Вирус в сайта?!


 
Незнам как е при вас, но аз получавам вече шесто обаждане за „зловреден сайт“ в рамките на месец. Моят блог също неколкократно е бил с вирус и до момента, колкото и да съм търсил първоизточника, не успях да реша проблема веднъж за винаги.
Как бива „заразен“ сайтът?
Най-често срещаната схема е:
Вие, който има достъп до сървъра, където е сайтът Ви, посещавате страница или сайт, който е хакнат и оттам изтегляте т.нар. „Троянски кон“ на компютъра си. Троянецът улавя Вашата FTP парола и я предава на хакера. Така той има достъп до сайта Ви, също както и Вие.
Друг вариант да прихванете вирус:
Когато към сайтът Ви бива добавен някакъв динамичен обект – галерия, форма за контакт, блог джаджи, анимации и пр. – в този обект може да има скрипт, който да екстрактва вируса в страниците на сайта Ви или да открадне паролата за сървъра.
Колко сериозен е проблемът?
Няма място за паника! Всеки проблем си има решение, но все пак не умаловажавайте ситуацията – по-долу ще разберете защо.
Ако попаднете на сайт, който досега сте посещавал(а) и знаете, че не е зловреден (като например този мой блог 🙂 ) – игнорирайте съобщението от антивирусната.
В случай, че сте собственик на сайт – погрижете се да премахнете вируса от страниците си.
Ето няколко отговора, които ще Ви помогнат да се преборите с вируса:
1. Къде е вируса?
Обикновено антивирусните програми посочват точни път до файла с вирус на сървъра. Ако вашата антивирусна не го прави – сменете я с Avast или AVG например – безплатни са и са достатъчно добри антивирусни програми.
2. Какви видове вируси могат да заразят сайта ми?
Има три вида вируси: iframe вируси, .htaccess вируси и злонамерени скриптове.
• Злонамерените скриптове в сайтовете са най-често с цел да бъдете пренасочен към друг сайт или да изтеглите злонамерен софтуер от друг източник. Ако предотвратите това – няма проблеми.

Ако имате вирус в сайта – в тази статия ще намерите информация как да го откриете, премахнете и предотвратите бъдеща атака. Също така ще може да прочетете за типовете вируси, как бива заразен сайтът, какво да правите ако получите съобщение за злонамерен софтуер и др.

Незнам как е при вас, но аз получавам вече шесто обаждане за „зловреден сайт“ в рамките на месец. Моят блог също неколкократно е бил с вирус и до момента, колкото и да съм търсил първоизточника, не успях да реша проблема веднъж за винаги.

1.Как бива „заразен“ сайтът?

Най-често срещаната схема е:

Вие, който има достъп до сървъра, където е сайтът Ви, посещавате страница или сайт, който е хакнат и оттам изтегляте т.нар. „Троянски кон“ на компютъра си. Троянецът улавя Вашата FTP парола и я предава на хакера. Така той има достъп до сайта Ви, също както и Вие.

Друг вариант да прихванете вирус:

Когато към сайтът Ви бива добавен някакъв динамичен обект – галерия, форма за контакт, блог джаджи, анимации и пр. – в този обект може да има скрипт, който да екстрактва вируса в страниците на сайта Ви или да открадне паролата за сървъра.

2.Колко сериозен е проблемът?

Няма място за паника! Всеки проблем си има решение, но все пак не умаловажавайте ситуацията – по-долу ще разберете защо.

В случай, че сте собственик на сайт – погрижете се да премахнете вируса от страниците си.
Ето няколко отговора, които ще Ви помогнат да се преборите с вируса:

1. Къде е вирусът?

Обикновено антивирусните програми посочват точни път до файла с вирус на сървъра. Ако вашата антивирусна не го прави – сменете я с Avast или AVG например – безплатни са и са достатъчно добри антивирусни програми.

2. Какви видове вируси могат да заразят сайта ми?

Има три вида вируси: iframe вируси, .htaccess вируси и злонамерени скриптове.

  • Злонамерените скриптове в сайтовете са най-често с цел да бъдете пренасочен към друг сайт или да изтеглите злонамерен софтуер от друг източник. Ако предотвратите това – няма проблеми.
  • .htaccess вирусите се наричат още .htaccess redirects (препращачи). Идеята остава същата, но с други средства – хакерите искат да пренасочат посетителите ви към друг сайт. За тази цел ползват един файл на сървъра, който се нарича .htaccess – хакерите го заменят или допълват и така препращат хората на друго място.
  • iframe вирусите, наричани още „скрити рамки“, вкарват съдържание от други страници във вашите.  Наричат се „скрити“, защото по-често рамките с чуждо съдържание, вкарани в сайта ви, не могат да се видят в браузъра, а само в програмния код.

3. Как мога да разбера дали сайтът ми има вирус?

По принцип антивирусната Ви програма би трябвало да сигнализира за това, но по-надолу ще разберете, че много често сигналът на антивирусната не отговаря на истината и сайтът няма вирус.

Най-правилният и бърз начин да разберете дали е заразен сайтът ви, е като посетите следния адрес:

http://www.google.com/safebrowsing/diagnostic?site= – след знакът за равенство напишете адресът на своя сайт. Например за моя блог ще се получи следния адрес: http://www.google.com/safebrowsing/diagnostic?site=www.ivosiliev.com

Така може да проверите всеки един сайт в интернет – Google ще ви предоставят информация от последните 90 дни, в които те са сканирали целия сайт за вируси. Това е много удобно и ще ви помогне да реагирате на време.

Друго място, където можете да сканирате сайта за вируси е архива на Stop Badware на този адрес: http://www.stopbadware.org/home/reportsearch . Тук ще намерите и информация за стари заразявания на сайта.

4. Какво може да причини вирусът на сайта ми?

Ако е хванат и премахнат навреме – нищо. В повечето случаи е изключително трудно да намерите източникът на заразата, но следвайки съветите по-горе ще можете на първо време да премахнете мигновено вирусът.

Ако не премахнете вирусът навреме това може да доведе до следните няколко проблема:

  • Може да изгубите посетители, които са притеснени от съобщенията на антивирусните им програми;
  • Можете да бъдете поставени в списъка на злонамерените сайтове на Google и Stop Badware, което значително ще затрудни достъпа до сайта;
  • Можете да загубите доверието на лоялните редовни посетители на сайта

Най-лоша е ситуацията, в която Google ви вкарват в списъка си със злонамерени сайтове. Тогава всеки, който напише адреса на сайта Ви ще зареди червена страница със съобщение, призоваващо го да напусне сайта. Ето как изглежда тази страница

Ако сайтът ви има вирус Google няма веднагически да ви натикат в черния си списък, но ако в рамките на месец-два не предприемете никакви действия по премахването на вируса, бъдете сигурни, че ще си изпросите порочната червена страница с голямото предупреждение.

Затова, ако имате вируси в сайта не отлагайте – прочетете цялата тази статия (по-долу ще намерите няколко решения за „прочистване“ на сайта) или се свържете с мен

5. Как да „излекувам“ сайта си?

Откриването на вирусния код, който е инжектиран на страници от сайта е 50% от цялата работа по премахването на вируса. Другите 50% са да изтриете този код.

Как да откриете вирусния код?

Първоначално си изтеглете някой текстов редактов. Може да ползвате Notepad на Windows, но бих препоръчал EditPlus като по-удобен визуално.

Второ – изтеглете си FTP клиент. Бих препоръчал FileZilla, но с нея ще ви е трудно да намерите къде е .htaccess (трябва да се правят едни настройки на софтуера, незнам защо..). Опитайте с http://www.coreftp.com/

След като сте се въоръжили с текстов редактор и влезете през FTP се пригответе да се заровите до уши в кода на собствения си сайт. Не е толкова трудно, колкото си мислите. Имате шанс да излекувате сайта си от вирусите дори и без да сте запознат с програмните езици, само ако имате повече късмет и прочетете указанията по-долу:

  • При злонамерените скриптове откриването на вирусния код е най-трудно. Както се казва е трудно да се забележи с невъоръжено око. Ако се съмнявате за такъв тип вирус в сайта си и не го намирате, по-добре се консултирайте с професионалист. Преди обаче да извикате „бързата помощ“ може да се пробвате сами да откриете вредителя. Обикновено вирусния код е „дегизиран“ и представлява голямо парче писаници с големи и малки букви, числа и символи. Внимавайте обаче като триете, да не изтриете някоя динамична функционалност на сайта си! Правете винаги резервно копие, когато се обрите с този тип вируси. Често злонамерените скриптове ползват странни домейни в кода си, например google-analytics.com или домейни, завършващи на .cn.
  • При iframe вирусите е може би най-лесно. Те заразяват най-често файлове с име index.html, index.htm, index.php и други с името „index“. Обикновено злонамерения код е най-долу и започва с текста <iframe , а завършва на </iframe>. Понякога iframe вирусите заразяват всички файлове с разширение .html, затова е добре да проверите някой такъв файл, различен от ïndex“ дали също не е засегнат.
  • При .htaccess вирусите също е малко трудно да се намери точно кое парче код е вируса. Потърсете във файла текста RewriteEngine On – ако под него има текстове, включващи думата HTTP_REFERRER, изтрийте всеки един от редовете (внимание! редовете!) код, в които се съдържа тази дума. Също така изтрийте всякакви редове, в които се съдържа URL адрес от числа (например http://21.224.231.90).

6. Как да предотвратя бъдещо заразяване?

Аз за себе си не съм намерил конкретен отговор – ако искат да ви заразят с вирус, ще го направят. Все пак това ще стане ако им се вържете на номерата. Можете да предприемете няколко защитни мерки:

  1. Сложете си антивирусна програма на компютъра, заедно с firewall софтуер;
  2. Винаги ъпдейтвайте антивирусната и firewall-а;
  3. Следете сайта си (по-горе е описано как) периодично, поне един път месечно за вируси;
  4. Сканирайте компютъра си поне веднъж месечно за вируси;
  5. Ако сайтът ви се зарази с вирус, потърсете професионално съдействие за да се убедите, че вирусът не е от някакъв скрипт, файл или програмен обект в самия сървър. Поискайте и мнението на хостинга – може причината да е при тях. Сканирайте компютъра си за вируси – може някой троянски кон да ви се е лепнал и това да е причината;
  6. След като прочистите сайта си, променете паролата за достъп до сървъра и FTP, изтрийте FTP клиента(софтуера) си, изтеглете актуална негова версия от интернет и го запишете отново. Поискайте SFTP достъп от хостинг компанията, която обслужва сайта ви – така ще имате по-голяма сигурност и възможност за по-бърза реакция при нови хакерски атаки.

В общи линии това е, за което се сещам, но вероятно и вие много добре знаете какво е да имате интернет връзка и непредпазливост едновременно.

7. Какво да правя, ако Google ме е нарочил като „Злонамерен сайт“?

Ако посетите адреса на сайта си и видите вместо началната му страница това съобщение, значи google и Stop Badware са ви вкарали в черния си списък със злонамерени сайтове:

Съобщение от google

Ето какво казаха от Google по въпроса:

„След като анализирате сайта си и сте уверени, че е чист, можете да изпратите молба за анализ. Обърнете внимание, че ще е необходимо да удостоверите собственост върху сайта, преди да можете да изпратите тази молба.

  1. От началната страница на Инструменти за уеб администратори изберете съответния сайт.
  2. В съобщението Възможно е части от този сайт да разпространяват злонамерен софтуер кликнете върху Още подробности.
  3. Кликнете върху Подаване на молба за проверка.

Ние ще анализираме сайта ви и, ако решим, че не предоставя хостинг или не разпространява злонамерен софтуер, ще отстраним идентификацията от резултатите в търсенето.“

Ако не сте сигурни как да подадете молбата за проверка към Googleсвържете се с мен оттук

Надявам се, че с тази статия съм избегнал куп притеснения и паника сред собствениците на уеб сайтове с вируси в тях. Дори в най-лошият развой на събитията, когато Google за сложили етикет за злонамерен сайт, и когато куп страници са били заразени, в рамките на седмица съм успявал да върна сайта „чист“ и нормално функционират, така че това смятам ще успеете да направите и вие.

За автора 

Иво Илиев е практик в сферата на дигиталния маркетинг и комуникации от 2002г.
Управител е на дигитални агенции InteractAGE, METAMARK и Interactive AGE, където той и екипът му имат удоволствието да работят над разнообразни кампании за международни и регионални клиенти като: Raiffeisenbank, NIVEA, Eucerin, CBA, Ford, Clinique, NOKIA и много други. Също така Иво Илиев е един от основателите на "Българска асоциация на агенциите за дигитални комуникации".
През годините Иво споделя част от своите опит и придобити знания тук, както и по време на фирмените обучения, консултации и събития, организирани по линия на инициативата PresenTHINK, която той стартира преди години.
Иво има активно участие като ментор и лектор на някой от най-големите маркетинг събития у нас, както и като участник в бакалавърски и магистърски програми в университети в страната.
-
Уважаеми читателю,
Благодаря ти, за отделеното време над тази статия! Тя е написана за теб и всички читатели на блога с идеята да е от полза. Ще съм ти благодарен, ако решиш да я подкрепиш като я споделиш в социалните мрежи или на твои приятели, за които решиш, че е полезна. За мен е важно да чуя твоето мнение по темата от статията, и ще се радвам да го споделиш в коментарите по-долу.

Кратка връзка към публикацията:

Facebook Comments

2 коментара

  • Прочетох статията ти защото тази сутрин в Уеб. Мастер Тулса ми излезе, че имам Злонамерен софтуер на Форума. Сканирах от написаното – линковете в статията ти, но не показа да има Злонамерен Софтуер.

    Защо Тулса показва – а другите метрични линкове не показват.

    • Възможно е да има добре прикрити Malware линкове в сайта.
      Опитай с този инструмент – ако има такива линкове, инструмента ще ти ги покаже като malware: http://www.iwebtool.com/link_extractor
      Възможно е и някой прикрит скрипт или парче код да прави бели. Ако сайта е WP – може и плъгин да е.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *