hosting:security:virus-cleaning

Это старая версия документа!


2.18.5. Очистка от вирусов

Техническая поддержка хостинга не может предоставлять точные инструкции по удалению вирусов. Вся информация носит рекомендательный характер и не является точной инструкцией по очистке сайта от вирусов.
Действия по удалению вирусов требуется производить самостоятельно или с привлечением сторонних специалистов.

Когда на хостинге антивирус при сканировании находит вирусный код – отправляется оповещение владельцу хостинг-аккаунта с информацией о проблеме. Вредоносный код или файл требуется обязательно удалить, так как из-за его наличия могут возникать проблемы с безопасностью данных зараженного сайта, так и данные остальных сайтов.

Удаление вирусов стоит производить после ознакомления с отчетом антивируса и анализа самого вредоносного кода. Довольно часто удаление вирусного кода может повлечь за собой возникновение проблем в работе сайта по причине его внедрения в важные скрипты системы сайта.

Произвести полную очистку от вирусов, в большинстве своем, недостаточно для обеспечения безопасности сайта, так как требуется обнаружить источник заражения и устранить его. Без таких действий повторное заражение может быть лишь вопросом времени.

Рекомендуется использовать дополнительные сервисы проверки сайта на вирусы, к примеру сервис WPscan.

Перед выполнением каких либо действий нужно создать резервную копию сайта и базы данных и скачать ее на Ваше устройство для обеспечения возможности восстановления важных данных.

Удалить вирусы можно несколькими способами:

Мы регулярно обновляем базу данных сигнатур антивируса, поэтому вирусы могли существовать на сайте достаточно давно и в резервных копиях также будут присутствовать.
Для некоторых ситуаций с заражением определенных файлов мы подготовили инструкции:

Для очистки хостинг-аккаунта от вредоносного кода, нужно ознакомиться с отчетом антивируса и устранить все найденные замечания. Необходимо открыть каждый из заражённых файлов, внимательно изучить его содержимое и удалить из него фрагменты вредоносного кода (Антивирус выделяет в файле только найденные сигнатуры, вирусный код может быть в других частях файла и не быть выделенным, важно проверить весь файл и удалить подозрительные данные). Полностью удалять заражённые файлы нужно только в том случае, если они полностью состоят из вредоносного кода.

Можно производить полную замену файлов сайта на идентичные из собственной резервной копии или из официальных источников. К примеру большую часть файлов Wordpress можно найти в системе GitHub.

Для поиска и редактирования файлов можно использовать файл-менеджер панели управления или любой FTP-клиент.

Обратите внимание на код, который зашифрован в base64, именно в таком виде довольно часто размещают вредоносный код, расшифровать такой закодированный участок можно к примеру при помощи этого сервиса.

К опасным функциям php можно отнести: eval, exec, shell_exec, system, passthru. При нахождении таких функций на них стоит обратить особое внимание, так как часто используются в вирусном коде.

Для поиска источника заражения стоит проанализировать логи сайта на предмет подозрительных запросов к нему. В логах стоит проверить данные за дату последних изменений вирусных файлов.

Важно: дата последнего изменения не может точно указывать на дату создания вирусных файлов и ориентироваться только на нее – нельзя. Заражение сайта могло произойти намного раньше, но появление вирусных файлов, обнаруженных нашим антивирусом, было из-за какого либо «триггера»1).

К подозрительным запросам можно отнести:

  • Запросы методом POST и PUT.
  • Запросы к админ панели сайта со сторонних IP адресов.
  • Запросы к защищенным каталогам вида «system» или «storage»2).
  • Запросы в которых фигурирует закодированный текст, в виде base64 и т.д., или SQL команды.
  • Запросы к недавно установленным плагинам.

Помимо проверки логов сервера стоит, так же, проверить логи FTP, логи исходящих соединений и логи авторизации в панели управления. В случае если были найдены подозрительные записи – стоит изменить пароли FTP пользователей, пароли пользователей баз данных3) и пароль учетной записи дополнительно установив двухэтапную аутентификацию. Сгенерировать новые сложные пароли можно на этой странице. Если были найдены исходящие соединения, которые не должны производиться – можно обратиться в техподдержку для уточнения возможности установки временного ограничения исходящих соединений для всего хостинг-аккаунта на время устранения проблемы.

После проверки логов нужно проверить файлы сайта на наличие стороннего кода, в первую очередь стоит проверять файлы недавно установленных плагинов и модулей. Важно остерегаться неофициальных плагинов и модулей, особенно если они являются платными, но были получены бесплатно со сторонних сайтов, если таковые имеются – то их стоит удалить или восстановить резервную копию сайта до момента их установки.

Откажитесь от любых файловых менеджеров на самом сайте, в большинстве своем они не безопасны и могут представлять большую угрозу.

Все сайты в одном аккаунте могут быть заражены одновременно из-за уязвимостей одного сайта, полностью ограничить доступ между сайтами возможно только разнеся их по разным хостинг-аккаунтам.

Для обеспечения безопасности сайта стоит ознакомиться с рекомендациями по защите.


1)
Отправки определенных запросов, запуск скриптов, обновление файлов с удаленных серверов и т.д.
2)
В зависимости от CMS некоторые каталоги могут быть системными для сайта и должны быть защищены от доступа извне
3)
После изменения паролей баз данных потребуется повторно настроить подключение к ним в конфигурационных файлах сайтов, что можно сделать по этой инструкции
  • hosting/security/virus-cleaning.1567503500.txt.gz
  • Последние изменения: 2019/09/03 12:38
  • — zinenko