hosting:security:virus-cleaning

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия
Предыдущая версия
hosting:security:virus-cleaning [2019/09/03 13:18]
karlov
hosting:security:virus-cleaning [2020/06/05 16:27] (текущий)
Строка 1: Строка 1:
 ====== 2.18.5. Очистка от вирусов ====== ====== 2.18.5. Очистка от вирусов ======
  
-<note important+<alert type="warning"
-Техническая поддержка хостинга не может предоставлять точные инструкции по удалению вирусов. Вся информация носит рекомендательный характер и не является точной инструкцией по очистке сайта от вирусов.\\ Действия по удалению вирусов требуется производить самостоятельно или с привлечением сторонних специалистов. +**Внимание!** Техническая поддержка хостинга не может предоставлять точные инструкции по удалению вирусов. Вся информация носит рекомендательный характер и не является точной инструкцией по очистке сайта от вирусов. Действия по удалению вирусов требуется производить самостоятельно или с привлечением сторонних специалистов. 
-</note>+</alert>
  
 Когда [[hosting:security:antivirus|антивирус]] на хостинге при сканировании находит вредоносный код, владельцу хостинг-аккаунта отправляется уведомление с информацией о проблеме. Вредоносный код требуется обязательно удалить, так как из-за его наличия могут возникать проблемы с безопасностью данных как заражённого сайта, так и соседних сайтов в этом же хостинг-аккаунте. Когда [[hosting:security:antivirus|антивирус]] на хостинге при сканировании находит вредоносный код, владельцу хостинг-аккаунта отправляется уведомление с информацией о проблеме. Вредоносный код требуется обязательно удалить, так как из-за его наличия могут возникать проблемы с безопасностью данных как заражённого сайта, так и соседних сайтов в этом же хостинг-аккаунте.
Строка 13: Строка 13:
 Рекомендуется использовать дополнительные сервисы проверки сайта на вирусы, к примеру сервис [[https://wpscan.org/|WPScan]]. Рекомендуется использовать дополнительные сервисы проверки сайта на вирусы, к примеру сервис [[https://wpscan.org/|WPScan]].
  
-<note important+<alert type="danger"
-Перед выполнением каких-либо действий нужно [[hosting:backup:create|создать резервную копию]] сайта и базы данных, после чего скачать её на ваше устройство для обеспечения возможности восстановления важных данных. +**Внимание!** Перед выполнением каких-либо действий нужно [[hosting:backup:create|создать резервную копию]] сайта и базы данных, после чего скачать её на ваше устройство для обеспечения возможности восстановления важных данных. 
-</note>+</alert>
  
 Удалить вирусы можно несколькими способами: Удалить вирусы можно несколькими способами:
Строка 21: Строка 21:
   * Путём [[#ручная_очистка_вирусов|ручной очистки от вирусов]].   * Путём [[#ручная_очистка_вирусов|ручной очистки от вирусов]].
  
-<note warning> +<alert type="warning"
-Мы регулярно обновляем базу данных сигнатур антивируса, поэтому вирусы могли существовать на сайте достаточно давно и в резервных копиях также будут присутствовать. +**Внимание!** Мы регулярно обновляем базу данных сигнатур антивируса, поэтому вирусы могли существовать на сайте достаточно давно и в резервных копиях также будут присутствовать. 
-</note>+</alert>
  
 ===== Ручная очистка вирусов ===== ===== Ручная очистка вирусов =====
  
-<note tip+<alert type="info"
-Для некоторых ситуаций с заражением определённых файлов мы подготовили инструкции:{{topic>viruses&nodate&nouser}} +Для ситуации с заражением файла functions.php темы оформления в WordPress доступна [[hosting:cms:wordpress:issues:functions-php|отдельная инструкция]]. 
-</note>+</alert>
  
-Для очистки хостинг-аккаунта от вредоносного кода нужно ознакомиться с [[hosting:security:antivirus#результаты|отчётом антивируса]] и устранить все найденные замечания. Необходимо открыть каждый из заражённых файлов, внимательно изучить его содержимое и удалить из него //фрагменты вредоносного кода// <wrap lo>(антивирус выделяет в файле только найденные сигнатуры, вирусный код может быть в других частях файла и не быть выделенным, важно проверить весь файл и удалить подозрительные данные)</wrap>. Полностью удалять заражённые файлы нужно //только в том случае, если они полностью состоят из вредоносного кода//+Для очистки хостинг-аккаунта от вредоносного кода нужно ознакомиться с [[hosting:security:antivirus#результаты|отчётом антивируса]] и устранить все найденные замечания. Необходимо открыть каждый из заражённых файлов, внимательно изучить его содержимое и удалить из него //фрагменты вредоносного кода// <text type="muted">(антивирус выделяет в файле только найденные сигнатуры, вирусный код может быть в других частях файла и не быть выделенным, важно проверить весь файл и удалить подозрительные данные)</text>. Полностью удалять заражённые файлы нужно //только в том случае, если они полностью состоят из вредоносного кода//
  
-Можно производить полную замену файлов сайта на идентичные из собственной резервной копии или из официальных источников. К примеру большую часть файлов WordPress можно найти на [[https://github.com/WordPress/WordPress|GitHub]].+Можно производить полную замену файлов сайта на идентичные из собственной резервной копии или из официальных источников. К примерубольшую часть файлов WordPress можно найти в репозитории на [[https://github.com/WordPress/WordPress|GitHub]].
  
 Для поиска и редактирования файлов можно использовать [[hosting:file-manager|файл-менеджер]] панели управления или любой [[hosting:ftp:clients|FTP-клиент]].  Для поиска и редактирования файлов можно использовать [[hosting:file-manager|файл-менеджер]] панели управления или любой [[hosting:ftp:clients|FTP-клиент]]. 
Строка 39: Строка 39:
 Обратите внимание на код, который зашифрован в [[https://ru.wikipedia.org/wiki/Base64|Base64]]. Именно в таком виде довольно часто размещают вредоносный код. Расшифровать такой закодированный участок можно, к примеру, при помощи [[https://www.base64decode.org/|этого]] сервиса. Обратите внимание на код, который зашифрован в [[https://ru.wikipedia.org/wiki/Base64|Base64]]. Именно в таком виде довольно часто размещают вредоносный код. Расшифровать такой закодированный участок можно, к примеру, при помощи [[https://www.base64decode.org/|этого]] сервиса.
  
-К опасным функциям PHP можно отнести: ''[[https://www.php.net/manual/ru/function.eval.php|eval]]''''[[https://www.php.net/manual/ru/function.exec.php|exec]]''''[[https://www.php.net/manual/ru/function.shell-exec.php|shell_exec]]''''[[https://www.php.net/manual/ru/function.system.php|system]]''''[[https://www.php.net/manual/ru/function.passthru.php|passthru]]''. При нахождении таких функций на них стоит обратить особое внимание, так как они часто используются во вредоносном коде.+К опасным функциям PHP можно отнести: [[https://php.net/manual/ru/function.eval.php|eval]], [[https://php.net/manual/ru/function.exec.php|exec]], [[https://php.net/manual/ru/function.shell-exec.php|shell_exec]], [[https://php.net/manual/ru/function.system.php|system]], [[https://php.net/manual/ru/function.passthru.php|passthru]]. При нахождении таких функций на них стоит обратить особое внимание, так как они часто используются во вредоносном коде.
  
 ===== Анализ появления ===== ===== Анализ появления =====
Строка 45: Строка 45:
 Для поиска источника заражения следует анализировать [[hosting:my-sites:logs|логи сайта]] на предмет подозрительных запросов к нему. В логах стоит проверить данные за дату последних изменений вирусных файлов. Для поиска источника заражения следует анализировать [[hosting:my-sites:logs|логи сайта]] на предмет подозрительных запросов к нему. В логах стоит проверить данные за дату последних изменений вирусных файлов.
  
-<wrap em>Важно:</wrapдата последнего изменения не может точно указывать на дату создания вирусных файлов и ориентироваться только на неё — нельзя. Заражение сайта могло произойти намного раньше, но появление вирусных файлов, обнаруженных нашим антивирусом, было из-за какого либо «триггера»((Отправки определённых запросов, запуск скриптов, обновление файлов с удалённых серверов и т. д.)).+<callout type="warning" title="Важно:"> 
 +Дата последнего изменения не может точно указывать на дату создания вирусных файлов и ориентироваться только на неё — нельзя. Заражение сайта могло произойти намного раньше, но появление вирусных файлов, обнаруженных нашим антивирусом, было из-за какого либо «триггера»((Отправки определённых запросов, запуск скриптов, обновление файлов с удалённых серверов и т. д.)). 
 +</callout>
  
 К подозрительным запросам можно отнести: К подозрительным запросам можно отнести:
Строка 54: Строка 56:
   * Запросы к недавно установленным плагинам.   * Запросы к недавно установленным плагинам.
  
-Помимо проверки [[hosting:my-sites:logs|логов сервера]] стоит также проверить [[hosting:ftp:logs|логи FTP]], [[hosting:outgoing|логи исходящих соединений]] и [[account:security:auth-log|логи авторизации]] в панели управления. Если были найдены подозрительные записи, стоит изменить пароли [[hosting:ftp:users:edit|FTP-пользователей]], [[hosting:mysql:databases:password-change|пользователей баз данных]]((После изменения паролей баз данных потребуется повторно настроить подключение к ним в конфигурационных файлах сайтов, что можно сделать по [[hosting:mysql:connecting-site-to-db|этой]] инструкции.)) и [[account:security:password-change|учётной записи]], дополнительно установив [[account:security:otp|двухэтапную аутентификацию]]. Сгенерировать новые сложные пароли можно на [[https://www.ukraine.com.ua/info/tools/passwdgenerate/|этой]] странице. Если были найдены исходящие соединения, которые не должны производиться, можно обратиться в [[https://adm.tools/support/ехподдержку]] для уточнения возможности установки временного ограничения исходящих соединений для всего хостинг-аккаунта на время устранения проблемы.+Помимо проверки [[hosting:my-sites:logs|логов сервера]] стоит также проверить [[hosting:ftp:logs|логи FTP]], [[hosting:outgoing|логи исходящих соединений]] и [[account:security:auth-log|логи авторизации]] в панели управления. Если были найдены подозрительные записи, стоит изменить пароли [[hosting:ftp:users:edit|FTP-пользователей]], [[hosting:mysql:databases:password-change|пользователей баз данных]]((После изменения паролей баз данных потребуется повторно настроить подключение к ним в конфигурационных файлах сайтов, что можно сделать по [[hosting:mysql:connecting-site-to-db|этой]] инструкции.)) и [[account:security:password-change|учётной записи]], дополнительно установив [[account:security:otp|двухэтапную аутентификацию]]. Сгенерировать новые сложные пароли можно на [[https://ukraine.com.ua/info/tools/passwdgenerate/|этой]] странице. Если были найдены исходящие соединения, которые не должны производиться, можно [[hosting:outgoing|установить ограничения]] на все или определенные исходящие соединения для всего хостинг-аккаунта на время устранения проблемы.
  
 После проверки логов нужно проверить файлы сайта на наличие стороннего кода. В первую очередь стоит проверять файлы недавно установленных плагинов и модулей. Важно остерегаться неофициальных плагинов и модулей, особенно если они являются платными, но были получены бесплатно со сторонних сайтов. Если таковые имеются — то их следует удалить или [[hosting:backup:restore|восстановить резервную копию]] сайта до момента их установки. После проверки логов нужно проверить файлы сайта на наличие стороннего кода. В первую очередь стоит проверять файлы недавно установленных плагинов и модулей. Важно остерегаться неофициальных плагинов и модулей, особенно если они являются платными, но были получены бесплатно со сторонних сайтов. Если таковые имеются — то их следует удалить или [[hosting:backup:restore|восстановить резервную копию]] сайта до момента их установки.
Строка 60: Строка 62:
 Откажитесь от любых файловых менеджеров на самом сайте. В большинстве своём они небезопасны и могут представлять большую угрозу. Откажитесь от любых файловых менеджеров на самом сайте. В большинстве своём они небезопасны и могут представлять большую угрозу.
  
-<note important+<alert type="warning"
-Все сайты в одном хостинг-аккаунте могут быть заражены одновременно из-за уязвимостей одного сайта. Полностью изолировать сайты друг от друга возможно только путём размещения их в отдельных хостинг-аккаунтах. +**Внимание!** Все сайты в одном хостинг-аккаунте могут быть заражены одновременно из-за уязвимостей одного сайта. Полностью изолировать сайты друг от друга возможно только путём размещения их в отдельных хостинг-аккаунтах. 
-</note>+</alert>
  
 Для обеспечения безопасности сайта стоит ознакомиться с [[hosting:security:hack-protection-recomendations|рекомендациями по защите]]. Для обеспечения безопасности сайта стоит ознакомиться с [[hosting:security:hack-protection-recomendations|рекомендациями по защите]].
- 
-===== Другие статьи ===== 
- 
-{{indexmenu>.#1|nsort tsort}} 
  • hosting/security/virus-cleaning.1567505898.txt.gz
  • Последнее изменение: 2019/09/03 13:18
  • karlov