Мой сайт взломали, на нем вирус или вредоносный код. Почему это произошло, что следует предпринять?

Подробности статьи
Ссылка: https://support.ihc.ru/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=168
Cтатья №: 168
Создано: 01.10.2012 13:52

Ответ
Сайт - это набор файлов, размещенных на постоянно подключенном к интернету сервере. Соответственно, под «вирусами на сайтах» подразумеваются программы или вредоносные включения в файлы сайта, из-за которых сайт работает не так, как он должен работать.

Каковы причины заражения сайтов?
Основная причина заражения сайтов - это желание заработать за чужой счет. Схема обычно выглядит так: пользователь, зашедший на зараженный сайт, принудительно перенаправляется на сторонний ресурс, не имеющий к исходному никакого отношения (например, на платник партнерской программы). Злоумышленник получает деньги за трафик, перенаправляемый со взломанных сайтов.

Что делать при заражении или взломе сайта? Кто виноват?
Если ваш сайт заражен, не стоит паниковать и мучать тех. поддержку гневными обвинениями. В 99% случаев хостинг к этой проблеме не имеет никакого отношения.
Самые частые способы заражения сайта - похищение пароля FTP-доступа к хостингу с компьютера веб-мастера с помощью кейлоггера, из менеджера паролей или из взломанного почтового ящика, а также использование уязвимостей популярных систем управления сайтом (CMS) и скриптов.
Первым делом стоит обновить антивирус и выполнить полную проверку собственного компьютера на вирусы.
После сканирования (и лечения, если требуется) смените пароли доступа к электронной почте, аккаунту на хостинге, и удалите все сохраненные пароли из браузеров и FTP-клиентов.
Загрузите резервную копию зараженного сайта на собственный компьютер, и проверьте ее антивирусом и упомянутыми выше утилитами - иногда даже такая простая мера находит источник проблемы.
Если сайт построен на популярной CMS (особенно DLE, Wordpress, Joomla, Drupal, MODx), то возможно злоумышленник воспользовался ее уязвимостью. Это значит, что нужно обновить CMS и ее модули до последних стабильных версий из официальных источников, отключить неиспользуемые или подозрительные модули, закрыть доступ к административным частям сайта с помощью .htpasswd , а также периодически проводить аудит безопасности сайта и менять административные пароли.
Обязательно нужно проверить логи доступа к веб-серверу на предмет посторонних запросов. Логи доступа Вы можете найти в папке logs на FTP.
Также нужно проверить временные директории CMS, и директории, в которые разрешена загрузка файлов (tmp, cache, images, uploads, user_files и так далее) на предмет посторонних файлов.


Ответы на вопросы, которые могли у Вас возникнуть:

Вопрос: А может быть это вовсе проблема с безопасностью у Хостинга?
Ответ: На всех наших серверах установлена самая стабильная и устойчивая к взломам версия операционной системы. Если бы вирус попал на хостинг при помощи уязвимости операционной системы, то были бы поражены многие сайты. Однако этого не наблюдается – поражен только один сайт.

Вопрос: Как мне восстановить работу сайта?
Ответ: Вы можете сделать заявку на восстановление файлов сайтов из резервных копий. Заявку нужно выполнить из панели управления https://my.ihc.ru/support/ticket .
В заявке укажите имя сайта и примерную дату восстановления, не позже 14 дней от текущего календарного дня. Но знайте, это не устранит причину взлома сайта!

Вопрос: У меня все компьютеры имеют антивирус. Я – «чист».
Ответ: 95% случаев, когда на страницах сайта диагностируется вирус – все-таки следствие заражения компьютера, с которого осуществлялся доступ по FTP.
Очень часто антивирусные программы либо настроены не совсем корректно, либо у них включены не все проверки, либо антивирусные базы не актуальны. Также, очень часто, это не лицензионные экземпляры и гарантии их надежности в этом случае нет. Стоит упомянуть о многочисленных антивирусных продуктах (не входящих в лидеры отрасли), декларирующих свою надежность, которая не всегда подтверждается (!).
Во всех этих случаях, у Вас создается ложная уверенность в защищенности своих компьютеров, хотя это не так.
Итак, необходима тщательная проверка хорошим антивирусом, желательно с привлечением технических специалистов.

Вопрос: Повторяю - у меня все компьютеры имеют антивирус. Я – «чист».
Ответ: И еще - не исключен «человеческий» фактор: кто-то из окружения мог сохранить у себя на компьютере пароль, так сказать «на всякий случай». А этот компьютер не был защищен антивирусом.
Также, проверьте, не стоит ли дополнительно в контактных email в Контрольной Панели чужой адрес. Возможен вариант, когда все приходящие письма на указанный Вами почтовый ящик, копируются на другой адрес (если Вы сами не администрируете свой почтовый ящик, то Вы об этом можете и не знать). Укажите почтовый ящик, в котором Вы уверены, чтобы исключить отсылку пароля сторонним лицам.
Однако, 95% случаев, когда на страницах сайта диагностируется вирус – все-таки следствие заражения компьютера, с которого осуществлялся доступ по FTP

Вопрос: Все проверили – ситуация повторяется.
Ответ: остальные случаи означают, что имеются уязвимости в скриптах Вашего сайта (Вам срочно необходимо обратиться к разработчикам Вашего сайта).

Вопрос: У меня нет технического специалиста, а моих знаний не хватает.
Ответ: В век современных технологий без специалистов не обойтись. Если наши рекомендации по устранению взлома Вам не помогли, то Вам все же необходимо найти специалиста.

Вопрос: Как же уберечься в дальнейшем?
Ответ: Использовать антивирус с актуальными базами в паре с персональным firewall, анализировать на уязвимость скрипты, размещаемые на сайте, вовремя устанавливать обновления безопасности для используемых продуктов (CMS, форумы, гостевые книги и т.д.)