hosting:security:virus-cleaning

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
hosting:security:virus-cleaning [2019/09/03 12:38]
zinenko
hosting:security:virus-cleaning [2019/09/03 13:18] (текущий)
karlov
Строка 1: Строка 1:
 ====== 2.18.5. Очистка от вирусов ====== ====== 2.18.5. Очистка от вирусов ======
  
-<note important>​Техническая поддержка хостинга не может предоставлять точные инструкции по удалению вирусов. Вся информация носит рекомендательный характер и не является точной инструкцией по очистке сайта от вирусов. \\ Действия по удалению вирусов требуется производить самостоятельно или с привлечением сторонних специалистов.</​note>​+<note important>​ 
 +Техническая поддержка хостинга не может предоставлять точные инструкции по удалению вирусов. Вся информация носит рекомендательный характер и не является точной инструкцией по очистке сайта от вирусов.\\ Действия по удалению вирусов требуется производить самостоятельно или с привлечением сторонних специалистов. 
 +</​note>​
  
-Когда ​на хостинге ​[[hosting:​security:​antivirus|антивирус]] при сканировании находит вирусный код ​-- отправляется оповещение ​владельцу хостинг-аккаунта с информацией о проблеме. Вредоносный код ​или файл ​требуется обязательно удалить,​ так как из-за его наличия могут возникать проблемы с безопасностью данных зараженного сайта, так и данные ​остальных сайтов.+Когда [[hosting:​security:​antivirus|антивирус]] ​на хостинге ​при сканировании находит вредоносный кодвладельцу хостинг-аккаунта ​отправляется уведомление ​с информацией о проблеме. Вредоносный код требуется обязательно удалить,​ так как из-за его наличия могут возникать проблемы с безопасностью данных ​как ​заражённого сайта, так и соседних сайтов ​в этом же хостинг-аккаунте.
  
-Удаление вирусов стоит производить после ознакомления с [[hosting:​security:​antivirus#​результаты|отчетом антивируса]] и анализа самого вредоносного кода. Довольно часто удаление вирусного кода может повлечь за собой возникновение проблем в работе сайта по причине его внедрения в важные скрипты системы сайта. ​+Удаление вредоносного кода ​стоит производить после ознакомления с [[hosting:​security:​antivirus#​результаты|отчетом антивируса]] и анализа самого вредоносного кода. Довольно часто удаление вредоносного кода может повлечь за собой возникновение проблем в работе сайта по причине его внедрения в важные скрипты системы сайта.
  
-Произвести полную очистку от вирусовв большинстве своемнедостаточно для обеспечения безопасности сайта, так как требуется обнаружить источник заражения и устранить его. Без таких действий повторное заражение может быть лишь вопросом времени.+Произвести полную очистку от вирусов в большинстве своём недостаточно для обеспечения безопасности сайта, так как требуется обнаружить источник заражения и устранить его. Без таких действий повторное заражение может быть лишь вопросом времени.
  
-Рекомендуется использовать дополнительные сервисы проверки сайта на вирусы,​ к примеру сервис [[https://​wpscan.org/​|WPscan]].+Рекомендуется использовать дополнительные сервисы проверки сайта на вирусы,​ к примеру сервис [[https://​wpscan.org/​|WPScan]].
  
-<note important>​Перед выполнением каких либо действий нужно [[hosting:​backup:​create|создать резервную копию]] сайта и базы данных ​и скачать ее на Ваше устройство для обеспечения возможности восстановления важных данных.</​note>​+<note important>​ 
 +Перед выполнением каких-либо действий нужно [[hosting:​backup:​create|создать резервную копию]] сайта и базы данных, после чего ​скачать её на ваше устройство для обеспечения возможности восстановления важных данных. 
 +</​note>​
  
 Удалить вирусы можно несколькими способами:​ Удалить вирусы можно несколькими способами:​
-  * [[hosting:​backup:​restore|Восстановление резервной копии]] файлов сайта до момента появления вирусного кода. +  * Путём ​[[hosting:​backup:​restore|восстановления резервной копии]] файлов сайта до момента появления вирусного кода. 
-  * [[#Ручная_очистка_вирусов|Ручная очистка от вирусов]]. +  * Путём ​[[#ручная_очистка_вирусов|ручной очистки от вирусов]]. 
-<note warning>​Мы регулярно обновляем базу данных сигнатур антивируса,​ поэтому вирусы могли существовать на сайте достаточно давно и в резервных копиях также будут присутствовать.</​note>​+ 
 +<note warning> 
 +Мы регулярно обновляем базу данных сигнатур антивируса,​ поэтому вирусы могли существовать на сайте достаточно давно и в резервных копиях также будут присутствовать. 
 +</​note>​
  
 ===== Ручная очистка вирусов ===== ===== Ручная очистка вирусов =====
  
-<note tip>​Для некоторых ситуаций с заражением определенных файлов мы подготовили инструкции:​ {{topic>​viruses&​nodate&​nouser}}</​note>​+<note tip> 
 +Для некоторых ситуаций с заражением определённых файлов мы подготовили инструкции:​{{topic>​viruses&​nodate&​nouser}} 
 +</​note>​
  
-Для очистки хостинг-аккаунта от вредоносного коданужно ознакомиться с [[hosting:​security:​antivirus#​результаты|отчетом антивируса]] и устранить все найденные замечания. Необходимо открыть каждый из заражённых файлов,​ внимательно изучить его содержимое и удалить из него //​фрагменты вредоносного кода// <wrap lo>(Антивирус выделяет в файле только найденные сигнатуры,​ вирусный код может быть в других частях файла и не быть выделенным,​ важно проверить весь файл и удалить подозрительные данные)</​wrap>​. Полностью удалять заражённые файлы нужно //​только в том случае,​ если они полностью состоят из вредоносного кода//​. ​+Для очистки хостинг-аккаунта от вредоносного кода нужно ознакомиться с [[hosting:​security:​antivirus#​результаты|отчётом антивируса]] и устранить все найденные замечания. Необходимо открыть каждый из заражённых файлов,​ внимательно изучить его содержимое и удалить из него //​фрагменты вредоносного кода// <wrap lo>(антивирус выделяет в файле только найденные сигнатуры,​ вирусный код может быть в других частях файла и не быть выделенным,​ важно проверить весь файл и удалить подозрительные данные)</​wrap>​. Полностью удалять заражённые файлы нужно //​только в том случае,​ если они полностью состоят из вредоносного кода//​. ​
  
-Можно производить полную замену файлов сайта на идентичные из собственной резервной копии или из официальных источников. К примеру большую часть файлов ​Wordpress ​можно найти ​в системе ​[[https://​github.com/​WordPress/​WordPress|GitHub]]. ​+Можно производить полную замену файлов сайта на идентичные из собственной резервной копии или из официальных источников. К примеру большую часть файлов ​WordPress ​можно найти ​на [[https://​github.com/​WordPress/​WordPress|GitHub]].
  
 Для поиска и редактирования файлов можно использовать [[hosting:​file-manager|файл-менеджер]] панели управления или любой [[hosting:​ftp:​clients|FTP-клиент]]. ​ Для поиска и редактирования файлов можно использовать [[hosting:​file-manager|файл-менеджер]] панели управления или любой [[hosting:​ftp:​clients|FTP-клиент]]. ​
  
-Обратите внимание на код, который зашифрован в base64, именно в таком виде довольно часто размещают вредоносный код, расшифровать такой закодированный участок можно к примеру при помощи [[https://​www.base64decode.org/​|этого]] сервиса.+Обратите внимание на код, который зашифрован в [[https://​ru.wikipedia.org/​wiki/​Base64|Base64]]. Именно в таком виде довольно часто размещают вредоносный код. Расшифровать такой закодированный участок можнок примерупри помощи [[https://​www.base64decode.org/​|этого]] сервиса.
  
-К опасным функциям ​php можно отнести:​ //eval, exec, shell_exec, system, ​passthru//. При нахождении таких функций на них стоит обратить особое внимание,​ так как часто используются в вирусном коде. ​+К опасным функциям ​PHP можно отнести: ''​[[https://www.php.net/​manual/​ru/​function.eval.php|eval]]''​''​[[https://​www.php.net/​manual/​ru/​function.exec.php|exec]]''​''​[[https://​www.php.net/​manual/​ru/​function.shell-exec.php|shell_exec]]''​''​[[https://​www.php.net/​manual/​ru/​function.system.php|system]]''​''​[[https:​//www.php.net/​manual/​ru/​function.passthru.php|passthru]]''​. При нахождении таких функций на них стоит обратить особое внимание,​ так как ​они ​часто используются во вредоносном коде.
  
 ===== Анализ появления ===== ===== Анализ появления =====
  
-Для поиска источника заражения стоит проанализировать [[hosting:​my-sites:​logs|логи сайта]] на предмет подозрительных запросов к нему. В логах стоит проверить данные за дату последних изменений вирусных файлов. ​+Для поиска источника заражения следует анализировать [[hosting:​my-sites:​logs|логи сайта]] на предмет подозрительных запросов к нему. В логах стоит проверить данные за дату последних изменений вирусных файлов.
  
-<wrap em>​Важно:</​wrap>​ дата последнего изменения не может точно указывать на дату создания вирусных файлов и ориентироваться только на нее -- нельзя. Заражение сайта могло произойти намного раньше,​ но появление вирусных файлов,​ обнаруженных нашим антивирусом,​ было из-за какого либо ​"триггера"((Отправки определенных запросов,​ запуск скриптов,​ обновление файлов с удаленных серверов и т.д.)).+<wrap em>​Важно:</​wrap>​ дата последнего изменения не может точно указывать на дату создания вирусных файлов и ориентироваться только на неё — нельзя. Заражение сайта могло произойти намного раньше,​ но появление вирусных файлов,​ обнаруженных нашим антивирусом,​ было из-за какого либо ​«триггера»((Отправки определённых запросов,​ запуск скриптов,​ обновление файлов с удалённых серверов и т. д.)).
  
 К подозрительным запросам можно отнести:​ К подозрительным запросам можно отнести:​
   * Запросы методом POST и PUT.   * Запросы методом POST и PUT.
-  * Запросы к админ панели сайта со сторонних IP адресов. +  * Запросы к админ-панели сайта со сторонних IP-адресов. 
-  * Запросы к защищенным каталогам вида ​<<**system**>> ​или ​<<**storage**>>((В зависимости от CMS некоторые каталоги могут быть системными для сайта и должны быть защищены от доступа извне)). +  * Запросы к защищённым каталогам вида ​''​system'' ​или ​''​storage''​((В зависимости от используемой ​CMS некоторые каталоги могут быть системными для сайта и должны быть защищены от доступа извне)). 
-  * Запросы в которых фигурирует закодированный текств виде ​base64 ​и т.д., или SQL команды.+  * Запросыв которых фигурирует закодированный текст в виде ​Base64 ​и т. д., или SQL-запросы.
   * Запросы к недавно установленным плагинам.   * Запросы к недавно установленным плагинам.
  
-Помимо проверки [[hosting:​my-sites:​logs|логов сервера]] стоиттак жепроверить [[hosting:​ftp:​logs|логи FTP]], [[hosting:​outgoing|логи исходящих соединений]] и [[account:​security:​auth-log|логи авторизации]] в панели управления. ​В случае если были найдены подозрительные записи ​-- стоит изменить [[hosting:​ftp:​users:​edit|пароли ​FTP пользователей]],​ [[hosting:​mysql:​databases:​password-change|пароли ​пользователей баз данных]]((После изменения паролей баз данных потребуется повторно настроить подключение к ним в конфигурационных файлах сайтов,​ что можно сделать по [[hosting:​mysql:​connecting-site-to-db|этой]] инструкции)) и [[account:​security:​password-change|пароль ​учетной записи]] дополнительно установив [[account:​security:​otp|двухэтапную аутентификацию]]. Сгенерировать новые сложные пароли можно на [[https://​www.ukraine.com.ua/​info/​tools/​passwdgenerate/​|этой]] странице. Если были найдены исходящие соединения,​ которые не должны производиться ​-- можно обратиться в [[https://​adm.tools/​support/​|техподдержку]] для уточнения возможности установки временного ограничения исходящих соединений для всего хостинг-аккаунта на время устранения проблемы. ​+Помимо проверки [[hosting:​my-sites:​logs|логов сервера]] стоит также проверить [[hosting:​ftp:​logs|логи FTP]], [[hosting:​outgoing|логи исходящих соединений]] и [[account:​security:​auth-log|логи авторизации]] в панели управления. ​Если были найдены подозрительные записистоит изменить ​пароли ​[[hosting:​ftp:​users:​edit|FTP-пользователей]],​ [[hosting:​mysql:​databases:​password-change|пользователей баз данных]]((После изменения паролей баз данных потребуется повторно настроить подключение к ним в конфигурационных файлах сайтов,​ что можно сделать по [[hosting:​mysql:​connecting-site-to-db|этой]] инструкции.)) и [[account:​security:​password-change|учётной записи]]дополнительно установив [[account:​security:​otp|двухэтапную аутентификацию]]. Сгенерировать новые сложные пароли можно на [[https://​www.ukraine.com.ua/​info/​tools/​passwdgenerate/​|этой]] странице. Если были найдены исходящие соединения,​ которые не должны производитьсяможно обратиться в [[https://​adm.tools/​support/​|техподдержку]] для уточнения возможности установки временного ограничения исходящих соединений для всего хостинг-аккаунта на время устранения проблемы.
  
-После проверки логов нужно проверить файлы сайта на наличие стороннего кода, в первую очередь стоит проверять файлы недавно установленных плагинов и модулей. Важно остерегаться неофициальных плагинов и модулей,​ особенно если они являются платными,​ но были получены бесплатно со сторонних сайтов, если таковые имеются ​-- то их стоит удалить или [[hosting:​backup:​restore|восстановить резервную копию]] сайта до момента их установки. ​+После проверки логов нужно проверить файлы сайта на наличие стороннего кода. В первую очередь стоит проверять файлы недавно установленных плагинов и модулей. Важно остерегаться неофициальных плагинов и модулей,​ особенно если они являются платными,​ но были получены бесплатно со сторонних сайтов. Если таковые имеются ​— то их следует удалить или [[hosting:​backup:​restore|восстановить резервную копию]] сайта до момента их установки.
  
-Откажитесь от любых файловых менеджеров на самом сайте, в большинстве своем они не безопасны и могут представлять большую угрозу.+Откажитесь от любых файловых менеджеров на самом сайте. В большинстве своём они небезопасны и могут представлять большую угрозу.
  
-<note important>​Все сайты в одном аккаунте могут быть заражены одновременно из-за уязвимостей одного сайта, полностью ограничить доступ между сайтами ​возможно только разнеся их по разным хостинг-аккаунтам.</​note>​+<note important>​ 
 +Все сайты в одном ​хостинг-аккаунте могут быть заражены одновременно из-за уязвимостей одного сайта. Полностью ​изолировать сайты друг от друга возможно только ​путём ​размещения их в отдельных хостинг-аккаунтах. 
 +</​note>​
  
 Для обеспечения безопасности сайта стоит ознакомиться с [[hosting:​security:​hack-protection-recomendations|рекомендациями по защите]]. Для обеспечения безопасности сайта стоит ознакомиться с [[hosting:​security:​hack-protection-recomendations|рекомендациями по защите]].
 +
 ===== Другие статьи ===== ===== Другие статьи =====
  
 {{indexmenu>​.#​1|nsort tsort}} {{indexmenu>​.#​1|nsort tsort}}
  • hosting/security/virus-cleaning.txt
  • Последние изменения: 2019/09/03 13:18
  • — karlov