Удаление вирусов с сайта

Суть проблемы: php-скрипты на сайте инфицируются iframe’ом, который запускает серию редиректов. Куда – на страницы с эксплоитами для заражения через дыру в браузере или для перенаправления трафика – не особо важно. В любом случае эту нечисть надо удалять.

Механизм заражения: заражение производится автоматически, поэтому перед чисткой файлов от iframe’а нужно установить, как злоумышленник получил доступ к сайту. Наиболее вероятный вариант – троянец крадет пароли, передаваемые по сети в открытом виде, и отдает хозяину, который добавляет их в список и скармливает программе, заражающей сайты автоматически. Хотя бывает и так, что ломают хостинг. Описывать, как найти малварь на своем компьютере я здесь не буду.

Удаление вирусов: после того, как определен способ, которым воруются логин\пароль от ftp и приняты соответствующие меры (шифрование трафика, использование антивируса, фаервола, общение с саппортом) для защиты новых паролей, можно переходить к удалению вирусного кода с сайта.

Сначала нужно определить, какие файлы были заражены. Если таких очень много, то проще всего будет удалить все файлы и перезалить их заново, но это не всегда возможно и целесообразно.  Обычно заражают пару файлов вроде index.php, index.htm, *.js и т.д. Найти все зараженные файлы можно с помощью рекурсивого поиска характерной подстроки по всем директориям. Для этого я использую небольшой php-скрипт, принимающий 2 параметра – искомую строку str и дату date, после которой были изменения.

[download id="3"]

Если файлов немного, можно удалить вирусный код вручную, если много – использовать готовые решения в каких-нибудь редакторах или написать небольшой php-скрипт.

Обнаружение вирусов \ shell и т.п.: для обнаружения конкретно iframe-заражения можно попробовать использовать siteguard, но лучше всего написать php-скрипт, который будет подключаться ко всем php-файлам через auto_prepend_file и сверять со списком своих файлов и их контрольных сумм, в случае чего завершаться или слать репорт на почту \ в асю. Спецы могут дописать и восстановление. На одном из моих сайтов как раз после взлома хостера бот-ревизор подчищал за ботом-ифреймером

Как-нибудь потом я поделюсь своим скриптом, который все это делает.

• « Предыдущая статья
• Следующая статья »

• Рубрики

  • 3d-графика (6)
  • AI (3)
  • Web-программирование (3)
    • PHP (3)
  • Без рубрики (28)
  • Безопасность (10)
  • Выставки (2)
  • Интересное из RSS (42)
  • кино, сериал (2)
  • Мои скрипты и программы (4)
  • О блоге (1)
  • Парсинг, граббинг (1)
  • Партнерки (1)
  • Поисковые системы (5)
  • Полезности (9)
  • Размышления (12)
  • Стартапы (1)
  • Электронные деньги (2)
    • Webmoney (2)

• Свежие записи

  • Установка стиральной машины
  • CheapTop – быстро и дешево в топ
  • Lego city
  • Відеоконференція
  • Графический движок