Как я чистил сайт от вирусов. Как вирусы попадают на сайт, кто виноват и что же теперь делать...

как удалить вирус с сайта на Joomla

Как сделать собственный сайт? Раньше это было уделом профессионалов. Сайты стоили огромных денег. Далеко не каждая фирма, а уж тем более, обычный человек, могли позволить себе иметь представительство в интернете. Но времена меняются. Сейчас сделать собственный сайт вполне может даже школьник. Причем, если он приложит некоторые усилия и знания, его детище будет выглядеть очень даже на уровне. И вы это можете! Одно плохо. Однажды вы можете получить по почте грозное письмо с предупреждением, что ваш сайт заблокирован из-за наличия на нем вирусов. Причем, как правило, это происходит в самый неподходящий момент. В данной статье я поделюсь с вами некоторыми полезными приемчиками по предотвращению заражения сайта, а так же посоветую пути решения проблемы с вирусами.



Обратная сторона мнимой простоты

Наверное, вы уже не раз слышали мнение о том, что сейчас сделать сайт очень и очень просто. Множество так называемых бесплатных сервисов предлагают создать его на основе конструктора за неполные пять минут. Почему "так называемых"? Это очень просто. Стоит только почитать повнимательнее правила и можно сразу понять, что бесплатно вы сможете создать только очень простенький, примитивный сайтик. 

Но если вам нужен дополнительный функционал, например, фотогалерея, более красивое оформление, собственное доменной имя и т.д., то будьте готовы платить за каждое свое желание. Иной раз совокупные месячные расходы на сайт становятся такими большими, что проще было сразу купить нормальный платный хостинг (то место в интернете, где будет находиться ваш ресурс) и сделать сайт безо всяких ограничений.

Другой подход - действительно сразу купить хостинг и установить туда какую-нибудь систему управления сайтом, типа Joomla или Word-Press. Это подход, который тоже как будто бы не требует особых навыков. По сути дела при покупке хостинга вы тоже сразу получаете готовый сайт. Остается только наполнить его вашими данными и дело, как говорится, в шляпе.

Именно эта активно декларируемая простота создания сайта толкает нас на подвиги в деле, в котором мы не вполне разбираемся. Для себя лично, для друга - художника или фотографа, для своей "конторы", а то и вообще для сторонних фирм на заказ. Кстати, меня всегда умиляли граждане, которые еще сами толком не научились, а уже принимаются учить других или, что еще страшнее, брать платные заказы на изготовление сайтов. 

Результатом подобных действий являются миллиарды пустых и никчемных страниц, заброшенных, пребывающих в унылом заупокойном состоянии. Именно они и являются рассадниками всякой нечисти. Это я про компьютерные вирусы.

 

Разве сайт может заразиться вирусом?

Некоторые потенциальные клиенты, с которыми я веду переговоры о создании и обслуживании сайтов, даже не знают, что там действительно может появиться вирус. Они делают круглые удивленные глаза и говорят: "Как это? Я понимаю, что вирус может заразить компьютер, а сайт... Похоже, Вы нам "гоните"".

Приходится отвечать, что нет, мол, не "гоню". Сайты действительно могут заразиться. Еще большей неожиданностью для владельцев становится информация, что в 95% случаев в заражении виноваты они сами - владельцы. Именно владельцы и их не вполне компетентные администраторы своими неумелыми действиями провоцируют кризисные ситуации. Большинство заказчиков в этот момент начинают полагать, что специально рассказываю сказки, пугаю, чтобы "побольше содрать" за обслуживание.

В ответ я слышу примерно следующее: "Вы нам просто его (сайт) сделайте, а наполнять мы будем сами. Ну что уж мы текст не сможем сами добавить?". Раньше я делал именно так: делал и отдавал сайты заказчикам. К сожалению иногда со временем заказчик звонил мне и испуганно сообщал, что у них "с сайтом что-то не то".

При ближайшем рассмотрении даже я иногда пугался, ибо такие рассадники вирусов не каждый день увидишь. Самое интересное, что некоторые заказчики имели наглость утверждать, что это "все из-за меня", что я неправильно сделал сайт. А пару раз мне вообще сказали, что это я "накаркал", что вирусы появятся :). Вообще, поиски виноватого - это любимое занятие некоторых товарищей.

 

Зачем сайт заражается вирусами. Кому это нужно

Иногда владельцы зараженных сайтов задают следующий вопрос: "Зачем вирусу понадобился мой сайт? Там же нет ни данных пользователей, ни какой-то важной информации, это просто мой сайт о вязании (цветоводстве, вышивании и т.д.)". 

Действительно. Одно дело, когда ломают сайты с целью похищения личных данных пользователей, информации о банковских картах и т.д. Мотив понятен - можно снять деньги с карт или продать кому-то похищенную базу данных пользователей.

А чего ценного можно похитить с сайта по цветоводству, на котором еще всего-навсего 5-7 статей и никаких данных о пользователях.

Чтобы ответить, я хотел бы предложить вам заглянуть в ваш электронный почтовый ящик. Наверняка вы увидите там кучу рекламных писем, которые приходят каждый день десятками, а иногда и сотнями.

Кто их рассылает? Наверное - те люди, которые рекламируют в данных письмах свои услуги. Наверное они нашли в интернете ваш сайт с адресом электронной почты и решили написать вам персональное письмо. Думаю, даже неспециалист легко поймет некоторую иронию предыдущего предложения. Многие уже понимают, что подобные письма сейчас рассылаются в сотни тысяч, а то и миллионы адресов. Такие действия называются рассылкой спама (спам - нежелательная почта рекламного характера).

Ну и какая связь с нашими простенькими сайтами? А вот какая. Конторы, которые рассылают подобные письма, предпочитают делать это с использованием не своих, а чужих почтовых ящиков. Как бы от совершенно другого лица. Смысл очень прост: если за подобные рассылки ящик будет занесен в черный список, то пусть лучше это будет чужой ящик, чем их свой собственный.

Раньше подобные рассылки делались с использованием бесплатных почтовых серверов: mail.ru, yandex.ru и т.д. Однако почтовые сервисы сейчас значительно "поумнели" и не позволяют делать рассылки одного и того же письма во много адресов одновременно.

И тут спамеры обратили внимание на то, что любой человек, который купил хостинг для своего сайта, имеет по умолчанию и электронный почтовый ящик. Пусть он даже не используется, зато он вполне работоспособен и еще не попал в черные списки почтовых систем.

Иначе говоря, у вас, как владельца платного хостинга, есть то, что им нужно - "чистый" адрес электронной почты. Правда, вы скорее всего, не позволите воспользоваться им, или потребуете определенную плату. Но, с другой стороны, зачем вам вообще знать о том, что с вашего адреса идут какие-то рассылки? Все можно сделать незаметно и прекрасно пользоваться вашей неосведомленностью до тех пор пока ящик не получит "черную метку" от почтовых систем. Затем можно найти другого владельца "чистого ящика" и рассылать спам от его имени и т.д.

Чтобы все это стало возможным, на ваш сайт просто помещается несколько файлов. Именно они занимаются рассылкой. Часто заражение происходит в автоматическом режиме. Специальные программы просто перебирают в интернете все сайты подряд и модернизируют те, которые оказались наиболее уязвимыми.

Наверное, мое объяснение покажется слишком упрощенным для настоящих специалистов. Однако я попытался рассказать все так, чтобы понял даже новичок. Надеюсь, у меня получилось.

Если хотите, вот другой пример. На вашем хостинге "рядом" с вашим сайтом "поселяется" другой сайт. Ну а почему бы нет? Места достаточно, за сайтом никто не следит. Отличная площадка для махинаций. 

Теперь представьте, что этот новый сайт продает какие-то товары или услуги. Например, "заплатите 100 рублей и узнайте на каких сайтах знакомств тусуется ваш благоверный". Многие люди попадаются на эту удочку, отправляют деньги. В ответ, естественно, ничего. Конечно, за 100 рублей никто судиться не будет, но если сумма окажется гораздо солиднее или все же найдется какой-нибудь "искатель истины", то будет открыто уголовное дело. В его рамках следователь выйдет на мошеннический сайт и легко определит владельца хостинга, на котором он расположен. То есть вас.

Дальше вы будете долго и тщетно доказывать, что "ни сном ни духом". Факты будут против вас: именно на вашем хостинге лежит мошеннический сайт. Следовательно, вы его владелец. В тюрьму вас, скорее всего, не посадят, но времени и нервов будет потрачено уйма.

Опять таки я сильно упрощаю ситуацию. Просто хочу показать, что даже заброшенный сайт, хозяин которого плохо разбирается в теме, может стать причиной серьезных проблем. 



 

Как владелец сайта обнаруживает, что его сайт заражен

Надо сразу разделить все сайты на две большие группы. Есть сайты для галочки - например, сайт какой-нибудь школы или другого подобного учреждения. Если последняя новость там датирована мартом прошлого года, то становится ясно - сайтом никто не занимается. А обнаруживается проблема, как правило, перед какой-нибудь очередной проверкой. Например, завтра школьный сайт будет проверять отдел образования, а он (сайт) вообще не открывается. И это еще в лучшем случае. В худшем - там может обнаружится такое "интересное" содержимое, которое вообще никому нельзя показывать. Можно запросто угодить под следствие по делу о разжигании межнациональной розни или еще чего-нибудь похуже. А завтра - министерская проверка!

Начинаются метания, крокодильи слезы, заглатывание лошадиных доз успокоительного и поиски виноватого. 

Вторая группа - рабочие сайты. Это такие, которые действительно реализуют какую-то миссию. Некоторые являются интернет-магазинами, другие - представительствами в интернет крупных компаний. Некоторые сайты приносят владельцам неплохой доход от рекламы. 

Сами понимаете, за сайтами второй группы владельцы следят более пристально и регулярно. Именно поэтому они могут сразу заметить какие-то намеки на то, что с ресурсом творится что-то неладное. Например, вдруг может резко упасть посещаемость. Это не обязательно результат вирусной атаки, но не помешает принять меры к проверке.

В другом случае сайт начинает выдаваться в поиске Яндекса с пометкой "этот сайт может угрожать вашему компьютеру". Понятно, что такие ярлыки просто так не вешаются. Надо что-то предпринимать.

Некоторые рабочие сайты подключены к облачным антивирусам и ежедневно проверяются на наличие неприятностей.

Одним словом, сайтам второй группы везет больше. Ведь вовремя выявленная вирусная угроза позволяет решить проблему просто и быстро. 

Все это немного напоминает процесс воспитания детей. Некоторые родители находят время чтобы ежедневно "заниматься" своим ребенком. Его учат чему-то новому, за его здоровьем следят и все такое прочее. Обычно из таких детей вырастают достаточно серьезные и разумные люди. Исключения, конечно, бывают в любом правиле, но это исключения.

Если же ребенка "забросить", не интересоваться его успехами в учебе, кругом друзей, здоровьем, то в один прекрасный день вы можете оказаться перед фактом, что ваше чадо влипло в пренеприятнейшую ситуацию, связанную с криминалом, или давно уже страдает какой-нибудь болезнью, перешедшей в безнадежную хроническую форму.

Возможно, это небольшое преувеличение. Ведь в самом худшем случае проблемный сайт можно просто уничтожить и сделать заново. С ребенком так не поступишь. Тем не менее, аналогия с детьми кажется мне вполне уместной. И своим чадом и своим сайтом надо "заниматься", причем не время от времени, а регулярно.

 

Как вирусы попадают на сайт

Здесь и далее я буду говорить о сайтах, созданных на CMS Joomla. Эта система сейчас очень популярна, однако пользоваться ей надо, как говорится, "с умом", не пуская свой сайт на самотек.

Очень редко бывает так, чтобы сайт действительно был взломан извне. Такое случается, однако, как я уже писал ранее, подавляющее большинство случаев заражения происходит по вине самого владельца, или администратора, которому поручено управление ресурсом.

Наиболее распространенными причинами заражения являются:

  1. Ненадлежащий способ хранения паролей для управления сайтом. Некоторые пользователи хранят его в текстовом файле в компьютере или вообще оставляют его в письме, полученном от провайдера при покупке хостинга. Вирусы, которые можно запросто подцепить, лазая по интернету, ищут такие файлы в вашем компьютере и, найдя, получают возможность управлять вашим сайтом.

  2. Устаревшая версия Joomla. Некоторые сайты до сих пор работают на версии 1.5, в то время как самая новая версия на момент написания данной статьи - Joomla 3.6.4. Каждая новая версия является более защищенной от взлома, чем предыдущая. Те, кто постоянно не обновляют версию движка, неминуемо ставят свой сайт под удар.

  3. Установка бесплатных расширений или шаблонов, скачанных с сомнительных сайтов. Это большая и отдельная тема для разговора. Общая идея сводится к тому, что на некоторых сайтах в интернете вы можете скачать шаблон или какое-нибудь расширение, например, фотогалерею, совершенно бесплатно. При этом данные продукты могут быть платными и стоят на официальных сайтах от 5 до 70 долларов. Вы радуетесь, что получаете то же самое безо всякой оплаты. Очень часто бывает так, что подобные "бесплатные" расширения и шаблоны включают в себя вредоносный код. Получается, что вы сами устанавливаете на сайт зараженное расширение и еще радуетесь, что вам так крупно повезло. Увы, радость обычно бывает недолгой.

  4. Отсутствие хорошей антивирусной программы на компьютере, с которого осуществляется управление сайтом. Только не говорите, что у вас хороший платный антивирус. Просто ответьте на простой вопрос: как давно вы сканировали диск своего компьютера в режиме "до загрузки Windows". Если бы вы это сделали, наверняка узнали бы о своем ПК много нового и интересного. Ничего удивительного, что сайт, управляемый с такого компьютера вскоре тоже становится зараженным.

В принципе, список можно было бы продолжить, но, думаю, на первый раз и этого вполне достаточно. Если у вас есть свой сайт, посчитайте, сколько из этих пунктов  написано "про вас". Если бы вы решили хотя бы эти проблемы, неприятностей с вирусами на вашем сайте было бы гораздо меньше. 

 

Что делать, если вирус на сайте находится уже давно

Такое обычно случается с сайтами первого типа. В принципе, владелец может даже не замечать каких-то проблем. В течение долгих месяцев сайт не просматривается и, тем более, не обновляется. Когда ресурс заблокируют за распространение вредоносного содержимого, хозяин начинает искать способы "сделать все как было". 

Естественно, сначала предпринимаются попытки переложить ответственность на кого-то другого. В первую очередь достается администратору сайта. Могут припомнить и разработчику. Однажды мне было высказано, что на сделанном мною сайте вместо нормальной информации находятся тонны порнографии. В свое оправдание могу сказать, что сайт был сделан несколько лет назад и все это время управлялся самим заказчиком. 

Когда номер с поиском виноватого заходит в тупик, начинается предметный разговор о том, как можно решить проблему. Услуги специалистов в данном случае будут стоить действительно немало. Ведь приходится анализировать всю структуру сайта, файловую систему, находить и удалять зараженные файлы.

Бывают случаи, когда приходится прибегать к полной переустановке CMS Joomla со всеми вытекающими неприятными последствиями. Да, иногда действительно проще "все закрасить и нарисовать заново", чем пытаться бороться с сотнями зараженных файлов.

Стоимость услуги по восстановлению сайта в данном случае начинается примерно от 5000 рублей.



 

Если вирус появился на сайте сегодня

Давайте сразу договоримся вот о чем: полностью избежать заражения невозможно. Любые самые современные антивирусы и другие методы оказываются бессильными перед вирусами, которые "только что изобрели и запустили в сеть". Конечно, антивирусные системы тоже постоянно модернизируются, однако, если хакеры взламывают защиту информационных систем Пентагона и прочих серьезных организаций, то наши сайты им взломать - пара пустяков.

Те, кто постоянно следят за своим сайтом, имеют блестящую возможность быстро решить проблему и восстановить работоспособность ресурса. Позвольте мне показать, как буквально за 10 минут была решена проблема, на которую иногда тратятся целые человеко-часы или даже человеко-дни, не говоря уже о немалых суммах денег.

Итак, 4 декабря один из подконтрольных мне сайтов подал сигнал бедствия. Как это выглядело?

Я просто получил письмо от сервиса Virusdie о том, что на сайте обнаружен вредоносный код:

 

письмо от сервиса Virusdie

 

Открыв его, я увидел, что на сайте есть зараженные файлы. Самое ценное - сервис показывает, какие именно:

 

письмо от сервиса Virusdie

 

Самое простое - зайти в личный кабинет на сервисе. Вот что мы увидим:

 

интерфейс сервиса Virusdie

В правой части представлен список зараженных файлов. Это хорошо, что их всего восемь штук. Иногда бывает гораздо больше. 

Далее можно просто удалить зараженные файлы. Однако здесь может возникнуть некоторая проблема. Дело в том, что, например, файл index.php, который упоминается в списке, это часть системы. Если его удалить, сайт вообще не будет открываться. Остальные тоже надо проверять. А то так наудаляем, пожалуй.

Если вы сильны в php-коде, можно открыть текст зараженного файла и попробовать исправить его:

 

интерфейс сервиса Virusdie

 

Однако, этот вариант явно не для всех.

Как же быть?

Можно сделать следующее: открыть свой сайт в FTP-клиенте (программе, с помощью которой можно закачивать файлы на сайт) и попытаться заменить зараженные файлы аналогичными из чистой копии Joomla. Те же, что являются чужеродными, можно просто удалить. Опытный администратор буквально с первого взгляда заметит файлы и папки, которых не должно быть на сервере и которые как раз являются частями вируса. Взгляните на эту картинку:

 

Вирусы в корневом каталоге сайта

 

Однако, если таких файлов много, процесс может занять немалое время. Однажды у моего знакомого на сайте обнаружилось порядка 400 зараженных файлов. Представляете, сколько времени требуется, чтобы разобраться с каждым из них?

Увы, даже победив все вирусы, на следующий день вы можете обнаружить на своем сайте точно такую же картину. Или даже еще худшую.

Значит, надо не просто удалить вирусы, но и предпринять некоторые действия, чтобы они не появились снова. По крайней мере, в обозримом будущем.

 

Восстановление сайта из резервной копии

Это радикальное, очень эффективное и быстрое решение проблемы с вирусами. Дело в том, что провайдер, у которого вы покупали хостинг для своего сайта, ежедневно создает и хранит его резервную копию. Например, можно сделать так, чтобы сайт стал таким, каким он был два, три дня назад, неделю назад, месяц и т.д.

Правда, это приводит к потере всех файлов, которые вы добавили за прошедшее до сегодняшнего дня время. Но иногда гораздо легче заново добавить несколько файлов, чем долго и безрезультатно биться с целой армией вирусов... Да что там "армией". Начинающему создателю сайтов, неискушенному в делах антивирусной защиты, хватит и одного "зверя", чтобы впасть в кому.

Данный способ битвы с вирусами особенно актуален, если вы обнаружили, что заражение произошло вчера или даже сегодня. Ведь это означает, что позавчера сайт был еще чистый (хотя никогда нельзя утверждать этого на 100%). Следовательно, если мы "откатим" сайт к позавчерашнему состоянию, то проблема с вирусами решится сама собой.

Главное - найти чистую резервную копию. Чистую - значит, не зараженную, полноценную. Как это сделать? Первый шаг - открытие личного кабинета на сайте провайдера. Это делается с помощью логина и пароля, который вы указали при регистрации хостинга. Вы ведь сохранили эти данные? 

У каждого провайдера свой вид интерфейса. Например у REG.RU - вот такой. Это часть общего окна, где мы можем выбрать управление резервными копиями:

 

 

Восстановление сайта из резервной копии

Нажав на нужную ссылку, получаем список доступных копий с указанием их объема и даты создания:

 

Восстановление сайта из резервной копии

 

Теперь - внимание! Мы видим копии, имеющие разный размер в байтах. 11 ноября копия имела объем 489Mb, а 18 ноября - уже 492Mb. Уже одно это может насторожить. Однако, открываем дневник работы с сайтом и видим, что 14 ноября на сайт добавлена новая информация. Естественно, что объем увеличился.

Следующее изменение объема резервной копии - 4 декабря. Однако в период с 3 по 4 декабря с сайтом никакие работы не выполнялись. Отсюда следует, что это может быть "грязная копия" - зараженная. Теперь бросаем повторный взгляд на письмо от сервиса Virusdie:

 

письмо от сервиса Virusdie

 

Так и есть! По мнению сервиса Virusdie заражение произошло как раз 4 декабря в период с 3 до 8 часов утра. 

А это значит что? Что если мы восстановим сайт из копии на 3 декабря, проблема скорее всего будет решена. Ура! Нажимаем кнопку с круглой синей стрелочкой в строке с нужной резервной копией и процесс восстановления начинается. Он идет примерно 1-2 минуты. За это время полностью стирается текущий сайт и на его место помещается он же, но позавчерашний.

Когда процесс будет завершен, можно снова запустить Virusdie. Как и предполагалось, больше у него претензий к нашему сайту нет (самая верхняя строка):

 

лечение сайта с Virusdie

 

На этой счастливой ноте можно было бы и закончить данное повествование. Однако, надо сделать для нашего отремонтированного сайта еще кое что. Ведь если вирусы как-то попали на сайт сегодня, они могут попасть сюда и завтра. Значит, есть лазейка. Давайте попробуем поставить на их пути несколько барьеров.

 

Как не допустить повторного заражения сайта вирусом

  • Первое, что надо сделать непременно, это сменить пароли к административной панели Joomla, личного кабинета хостинга и панели управления хостингом. 

  • Второе: посмотрим, все ли установленные нами внешние модули сайта нам действительно нужны? Бывает так: установим одну фотогалерею, а она не понравится. Установим другую - тоже "не то". А вот третья - вполне "ничего". Оставляя ее, мы часто забываем удалить те две, которые установили, но использовать которые не собираемся. Имейте в виду: каждое расширение, там более, скачанное из сомнительного источника, это потенциальная лазейка для вирусов.

  • Удаляем из браузера пароли. Знаете, есть такая галочка "запомнить пароль". Поверьте, лучше потратить время и каждый раз вводить их вручную, чем снова иметь дело с вирусами на сайте.

  • Обновляем версию антивируса на своем компьютере и сканируем его в режиме "до загрузки операционной системы". Именно так выявляются скрытые вирусы, которые иногда не находятся при обычном сканировании.

  • Постоянно следим за состоянием сайта. Ведем дневник его наполнения

Как я уже писал ранее, на 100% обезопасить свой сайт нельзя. Однако лечить его всего пару раз в год гораздо лучше, чем иметь проблемы с вирусами каждую неделю.

Вот и все. К сожалению в данной статье не представляется возможным показать конкретику и расписать алгоритмы всех действий. Хотя бы потому, что хостинг-провайдеры бывают разные, у каждого свои правила. Здесь я хотел показать только суть и донести мысль о том, что если уж вы решили создать свой сайт, будьте готовы уделять ему внимание. Иначе, зарастет вирусами так, сами не обрадуетесь.

Желаю вам успехов в борьбе с цифровым злом. Если есть желание сдать свой сайт на обслуживание, пишите: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра..


хорошая статья
Instagram