Кожен вебмайстер стикався з проблемою пошуку вразливих місць свого сайту, за допомогою яких зловмисник може завантажити свій шкідливий код, який так чи інакше вплине на працездатність всього сайту, аж до виключення з пошукової видачі.

Найчастіше зараження відбувається через людський фактор, але що робити, якщо сайт таки зламаний?

Основні проблеми

Найменше зла - це знайти і видалити сам шкідливий код. Основна проблема полягає в пошуку того вразливого місця, через яке зловмисник завантажив свій код на ваш сайт, щоб убезпечити себе від наступних подібних прецедентів.

Для пошуку шкідливого коду написано чимало антивірусних програм, створено багато сервісів, які можуть вказати на адресу зараженої сторінки, надавши навіть сигнатуру та вичерпну інформацію про вірус. Але жодне програмне забезпечення не зможе сказати Вам, як цей «чужий код» з'явився на сайті. Тут варто покладатися лише на себе.

Нижче я наведу декілька команд, які можна застосовувати при пошуку заражених файлів та/або завантажених до Вас на сайт shell-ів/backdoor-ів. Для цього нам потрібна програма Putty та SSH-доступ до сайту.

Пошук заражених файлів

За допомогою наведених нижче команд можна знайти файли, що містять «небезпечні» елементи, за допомогою яких зловмисник може виконати шкідливий обфусикований код.

Виведення файлів буде записано у лог-файл у вашій поточній директорії. Кожен файл містить шлях до знайденого файлу і рядок з підозрілою ділянкою коду.

find /Каталог із сайтом -type f -iname "*" -exec grep -Him1 "eval"()\; > ./eval.log
find /Каталог із сайтом -type f -iname "*" -exec grep -Him1 "base64" () \; > ./base64.log
find /Каталог із сайтом -type f -iname "*" -exec grep -Him1 "file_get_contents" () \; > ./file_get_contents.log

Пошук директорій із повними правами на запис

Наступна команда виводить список директорій, у яких встановлено повні права на запис. Саме такі директорії використовують для зараження сайту.

find ./Каталог із сайтом -perm 777 -type d

Пошук змінених файлів за період

Якщо Ви знаєте коли приблизно відбулося зараження, можна переглянути список змінених файлів за останні кілька днів (параметр –mtime -7 вказує на дату зміни, відмінну від поточної за 7 минулих днів)

find ./Каталог із сайтом -type f -iname "*" -mtime -7

Що робити, якщо сайт заражений?

Отже, припустимо, що ми виявили заражені файли або shell-файл. Перед тим як його видалити/видалити шкідливий код, запам'ятайте його ім'я (повний шлях), дату зміни/створення файлу, його gid та id користувача (для unix систем), це дозволить знайти спосіб його завантаження до нас на сайт. Почнемо з користувача та групи:

Подивіться, від якого користувача працює Ваш web-сервер:

ps-aux | grep "apache2" | awk ("print $1")

Якщо цей користувач збігається з користувачем, який створив шкідливий файл, можна припустити, що він був завантажений через сам сайт. Якщо ж ні – файл могли завантажити через ftp (ми настійно рекомендуємо змінити паролі до FTP-сервера та адміністративної панелі сайту).

cat./site.ru.access.log | grep “ім'я filenameOfShellScript”

І отримуємо виведення всіх запитів до нашого скрипту. По ньому визначаємо userAgent та ip адресу нашого зломщика.

Наступною командою ми отримуємо список усіх запитів, на які він заходив.

cat./site.ru.access.log | grep "ip" | grep “userAgent”

Уважно проаналізувавши його можна знайти вразливе місце на сайті, слід звернути особливу увагу на POST-запити з висновку, за допомогою яких міг бути залитий шкідливий файл.

Іжаковський Андрій, системний адміністратор

Перша допомога

Якщо ви виявили, що сайт заражений або вам надійшло повідомлення про наявність шкідливого програмного забезпечення на вашому обліковому записі:

Чому на моєму сайті віруси?

Частими причинами зараження сайту є:

• вразливість у версії CMS, що використовується;
• вразливість у встановленому розширенні CMS (теми, плагіни, модулі);
• віруси на комп'ютері, з якого відбувається керування сайтом.

Найчастіше зловмисники зламують сайти в автоматичному режимі за допомогою спеціальних програм. Вони збирають велику базу сайтів з пошукових систем за певними критеріями (сайти, встановлені на популярних CMS та їх плагіни, схильні до будь-якої відомої вразливості). Після цього у файлах сайтів розміщується шкідливий код. Тому важливо своєчасно оновлювати CMS та плагіни. З боку хостингу ваші веб-сайти дуже захищені. У разі зараження сайту іншого клієнта на сервері, ваш сайт буде у безпеці.

Як захистити сайт?

Щоб захистити сайт від злому, слід дотримуватися простих правил:

• Встановлюйте коректні права на каталоги та файли сайтів. Намагайтеся не використовувати права «777», оскільки ці атрибути дають будь-якому користувачу повний доступ до файлів та каталогів вашого облікового запису. Використовуйте права «777» лише у виняткових випадках.
• Слідкуйте за оновленнями використовуваної CMS та її плагінів на офіційних сайтах та вчасно встановлюйте їх.
• Використовуйте лише офіційні теми та плагіни CMS. Найчастіше у зламаних (nulled) версіях платних скриптів є віруси.
• Використовуйте складні паролі (довжиною не менше 8 символів, з цифрами та літерами різних регістрів). Пам'ятайте, що звичайні паролі дуже просто підбираються.
• Використовуйте антивірусне програмне забезпечення та регулярно оновлюйте антивірусні бази.
• Використовуйте лише актуальні версії браузерів (Mozilla Firefox, Google Chrome, Opera, Safari).
• Не зберігайте паролі у FTP-клієнтах. Дуже часто віруси беруть інформацію з FTP-клієнта.

Що робити, якщо при вході на сайт раптово почав лаятись антивірус (а якщо ще цю новину повідомили клієнти)? Або без видимих ​​причин сайт завантажувався довше звичайного, при цьому основний вміст сторінки вже «відмалювався»? А може, на сайті використовувалися інтерактивні скрипти, які раптом перестали працювати?

Все перераховане вище є результатом зараження сайту вірусом - чужорідним шкідливим кодом. Як це сталося, хто винен, і, найголовніше, що робити для усунення та запобігання такому в майбутньому?

Що таке?

Шкідливий код, про який сигналить антивірус, - це вставка в код сторінки сайту певного зашифрованого JavaScript-коду, при виконанні якого формується так званий iframe (HTML-елемент, що дозволяє включити при відображенні вміст однієї сторінки в іншу). Вставлений iframe вказує, як правило, на заражену сторінку, яка вже містить більш «важкий» код, що використовує різні вразливості браузерів (в основному Internet Explorer) для завантаження та запуску файлів вірусів.

Механізм зараження

Механізм зараження сайтів у переважній кількості випадків однаковий: вірус потрапляє на комп'ютер, з якого виконувався вхід на даний сайт за протоколом FTP, після чого отримує реквізити доступу до адрес, для яких у програмі FTP-клієнті було обрано опцію «запам'ятати логін/пароль».Отримавши реквізити доступу, вірус відсилає їх на комп'ютери зловмисників, де вже розташовані програми-роботи, що виконують «брудну» роботу. Ці роботи виконують підключення до FTP-адрес з отриманими реквізитами, потім сканують каталоги сайту у пошуках файлів з певними іменами: найчастіше це кореневі файли - ті, до яких в першу чергу виконується звернення при вході на сайт. Виявивши такий файл, робот завантажує його, додає в кінець завантаженого файлу шкідливий код, і закачує файл назад на FTP-сервер, замінюючи оригінал.

З точки зору сервера, це виглядає як звичайна активність користувача: виконується підключення авторизованогокористувача, скачування та закачування файлів - фактично саме те, що виконується при звичайному оновленні сайту розробником FTP.

Усунення зараження

Перше, що необхідно зробити при виявленні такого зараження - це не дати вірусу повторно заразити сайт. Для цього достатньо змінити пароль доступу на FTP через панель керування, а також перевірити всі комп'ютери, з яких здійснювалося підключення до сайту FTP на віруси, використовуючи антивіруси зі свіжими базами оновлень.

Так як код сайту, по суті, є звичайними текстовими файлами, для видалення шкідливого коду достатньо відкрити заражений файл, знайти необхідну ділянку коду, видалити його і зберегти файл. В особливо складних ситуаціях може статися так, що над зараженим сайтом "попрацювали" кілька різних вірусів - файли сайту міститимуть кілька вставок різного шкідливого коду. Рідше трапляються випадки, коли вміст сайту може бути пошкоджений досить сильно, в такому випадку доцільніше відновити дані з резервної копії, ніж робити вручну лікування кожного файлу.

Запобігання зараженню

Для того, щоб не повторювати чужих помилок і уберегтися від пошкодження сайту, достатньо слідувати простим рекомендаціям:

не використовувати можливості FTP-клієнтів щодо збереження паролів;

періодично виконувати зміну паролів доступу до FTP;

за необхідності обмежити адреси комп'ютерів, з яких можна підключатися по FTP;

використовувати для доступу до FTP тільки «надійні» комп'ютери - ті, на яких встановлені антивіруси з актуальними базами оновлень.

16.02.2015 16:05:23

Імовірність зараження комп'ютера шкідливою програмою є завжди навіть якщо у вас встановлений антивірус. А коли жодного захисного програмного забезпечення на комп'ютері не встановлено, ця ймовірність ще вища.

Якщо зараження відбулося, найкраще для лікування звернутися до фахівців. Однак не завжди поблизу є комп'ютерний експерт. У цій статті ви можете дізнатися про те, як самостійно розпізнати зараження та виправити проблему — або, по можливості, знизити ризик шкоди до приходу фахівця.

Ознаки зараження

При підозрі на вірус

Оскільки сучасні віруси «заточені» на роботу в мережі, при підозрі на зараження вкрай важливо від'єднати від комп'ютера мережний провід — або, якщо бездротова мережа, відключити модуль Wi-Fi.

На жаль, бувають ситуації, коли мережа виявляється необхідною для проведення лікування — наприклад, щоб завантажити антивірусну програму. Звичайно, правильніше завантажити антивірусну утиліту в іншому місці, а потім скопіювати її на заражений, але відключений від мережі комп'ютер, наприклад за допомогою флешки. Якщо такий спосіб недоступний, можна спробувати скористатися інтернетом. Однак при цьому в жодному разі не слід заходити до систем онлайн-банкінгу, підключатися до поштових скриньок і так далі, тобто аж ніяк не «світити» конфіденційні дані. Як тільки всі необхідні антивірусні засоби будуть завантажені, мережу потрібно вимкнути.

Слід розуміти, що сам факт зараження комп'ютера, тобто наявності вірусу, що діє, в операційній пам'яті, може ускладнювати "лікування". Вірус може чинити опір: наприклад, блокувати доступ до сайтів виробників антивірусів або маскуватися від конкретних антивірусних програм. Це означає, що часом може знадобитися «лікування» з допомогою додаткової «чистої» системи. Наприклад, можна завантажити систему з компакт-диска або можна витягнути жорсткий диск із зараженою системою і підключити його другим до заздалегідь «чистого» комп'ютера.

Як вилікувати комп'ютер

Позбутися шкідливої ​​програми можна різними способами, кожен з яких має свої переваги та недоліки. Якщо зараження відбулося, найкраще для лікування звернутися до фахівців. Однак не завжди поблизу є комп'ютерний експерт. У цій статті ви можете дізнатися про те, як самостійно розпізнати зараження та виправити проблему — або, по можливості, знизити ризик шкоди до приходу фахівця.

Спосіб 1. Використання готових антивірусних засобів

Переважній більшості користувачів підійде «очищення» комп'ютера за допомогою готових засобів, які пропонують розробники антивірусного ПЗ. Зокрема, легко можна знайти безкоштовні утиліти, призначені спеціально для «лікування» зараженого комп'ютера. Ось кілька прикладів таких програм із російськомовним інтерфейсом:

• Dr.Web CureIt! (http://www.freedrweb.com/cureit/);
• Kaspersky Virus Removal Tool (http://www.kaspersky.ru/antivirus-removal-tool);
• Microsoft Safety Scanner (http://www.microsoft.com/security/scanner/ru-ua/default.aspx).

Безперечно, можна користуватися й іншими утилітами, але завантажувати їх рекомендується лише з офіційних сайтів розробників. І бажано спочатку завантажити на здоровий комп'ютер, а потім перенести на заражений.

Незважаючи на порівняльну простоту цього способу, перш ніж взятися за «лікування», потрібно розуміти низку принципів:

1. Навіть якщо комп'ютер захищений антивірусним програмним комплексом, він може бути заражений вірусом, тому що антивірус його не розпізнає.
2. Якщо антивірус не розпізнає даний конкретний вірус у конкретний момент, цілком можливо, що він почне його розпізнавати в майбутньому, наприклад, якщо оновити бази з сигнатурами вірусів.
3. Якщо встановлений антивірус не розпізнає цей конкретний вірус, цілком можливо, що його розпізнає антивірус іншого виробника.
4. Якщо жоден антивірус не знаходить на комп'ютері вірусів, це ще не означає, що їх там немає. Однак у нас немає іншого виходу, окрім як припустити з великим ступенем ймовірності, що комп'ютер чистий.

Іншими словами, не виключено, що вам знадобиться провести лікування за допомогою кількох утиліт різних виробників.

Загальна схема лікування така:

1. Якщо комп'ютер заражений блокувальником, його спочатку слід розблокувати (докладніше про це можна прочитати в статті, присвяченій троянам-блокувальникам
2. Встановити та запустити утиліту для лікування.
3. Дотримуватися інструкцій.
4. Після завершення роботи утиліти так само встановити і запустити одну або кілька утиліт інших виробників.
5. Комп'ютер виліковано. Тепер необхідно встановити (або перевстановити) антивірусний комплекс.
6. Комп'ютер вилікований та захищений. Слід змінити всі паролі до всіх інтернет-сервісів, поштової програми, месенджерів тощо. Вкрай рекомендується стежити за рухом коштів за пластиковими картками та банківськими рахунками, якщо ви користуєтеся системами онлайн-банкінгу: у разі підозрілих транзакцій слід зв'язатися з банком для прийняття необхідних заходів - скасування платежів, перевипуску карток тощо.
7. Якщо вилікувати комп'ютер самотужки з якихось причин не вдалося, необхідно звернутися до фахівця. Не слід забувати про існування технічної підтримки користувачів антивірусних засобів: це може заощадити масу часу, нервів і грошей.

Спосіб 2. Перевстановлення операційної системи

Це радикальний спосіб, до якого слід вдатися, якщо не допомогли антивірусні засоби. Перед встановленням ОС заново бажано попередньо відформатувати жорсткий диск, що завжди зручно, оскільки призводить до знищення як шкідливих програм, а й корисних даних. До того ж, процедура встановлення та особливо налаштування ОС «під себе» досить трудомістка.

Завдання з перевстановлення системи можна полегшити, якщо потурбуватися цим заздалегідь. Так, наприклад, папку "Мої документи" у Windows можна перенести на інший логічний або фізичний диск, що дозволить у будь-який момент відформатувати системний розділ, не боячись втратити особисті дані. Крім того, власники останніх версій Windows мають можливість створити інсталяційний диск ОС, який також зберігає власний набір програм і налаштувань.

Слід також мати на увазі, що якщо комп'ютер буде заражений вірусом-шифрувальником, звичайна переустановка системи не допоможе вам відновити закодовані особисті дані.

Спосіб 3. Виявлення та видалення шкідливого ПЗ вручну

Відразу слід сказати, що такий спосіб рекомендується в останню чергу. Навіть глибокі знання пристрою операційної системи навряд чи допоможуть вам здійснити його належним чином: висока ймовірність того, що ви або пропустите якісь шкідливі модулі, або навпаки - приймете за вірус корисну програму і видаліть щось потрібне, порушивши цілісність ОС.

Навіть якщо ми дамо вам якісь загальні рекомендації, наприклад, що слід перевірити папку автоматичного запуску програм та ключі автозапуску реєстру Windows, це не особливо допоможе, тому що без професійних знань та досвіду в питаннях IT-безпеки вам буде дуже важко відрізнити «погані» файли від «хороших».

У вік технологій нам часто доводиться стикатися не тільки зі зручністю користування гаджетами, а й з їхніми неполадками. Те саме можна сказати про комп'ютер. Система ПК дуже складна. Як визначити, що ваш комп'ютер заражений вірусом або рекламним «хробаком»?

Шкода

У чому суть питання? Якщо ви вирішили, що ваш комп'ютер заражений вірусом, важливо розуміти, про що йдеться.

Комп'ютерний вірус є шкідливим програмним забезпеченням, яке може самокопіюватися, впроваджуватися у важливі коди, системні області, руйнувати завантажувальні сектори, а також переходити в інші системи по мережі.

Головним завданням шкідливого ПЗ є поширення. Те, що вірус може щось видалити, сховати, додати і т. д. – лише побічні його дії.

Також трапляється, що за подібним "злим" файлом не стоять якісь мотиви програмування шкідливих ефектів. Але через несумісність або деякі тонкощі взаємодії, система може давати збій.

Віруси можуть «проживати» на накопичувачах та звідти поглинати усі ресурси.

Вдосконалені

Щоб зрозуміти, як визначити, що комп'ютер заражений, потрібно розуміти різновиди вірусів та їхню взаємодію на систему.

На жаль, з розвитком технологій шкідливе програмне забезпечення стало активно вдосконалюватися. Так, віруси можуть «накривати» цілі державні системи, захищені особливими методами. Але навіть така оборона не може встояти перед деякими «лиходіями».

Групи

Розрізняються шкідливі софти за способами поширення та функціональності. Раніше підхопити їх можна було лише через носії інформації на кшталт дискети. Зараз більшість із них приходять на наш ПК через інтернет.

Стандартизованої класифікації вірусів немає, оскільки вони часом мають неоднозначні характеристики. Тому визначати їх у якусь групу непросто.

Розрізняють програми, які вражають певні галузі системи. Віруси можуть дістатися файлів, завантажувальних служб, вихідних кодів, сценаріїв і т.д.

Є й класифікація механізму зараження. Наприклад, є «шкідники», які додаються у виконуваний файл, або ті, які псують документ, який не підлягає відновленню. Є й такі віруси, які «живуть» окремо від усіх, які постійно впливають на систему ПК.

Є віртуальні «зловмисники», які можуть використовувати спеціальні технології всередині вашої системи. Тож вам навіть буде складно зрозуміти, як визначити, що ваш комп'ютер заражений.

Фахівці поділяють віруси з мови, якою вони були написані. Також є софти, які використовують додаткові функції в системі. Можуть шпигунити, збирати потрібну інформацію, реєструють дії користувача тощо.

Застереження

Ви можете застерігати випадки появи повідомлення про те, що ваш комп'ютер заражений. Що робити у цьому випадку?

Звичайно, головними помічниками давно вже стали найпопулярніші антивірусники. Але останні розробки шкідливих програм стали настільки просунутими, що захисні програми можуть впоратися не з усіма. Тому важливо дотримуватись деяких рекомендацій, щоб не підхопити вірус і не думати потім, як визначити, що ваш комп'ютер заражений.

Намагайтеся не використовувати привілейовані облікові записи без необхідності. Мається на увазі обліковий запис типу адміністратора Windows. Якщо вірус отримає його дані, то можете розпрощатися з усіма своїми даними та системою в цілому.

Пам'ятайте, що запуск підозрілих та маловідомих програм з неперевірених джерел також призводить до зараження. Варто насторожитись, якщо система намагається змінити свої файли самостійно.

Також варто подбати про потенційно небезпечну функціональність системи. Звичайно ж, краще «не лазити» невідомими ресурсами і придивлятися до адресного рядка. Використовувати довірені дистрибутиви.

Якщо ви часто працюєте з важливими даними, краще скидати їх на зовнішній накопичувач або робити резервні копії. Можна записати образ усієї системи з розгортанням.

Система у небезпеці

Багато хто запитує: як визначити, що ваш комп'ютер заражений. Відповідь проста. Ви точно здогадаєтеся, що із системою щось не так за існуючими ознаками.

Тривожним дзвінком є:

• Відображення несподіваних повідомлень або зображень на екрані.
• Регулярне відтворення звуків, що може хаотично відбувається у будь-який час.
• Самостійна активація програм.
• Підключення деяких утиліт до Інтернету без вашого відома.
• Надсилання з вашої електронної адреси незрозумілих повідомлень (спаму) вашим знайомим.
• Зависання системи чи її повільна робота.
• Величезна кількість системних помилок та повідомлень.
• Неможливість завантаження системи.
• Зникнення особистих даних: файлів, папок та архівів.
• Некоректна робота браузера.

Звичайно, це далеко не всі ознаки, які можуть статися під час зараження. Варіацій дуже багато: від великих порнографічних банерів до вимкнення ПК.

Перші дії

Що робити, якщо комп'ютер заражений вірусом? Якщо ви змогли визначити, що в системі оселився «хробак», то потрібно одразу почати низку дій.

Важливо відразу відмовитися від банківських платежів та електронних гаманців. Не переходити на жодні важливі акаунти та фінансові системи.

Якщо на ПК немає антивірусника, бажано скористатися хоч би його онлайн-версією. Так ви зможете швидко просканувати систему та дізнатися, які «сюрпризи» там приховані.

Найкраще відключити інтернет та локальну мережу. Щоб вірус не зміг «покликати» когось собі на допомогу, або на якийсь час «сховатися» у Всесвітньому павутинні. Якщо антивірусник знайде шкідливе програмне забезпечення, він автоматично вирішить, що з ним зробити: може його відразу видалити, або перенести на карантин.

До речі, часто з такими проблемами деякі захисні програми не можуть упоратися, тому доведеться встановлювати інші. Але це також не зовсім безпечно. Тому постарайтеся заздалегідь подбати про те, щоб на комп'ютері оселився антивірусник. Якщо він заважає вам працювати, його можна вимкнути. Але саме він знає, як визначити, що ваш комп'ютер заражений.

Якщо жоден варіант не допоміг, варто переходити до рішучих дій.

Додаткова допомога

Звичайно, якщо ви зовсім не знаєтеся на комп'ютері, то краще відразу викликати майстра, який «лікуватиме» ваш ПК. Якщо хоча б поверхневі знання щодо системи у вас є, можете спробувати відшукати вірусний файл самостійно. До цього варіанта можна прийти тільки в тому випадку, якщо ви зіткнулися зі звичайним хробаком або трояном.

Якщо ж ви розумієте, що перед вами складна шкідлива програма, яку не так і просто витягнути самостійно з системи, можна спробувати використовувати сторонні програми. У деяких випадках потрібно підключити залізничний пристрій до іншого ПК або завантажити систему з диска.

Висновки

Віруси - це неприємність, яка, напевно, траплялася з кожним користувачем. Зловмисники по всьому світу намагаються вкрасти особисті дані або просто пожартувати з недосвідченого користувача.

Якщо перед вами простий шкідливий файл, то швидше за все його зможе знайти антивірусна програма. Вона самостійно його вилікує чи видалить.

Якщо ж у вас завівся троян чи черв'як, то з ним можна впоратися самостійно, знайшовши його в системних файлах чи кореневому каталозі. Для пошуку використовують будь-який файловий менеджер, який може відсортувати всі файли системи за датою.

Якщо ж у системі завівся справжній «лиходій», то з ним під силу впоратися тільки справжнім фахівцям. Так вони допоможуть не просто видалити його з ПК, а й зберегти ваші особисті дані. Якщо вам не важливі документи, або у вас нічого немає на комп'ютері, можете просто перевстановити операційну систему.