Вредоносный код

Это статья посвящена неприятным моментам, от которых, увы, не застрахованы владельцы сайтов. Если вам повезло и вы еще не сталкивались с вредоносным кодом на своем сайте, то наверняка встретили в поисковой выдаче комментарий «Сайт может угрожать безопасности вашего компьютера».

Поисковый комментарий

Кликните мышкой, чтобы сделать рисунок больше

Часто благодаря подобному сигналу от Яндекса или Гугла можно понять, что сайт был взломан. В этом случае необходимо выполнить три действия:

  1. проверить на вирусы компьютеры у всех, имеющих доступ к CMS, SSH, FTP, базе данных, а также от панели управления веб-хостингом;
  2. заменить пароли;
  3. найти на страницах сайта чужеродный код и удалить его со своего сайта.

Среди вирусных программ есть специализирующиеся на воровстве учетных записей, поэтому прежде всего необходимо выполнить проверку на вирусы рабочих компьютеров и веб-сервера. Кроме того, следует сменить пароли доступа к CMS, SSH, FTP, БД, а также от панели управления веб-хостингом (DirectAdmin, cPanel, Masterhost и т. п.). Эти действия лишат хакеров возможности вторичного вторжения. Не следует сохранять пароли при входе в программу, в том числе для входа по FTP в Total Comandere. Создав соединение, вводите пароль каждый раз при входе. И хотелось бы напомнить о правах доступа к папкам и файлам по FTP.

К выбору пароля следует подходить очень ответственно. Хороший пароль должен содержать буквы как верхнем так и нижнем регистре, включать в себя цифры и знаки, желательно легко запоминаться, а значит нигде не записываться.

Если сайт зарегистрирован на Яндекс. ВебМастере, задача упрощается хотя бы тем, что на странице «Безопасность» можно найти список зараженных страниц. В первую очередь следует проанализировать зараженные страницы, возможно вы найдете чужой участок кода, который может представлять собой внутри тела вашей программы вставку:
<html>……</html>;
<iframe>……</iframe>;
<script src>…….</script>.
Нужно попытаться понять куда ведет код, где источник чужого контента. Это не всегда просто, поскольку код может быть обфусцирован, т. е. с ним проведены действия усложняющие его поиск. Например: превращение кода в нечитаемый с использованием различных кодировок, разделение кода на части, загружаемые при определенных условиях. В качестве источников могут быть использованы ресурсы с названиями вызывающими доверие. Для примера можно привести ссылки на ресурсы yandex-yandex.uni.cc и ad.yandex-verification.net, которые к Яндексу отношения не имеют. Нередко вредоносный код маскируется под скрипты для баннеров и счетчиков, при этом ссылается на непонятные ресурсы. Необходимо проанализировать сайт на все странности, особое внимание нужно обратить на теги, которые используют атрибуты «невидимости»
CSS display: none;
CSS visibility: hidden;
CSS position: absolute;
а также использование размеров width — height от 0 до 10 пикселей.
В любом случае, нужно проверить по FTP все последние изменения: появление новых папок, страниц.

Найденный код, все обнаруженные чужие папки и страницы необходимо удалить.

Если же чужой код найти так и не удалось, можно попробовать восстановить сайт из резервной копии, созданной до заражения. Поэтому нужно делать резервные копии и хранить их длительное время.