hosting:security:virus-cleaning

2.18.5. Очистка от вирусов

Техническая поддержка хостинга не может предоставлять точные инструкции по удалению вирусов. Вся информация носит рекомендательный характер и не является точной инструкцией по очистке сайта от вирусов.
Действия по удалению вирусов требуется производить самостоятельно или с привлечением сторонних специалистов.

Когда антивирус на хостинге при сканировании находит вредоносный код, владельцу хостинг-аккаунта отправляется уведомление с информацией о проблеме. Вредоносный код требуется обязательно удалить, так как из-за его наличия могут возникать проблемы с безопасностью данных как заражённого сайта, так и соседних сайтов в этом же хостинг-аккаунте.

Удаление вредоносного кода стоит производить после ознакомления с отчетом антивируса и анализа самого вредоносного кода. Довольно часто удаление вредоносного кода может повлечь за собой возникновение проблем в работе сайта по причине его внедрения в важные скрипты системы сайта.

Произвести полную очистку от вирусов в большинстве своём недостаточно для обеспечения безопасности сайта, так как требуется обнаружить источник заражения и устранить его. Без таких действий повторное заражение может быть лишь вопросом времени.

Рекомендуется использовать дополнительные сервисы проверки сайта на вирусы, к примеру сервис WPScan.

Перед выполнением каких-либо действий нужно создать резервную копию сайта и базы данных, после чего скачать её на ваше устройство для обеспечения возможности восстановления важных данных.

Удалить вирусы можно несколькими способами:

Мы регулярно обновляем базу данных сигнатур антивируса, поэтому вирусы могли существовать на сайте достаточно давно и в резервных копиях также будут присутствовать.
Для некоторых ситуаций с заражением определённых файлов мы подготовили инструкции:

Для очистки хостинг-аккаунта от вредоносного кода нужно ознакомиться с отчётом антивируса и устранить все найденные замечания. Необходимо открыть каждый из заражённых файлов, внимательно изучить его содержимое и удалить из него фрагменты вредоносного кода (антивирус выделяет в файле только найденные сигнатуры, вирусный код может быть в других частях файла и не быть выделенным, важно проверить весь файл и удалить подозрительные данные). Полностью удалять заражённые файлы нужно только в том случае, если они полностью состоят из вредоносного кода.

Можно производить полную замену файлов сайта на идентичные из собственной резервной копии или из официальных источников. К примеру большую часть файлов WordPress можно найти на GitHub.

Для поиска и редактирования файлов можно использовать файл-менеджер панели управления или любой FTP-клиент.

Обратите внимание на код, который зашифрован в Base64. Именно в таком виде довольно часто размещают вредоносный код. Расшифровать такой закодированный участок можно, к примеру, при помощи этого сервиса.

К опасным функциям PHP можно отнести: eval, exec, shell_exec, system, passthru. При нахождении таких функций на них стоит обратить особое внимание, так как они часто используются во вредоносном коде.

Для поиска источника заражения следует анализировать логи сайта на предмет подозрительных запросов к нему. В логах стоит проверить данные за дату последних изменений вирусных файлов.

Важно: дата последнего изменения не может точно указывать на дату создания вирусных файлов и ориентироваться только на неё — нельзя. Заражение сайта могло произойти намного раньше, но появление вирусных файлов, обнаруженных нашим антивирусом, было из-за какого либо «триггера»1).

К подозрительным запросам можно отнести:

  • Запросы методом POST и PUT.
  • Запросы к админ-панели сайта со сторонних IP-адресов.
  • Запросы к защищённым каталогам вида system или storage2).
  • Запросы, в которых фигурирует закодированный текст в виде Base64 и т. д., или SQL-запросы.
  • Запросы к недавно установленным плагинам.

Помимо проверки логов сервера стоит также проверить логи FTP, логи исходящих соединений и логи авторизации в панели управления. Если были найдены подозрительные записи, стоит изменить пароли FTP-пользователей, пользователей баз данных3) и учётной записи, дополнительно установив двухэтапную аутентификацию. Сгенерировать новые сложные пароли можно на этой странице. Если были найдены исходящие соединения, которые не должны производиться, можно обратиться в техподдержку для уточнения возможности установки временного ограничения исходящих соединений для всего хостинг-аккаунта на время устранения проблемы.

После проверки логов нужно проверить файлы сайта на наличие стороннего кода. В первую очередь стоит проверять файлы недавно установленных плагинов и модулей. Важно остерегаться неофициальных плагинов и модулей, особенно если они являются платными, но были получены бесплатно со сторонних сайтов. Если таковые имеются — то их следует удалить или восстановить резервную копию сайта до момента их установки.

Откажитесь от любых файловых менеджеров на самом сайте. В большинстве своём они небезопасны и могут представлять большую угрозу.

Все сайты в одном хостинг-аккаунте могут быть заражены одновременно из-за уязвимостей одного сайта. Полностью изолировать сайты друг от друга возможно только путём размещения их в отдельных хостинг-аккаунтах.

Для обеспечения безопасности сайта стоит ознакомиться с рекомендациями по защите.


1)
Отправки определённых запросов, запуск скриптов, обновление файлов с удалённых серверов и т. д.
2)
В зависимости от используемой CMS некоторые каталоги могут быть системными для сайта и должны быть защищены от доступа извне
3)
После изменения паролей баз данных потребуется повторно настроить подключение к ним в конфигурационных файлах сайтов, что можно сделать по этой инструкции.
  • hosting/security/virus-cleaning.txt
  • Последние изменения: 2019/09/03 13:18
  • — karlov