, через которое злоумышленник загрузил свой код на ваш сайт, чтобы обезопасить себя от следующих подобных прецедентов.

Для поиска вредоносного кода написано немало антивирусных программ, создано много сервисов, которые могут указать на адрес зараженной страницы, предоставив даже сигнатуру и исчерпывающую информацию о самом вирусе. Но ни одно программное обеспечение не сможет сказать Вам, как этот «чужой код» появился на сайте. Здесь стоит полагаться только на себя.

Ниже я приведу несколько команд, которые можно применять при поиске зараженных файлов и/или загруженных к Вам на сайт shell-ов/backdoor-ов. Для этого нам потребуется программа Putty и SSH-доступ к сайту.

Поиск зараженных файлов

С помощью нижеперечисленных команд можно найти файлы, содержащие «опасные» элементы, с помощью которых злоумышленник может выполнить вредоносный обфусицированный код.

Вывод файлов будет записан в лог-файл в вашей текущей директории. В каждом файле будет содержаться путь к найденному файлу и строка с подозрительным участком кода.

find /Каталог с сайтом -type f -iname "*" -exec grep -Him1 "eval" {} \; > ./eval.log
find /Каталог с сайтом -type f -iname "*" -exec grep -Him1 "base64" {} \; > ./base64.log
find /Каталог с сайтом -type f -iname "*" -exec grep -Him1 "file_get_contents" {} \; > ./file_get_contents.log

Поиск директорий с полными правами на запись

Следующая команда выводит список директорий, на которых установлены полные права на запись. Именно такие директории используют для заражения сайта.

find ./Каталог с сайтом -perm 777 -type d

Поиск измененных файлов за период

Если Вы знаете когда примерно произошло заражение, можно посмотреть список измененных файлов за последние несколько дней (параметр –mtime -7 указывает на дату изменения отличную от текущей за 7 прошлых дней)

find ./Каталог с сайтом -type f -iname "*" -mtime -7

Что делать, если сайт заражен?

Итак, предположим, что мы нашли зараженные файлы или shell-файл. Перед тем как его удалить/удалить из него вредоносный код, запомните его имя (полный путь), дату изменения/создания файла, его gid и id пользователя (для unix систем), это позволит найти способ его загрузки к нам на сайт. Начнем с пользователя и группы:

Посмотрите, от какого пользователя работает Ваш web-сервер:

ps -aux | grep "apache2" | awk {"print $1"}

Если этот пользователь совпадает с пользователем, создавшим вредоносный файл, то можно предположить, что он был загружен через сам сайт. Если же нет – файл могли загрузить через ftp (мы настоятельно рекомендуем изменить пароли к FTP-серверу и административной панели сайта).

cat ./site.ru.access.log | grep “имя filenameOfShellScript”

И получаем вывод всех запросов к нашему скрипту. По нему определяем userAgent и ip адрес нашего взломщика.

Следующей командой мы получаем список всех запросов, на которые он к нам заходил.

cat ./site.ru.access.log | grep “ip” | grep “userAgent”

Внимательно его проанализировав можно найти уязвимое место на сайте, следует обратить особое внимание на POST-запросы из вывода, с помощью которых мог быть залит вредоносный файл.

Ижаковский Андрей, системный администратор

Первая помощь

Если вы обнаружили, что сайт заражен или вам пришло уведомление о наличии вредоносного ПО на вашем аккаунте:

Почему на моём сайте вирусы?

Частыми причинами заражения сайта являются:

• уязвимость в используемой версии CMS;
• уязвимость в установленном расширении CMS (темы, плагины, модули);
• вирусы на компьютере, с которого происходит управление сайтом.

Чаще всего злоумышленники взламывают сайты в автоматическом режиме при помощи специальных программ. Они собирают большую базу сайтов из поисковых систем по определённым критериям (сайты, установленные на популярных CMS и их плагины, подверженные какой-либо известной уязвимости). После этого в файлах сайтов размещается вредоносный код. Поэтому важно своевременно обновлять CMS и плагины. Со стороны хостинга ваши сайты максимально защищены. В случае заражения сайта другого клиента на сервере, ваш сайт будет находиться в безопасности.

Как я могу защитить сайт?

Чтобы оградить сайт от взлома, следует придерживаться простых правил:

• Устанавливайте корректные права на каталоги и файлы сайтов. Старайтесь не использовать права «777», поскольку эти атрибуты дают любому пользователю полный доступ к файлам и каталогам вашего аккаунта. Используйте права «777» только в исключительных случаях.
• Следите за обновлениями используемой CMS и её плагинов на официальных сайтах и своевременно устанавливайте их.
• Используйте только официальные темы и плагины CMS. Очень часто во взломанных (nulled) версиях платных скриптов имеются вирусы.
• Используйте сложные пароли (длиной не менее 8 символов, с цифрами и буквами разных регистров). Помните, что простые пароли очень легко подбираются.
• Пользуйтесь антивирусным программным обеспечением и регулярно обновляйте антивирусные базы.
• Пользуйтесь только актуальными версиями браузеров (Mozilla Firefox, Google Chrome, Opera, Safari).
• Не храните пароли в FTP-клиентах. Очень часто вирусы берут информацию из FTP-клиента.

Что делать, если при входе на сайт внезапно начал ругаться антивирус (а если еще эту новость сообщили клиенты)? Или без видимых на то причин сайт стал загружаться дольше обычного, при этом основное содержимое страницы уже «отрисовалось»? А, может быть, на сайте использовались интерактивные скрипты, которые вдруг перестали работать?

Все вышеперечисленное является результатом заражения сайта вирусом -- чужеродным вредоносным кодом. Как это произошло, кто виноват, и, самое главное, что делать для устранения и предотвращения подобного в будущем?

Что такое?

Вредоносный код, о котором сигналит антивирус, -- это вставка в код страницы сайта определенного зашифрованного JavaScript-кода, при выполнении которого формируется так называемый iframe (HTML-элемент, позволяющий включить при отображении содержимое одной страницы в другую). Вставленный iframe указывает, как правило, на зараженную страницу, которая уже содержит более «тяжелый» код, использующий различные уязвимости браузеров (в основном Internet Explorer"а) для загрузки и запуска исполняемых файлов вирусов.

Механизм заражения

Механизм заражения сайтов в подавляющем числе случаев одинаков: вирус попадает на компьютер, с которого выполнялся вход на данный сайт по протоколу FTP, после чего получает реквизиты доступа к адресам, для которых в программе FTP-клиенте была выбрана опция «запомнить логин/пароль». Получив реквизиты доступа, вирус отсылает их на компьютеры злоумышленников, где уже и расположены программы-роботы, выполняющие «грязную» работу. Эти роботы выполняют подключение к FTP-адресам с полученными реквизитами, затем сканируют каталоги сайта в поисках файлов с определенными именами: чаще всего это корневые файлы -- те, к которым в первую очередь выполняется обращение при входе на сайт. Обнаружив такой файл, робот скачивает его, добавляет в конец скачанного файла вредоносный код, и закачивает этот файл обратно на FTP-сервер, заменяя оригинал.

С точки зрения сервера это выглядит как обыкновенная активность пользователя: выполняется подключение авторизованного пользователя, скачивание и закачивание файлов -- фактически именно то, что выполняется при обыкновенном обновлении сайта разработчиком по FTP.

Устранение заражения

Первое, что необходимо сделать при обнаружении подобного заражения -- это не дать вирусу повторно заразить сайт. Для этого достаточно сменить пароль доступа на FTP через панель управления, а также проверить все компьютеры, с которых выполнялось подключение к сайту по FTP на вирусы, используя антивирусы со свежими базами обновлений.

Так как код сайта, по сути, представляет собой обыкновенные текстовые файлы, для удаления вредоносного кода достаточно открыть зараженный файл, найти необходимый участок кода, удалить его и сохранить файл. В особо сложных ситуациях может случиться так, что над зараженным сайтом «поработали» несколько различных вирусов -- файлы сайта будут содержать несколько вставок различного вредоносного кода. Реже встречаются случаи, когда содержимое сайта может быть повреждено достаточно сильно, в таком случае целесообразнее восстановить данные из резервной копии, чем заниматься лечением каждого файла вручную.

Предотвращение заражения

Для того чтобы не повторять чужих ошибок и уберечься от повреждения сайта, достаточно следовать простым рекомендациям:

не использовать возможности FTP-клиентов по сохранению паролей;

периодически выполнять смену паролей доступа к FTP;

при необходимости ограничить адреса компьютеров, с которых разрешено подключаться по FTP;

использовать для доступа по FTP только «надежные» компьютеры -- те, на которых установлены антивирусы с актуальными базами обновлений.

16.02.2015 16:05:23

Вероятность заражения компьютера вредоносной программой есть всегда — даже если у вас установлен антивирус. А когда никакого защитного программного обеспечения на компьютере не установлено, эта вероятность еще выше.

Если заражение произошло, лучше всего для «лечения» обратиться к специалистам. Однако не всегда поблизости есть компьютерный эксперт. В данной статье вы можете узнать о том, как самостоятельно распознать заражение и исправить проблему — или по возможности снизить риск вреда до прихода специалиста.

Признаки заражения

При подозрении на вирус

Поскольку современные вирусы «заточены» на работу в сети, при подозрении на заражение крайне важно отсоединить от компьютера сетевой провод — или, если сеть беспроводная, отключить модуль Wi-Fi.

К сожалению, бывают ситуации, когда сеть оказывается необходима для проведения «лечения» — например, чтобы скачать антивирусную программу. Конечно, правильней будет скачать антивирусную утилиту в другом месте, а потом скопировать ее на зараженный, но отключенный от сети компьютер, например при помощи «флешки». Если же такой способ недоступен, можно попробовать воспользоваться интернетом. Однако при этом ни в коем случае не следует заходить в системы онлайн-банкинга, подключаться к почтовым ящикам и так далее, то есть никоим образом не «светить» конфиденциальные данные. Как только все необходимые антивирусные средства будут скачаны, сеть нужно отключить.

Следует понимать, что сам факт заражения компьютера, то есть наличия действующего вируса в операционной памяти, может затруднять "лечение". Вирус может сопротивляться: например, блокировать доступ к сайтам производителей антивирусов или же маскироваться от конкретных антивирусных программ. Это означает, что в ряде случаев может понадобиться «лечение» при помощи дополнительной «чистой» системы. Например, можно загрузить систему с компакт-диска или же можно вытащить жесткий диск с зараженной системой и подключить его вторым к заведомо «чистому» компьютеру.

Как вылечить компьютер

Избавиться от вредоносной программы можно разными способами, каждый из которых имеет свои достоинства и недостатки. Если заражение произошло, лучше всего для «лечения» обратиться к специалистам. Однако не всегда поблизости есть компьютерный эксперт. В данной статье вы можете узнать о том, как самостоятельно распознать заражение и исправить проблему — или по возможности снизить риск вреда до прихода специалиста.

Способ 1. Использование готовых антивирусных средств

Подавляющему большинству пользователей подойдет «очистка» компьютера при помощи готовых средств, которые предлагаются разработчиками антивирусного ПО. В частности, без труда можно найти бесплатные утилиты, предназначенные специально для «лечения» зараженного компьютера. Вот несколько примеров таких программ с русскоязычным интерфейсом:

• Dr.Web CureIt! (http://www.freedrweb.com/cureit/);
• Kaspersky Virus Removal Tool (http://www.kaspersky.ru/antivirus-removal-tool );
• Microsoft Safety Scanner (http://www.microsoft.com/security/scanner/ru-ru/default.aspx).

Безусловно, можно пользоваться и другими утилитами, но загружать их рекомендуется только с официальных сайтов разработчиков. И желательно сначала загрузить на «здоровый» компьютер, а затем перенести на зараженный.

Несмотря на сравнительную простоту этого способа, прежде чем взяться за «лечение», нужно понимать ряд принципов:

1. Даже если компьютер защищен антивирусным программным комплексом, он может быть заражен вирусом — потому что антивирус его не распознает.
2. Если антивирус не распознает данный конкретный вирус в данный конкретный момент, вполне возможно, что он начнет его распознавать в будущем, например если обновить базы с сигнатурами вирусов.
3. Если установленный антивирус не распознает данный конкретный вирус, вполне возможно, что его распознает антивирус другого производителя.
4. Если ни один из антивирусов не находит на компьютере вирусов, это еще не значит, что их там нет. Однако у нас нет иного выхода, кроме как предположить с большой степенью вероятности, что компьютер «чист».

Другими словами, не исключено, что вам понадобится провести лечение при помощи нескольких утилит разных производителей.

Общая схема лечения такова:

1. Если компьютер заражен «блокировщиком», его сперва следует разблокировать (подробнее об этом можно прочитать в статье, посвященной троянам-блокировщикам
2. Установить и запустить утилиту для лечения.
3. Следовать инструкциям.
4. После завершения работы утилиты таким же образом установить и запустить одну или несколько утилит других производителей.
5. Компьютер вылечен. Теперь нужно установить (или переустановить) антивирусный комплекс.
6. Компьютер вылечен и защищен. Следует изменить все пароли ко всем интернет-сервисам, почтовой программе, мессенджерам и т. п. Крайне рекомендуется следить за движением средств по пластиковым картам и банковским счетам, если вы пользуетесь системами онлайн-банкинга: в случае подозрительных транзакций следует связаться с банком для принятия необходимых мер — отмены платежей, перевыпуска карт и т. п.
7. Если вылечить компьютер своими силами по каким-то причинам не удалось, необходимо обратиться к специалисту. Не следует забывать о существовании технической поддержки пользователей антивирусных средств: это может сэкономить вам массу времени, нервов и денег.

Способ 2. Переустановка операционной системы

Это радикальный способ, к которому следует прибегнуть, если не помогли антивирусные средства. Перед установкой ОС заново желательно предварительно отформатировать жесткий диск, что не всегда удобно, поскольку приводит к уничтожению не только вредоносных программ, но и полезных данных. К тому же, процедура установки и особенно настройки ОС «под себя» достаточно трудоемка.

Задачу по переустановке системы можно облегчить, если озаботиться этим заранее. Так, например, папку «Мои документы» в Windows можно перенести на другой логический или физический диск, что позволит в любой момент отформатировать системный раздел, не боясь потерять личные данные. Кроме того, владельцы последних версий Windows имеют возможность создать установочный диск ОС, хранящий также собственный набор программ и настроек.

Следует также иметь в виду, что если компьютер будет заражен вирусом-шифровальщиком, простая переустановка системы не поможет вам восстановить закодированные личные данные.

Способ 3. Обнаружение и удаление вредоносного ПО вручную

Сразу следует сказать, что такой способ рекомендуется в последнюю очередь. Даже глубокие познания устройства операционной системы вряд ли помогут вам осуществить его в должной мере: высока вероятность того, что вы либо пропустите какие-то вредоносные модули, либо наоборот — примете за вирус полезную программу и удалите что-нибудь нужное, нарушив целостность ОС.

Даже если мы дадим вам какие-то общие рекомендации, например, что следует проверить папку автоматического запуска программ и ключи автозапуска реестра Windows , это не особенно поможет, потому что без профессиональных знаний и опыта в вопросах IT -безопасности вам будет очень трудно отличить «плохие» файлы от «хороших».

В век технологий нам часто приходится сталкиваться не только с удобством пользования гаджетами, но и с их неполадками. То же самое можно сказать о компьютере. Система ПК очень непростая. Она, к сожалению, подвержена разного рода кибер-атакам и Как определить, что ваш компьютер заражен вирусом или рекламным «червем»?

Вред

В чем же суть вопроса? Если вы решили, что ваш компьютер заражен вирусом, важно понимать, о чем конкретно идет речь.

Компьютерный вирус представляет собой вредоносное программное обеспечение, которое может самокопироваться, внедряться в важные коды, системные области, разрушать загрузочные секторы, а также переходить в другие системы по сети.

Главной задачей вредоносного ПО является распространение. То, что вирус может что-то удалить, спрятать, добавить и т. д. - лишь побочные его действия.

Также случается, что за подобным «злым» файлом не стоят какие-либо мотивы программирования вредоносных эффектов. Но из-за несовместимости или некоторых тонкостей взаимодействия, система может давать сбой.

Вирусы могут «проживать» на накопителях и оттуда поглощать все ресурсы.

Усовершенствованные

Чтобы понять, как определить, что компьютер заражен, нужно понимать разновидности вирусов и их взаимодействие на систему.

К сожалению, с развитием технологий вредоносное ПО стало активно совершенствоваться. Так, вирусы могут «накрывать» целые государственные системы, которые защищены особыми методами. Но даже такая оборона не может устоять перед некоторыми «злодеями».

Группы

Различаются вредоносные софты по способам распространения и функциональности. Ранее подхватить их можно было только через носители информации типа дискеты. Сейчас же большинство из них приходят на наш ПК через интернет.

Стандартизированной классификации вирусов не существует, поскольку они порой имеют неоднозначные характеристики. Поэтому определять их в какую-либо группу непросто.

Различают программы, которые поражают определенные области системы. Вирусы могут добраться до файлов, загрузочных служб, исходных кодов, сценариев и т. д.

Есть и классификация по механизму заражения. К примеру, есть «вредители», которые добавляются в исполняемый файл, или те, которые портят документ, который не подлежит восстановлению. Есть и такие вирусы, которые «живут» отдельно от всех, постоянно влияя на систему ПК.

Есть виртуальные «злоумышленники», которые могут использовать особые технологии внутри вашей системы. Так вам даже будет сложно понять, как определить, что ваш компьютер заражен.

Специалисты разделяют вирусы по языку, на котором они были написаны. А также есть софты, которые используют дополнительные функции в системе. Могут шпионить, собирать нужную информацию, регистрируют действия пользователя и т. д.

Предостережение

Можно предостеречь случаи появления уведомления о том, что ваш компьютер заражен. Что делать в этом случае?

Конечно, главными помощниками давно уже стали самые популярные антивирусники. Но последние разработки вредоносных ПО стали настолько продвинутыми, что защитные программы могут справиться не со всеми. Поэтому важно следовать некоторым рекомендациям, чтобы не подхватить вирус и не думать потом, как определить, что ваш компьютер заражен.

Старайтесь не использовать привилегированные учетные записи без необходимости. Имеется в виду аккаунт типа администратора Windows. Если вирус получит его данные, то можете распрощаться со всеми своими данными и с системой в целом.

Помните, что запуск подозрительных и малоизвестных программ с непроверенных источников также приводит к заражению. Стоит насторожиться, если система пытается изменить свои файлы самостоятельно.

Также стоит позаботиться о потенциально опасной функциональности системы. Конечно же, лучше «не лазить» по неизвестным ресурсам и присматриваться к адресной строке. Использовать доверенные дистрибутивы.

Если вы часто работаете с важными данными, лучше скидывать их на внешний накопитель или делать резервные копии. Можно записать образ всей системы с развертыванием.

Система в опасности

Многие задаются вопросом: как определить, что ваш компьютер заражен. Ответ прост. Вы точно догадаетесь, что с системой что-то не так по существующим признакам.

Тревожным звоночком являются:

• Появление неожиданных сообщений или изображений на экране.
• Регулярное воспроизведение звуков, которое может хаотично происходит в любое время.
• Самостоятельная активация программ.
• Подключение некоторых утилит к интернету без вашего ведома.
• Отправка с вашего электронного адреса непонятных сообщений (спама) вашим знакомым.
• Зависание системы или ее медленная работа.
• Огромное количество системных ошибок и уведомлений.
• Невозможность загрузки системы.
• Исчезновение личных данных: файлов, папок и архивов.
• Некорректная работа браузера.

Конечно, это далеко не все признаки, которые могут случиться при заражении. Вариаций очень много: от крупных порнографических баннеров до полного выключения ПК.

Первые действия

Что делать, если компьютер заражен вирусом? Если вы смогли определить, что в системе поселился «червь», то нужно сразу предпринять ряд действий.

Важно тут же отказаться от банковских платежей и электронных кошельков. Не переходить ни на какие важные аккаунты и финансовые системы.

Если на ПК нет антивирусника, желательно воспользоваться хотя бы его онлайн-версией. Так вы сможете быстро просканировать систему и узнать, какие «сюрпризы» там припрятаны.

Лучше всего отключить интернет и локальную сеть. Чтобы вирус не смог «позвать» кого-то себе на помощь, либо на время «скрыться» во Всемирной паутине. Если антивирусник найдет вредоносное ПО, он автоматически решит, что с ним сделать: может его сразу удалить, либо перенести на карантин.

Кстати, часто с такими проблемами некоторые защитные программы не могут справиться, поэтому придется устанавливать другие. Но это, в свою очередь, также не совсем безопасно. Поэтому постарайтесь заранее позаботиться о том, чтобы на компьютере «поселился» антивирусник. Если он мешает вам работать, его можно отключить. Но именно он знает, как определить, что ваш компьютер заражен.

Если ни один вариант не помог, стоит переходить к решительным действиям.

Дополнительная помощь

Конечно, если вы совсем не разбираетесь в компьютере, то лучше сразу вызывать мастера, который будет «лечить» ваш ПК. Если хотя бы поверхностные знания на счет системы у вас есть, можете попробовать отыскать вирусный файл самостоятельно. К этому варианту можно прийти только в том случае, если вы столкнулись с обычным червем или трояном.

Если же вы понимаете, что перед вами сложная вредоносная программа, которую не так то и просто вытащить самостоятельно из системы, можно попробовать использовать сторонние программы. В некоторых случаях потребуется подключить ЖД к другому ПК или загрузить систему с диска.

Выводы

Вирусы - это неприятность, которая наверняка случалась с каждым пользователем. Злоумышленники по всему миру стараются украсть личные данные либо просто подшутить над неопытным пользователем.

Если перед вами простой вредоносный файл, то, скорее всего, его сможет найти антивирусная программа. Она самостоятельно его вылечит или удалит.

Если же у вас завелся троян или червь, то с ним можно справиться самостоятельно, отыскав его в системных файлах или корневом каталоге. Для его поиска используют любой файловый менеджер, который может отсортировать все файлы системы по дате.

Если же в системе завелся настоящий «злодей», то с ним под силу справиться только настоящим специалистам. Так, они помогут не просто удалить его из ПК, а и сохранить ваши личные данные. Если же вам не важны документы, либо у вас ничего нет на компьютере, можете просто переустановить операционную систему.