Лечение от вирусов на сайте

В первую очередь вирусы губительны для SEO. Один вирус в состояние убить год работы целой группы SEO специалистов, не говоря уже о реальных потерях в продажах. Давайте рассмотрим более подробно, чем они опасны:

• Утечка поискового трафика, включая платные переходы с директа на сторонние сайты.
• Падение позиций в поисковых системах.
• Попадание сайта под фильтр (выход из-под которого может занять более года).
• Браузеры внесут сайт в черный список, и даже вылеченный сайт будет в нем до момента последующей проверки, что может занять от нескольких дней до нескольких месяцев, все это время сайт из данного браузера будет недоступен, мало того - браузер будет категорически не рекомендовать переход на него, тем самым вызывая недоверие к сайту у клиента.
• Выпадение всех страниц из индекса поисковых систем.
• Индексирование «чужих» страниц, зачастую с запрещенным содержанием от 1000 до 10000 страниц в среднем!
• Порча кода, от легких изменений, до полной невозможности восстановить изначальное состояние.
• Вирус может быть незаметным и приносить убытки годами.
• Позволяет инфицировать соседние сайты на текущем аккаунте.
• Кража паролей.
• Вставка скрытых ссылок, баннеров и т. д.
• Полное уничтожение данных.

• Троянский конь — Крадет секретную информацию, как правило это пароли и доступы.
• Шпионы — предназначенные для кражи конфиденциальной информации с ресурса.
• Инфреймы — размещает внешнюю ссылку на собственные ресурсы.
• Мобильный редирект — переводит весь мобильный трафик на собственные ресурс.
• SQL-инъекция — атаке подвергается база данных сайта, как правило для установки скрытых данных на сайт.
• Shell — программа позволяющая получить полный контроль над сайтом, как правило используя уязвимость, при лечение требуется удалить и сам вирус, и shell.
• Редирект с поисковых систем — если зайти на сайт с поисковых систем, то происходит перенаправление на неизвестный сайт.

Есть ряд косвенных признаков, по которым можно предположить наличие вируса, есть ряд фактов указывающих на их явное наличие, в любом случае, точный ответ сможет дать только специалист. Вирусы слишком разные, их слишком много. Каждый вирус уникален и антивирус для него пишется индивидуально. Или удаляется полностью руками.

• Вирусы в первую очередь инфицируют следующие файлы: (php|js|.htaccess). Вирусы могут быть в одном файле или во всех файлах на сайте по маске, могут встретиться десятки раз в каждом файле, все индивидуально.
• Резкое увеличение количества страниц в индексе может косвенно свидетельствовать о появление вируса.
• Появление внешних ссылок на сторонние ресурсы.
• Сайт заблокирован браузером.
• На сайте изменились js файлы (при наличие мониторинга данных изменений).
• Стала недоступна часть функционала сайта.
• В панели Яндекс.Вебмастера появилось предупреждение о возможном заражении сайта.
• Воспользоваться сторонним сервисом проверки сайта на вирус онлайн.
• Использовать утилиту ai-bolit

Тут все достаточно просто. Антивируса для сайтов нет и не будет. И для этого существует целый ряд причин.

Обычные антивирусы рассчитаны на уязвимости операционной системы Windows, а сайты расположены на хостингах, где фактически установлена ОС семейства *nix и вирусы совершенно разные.

Существующие антивирусы на *nix системах, также стараются в первую очередь защититься от самых популярных вирусов, то есть для Windows. Вирус на сайте, по хорошему, вполне валидный код. Зачастую это просто ссылки на другие сайты или обычные html страницы, назвать это вирусом трудно. Тем более, внести в базу.

Ну и самое главное, все антивирусы избавляются от вирусов только удалив сам файл с вирусом, при том, что вирус может быть всего лишь частью, нужной для полноценной работы СMS файла. Последствия вируса также не лечатся антивирусами, сам вирус может заразить файлы сайта и тогда удаление не решит проблему. Только ручное удаление вируса способно изменить ситуацию. Антивирусов для сайта не существует. И все заявления популярных антивирусов всего лишь слова. Вирусы на всех ОС удаляют исключительно руками, топорное удаление всего живого на сайте попросту недопустимо, вероятность потери сайта слишком велика. Поиск же вируса в базе данных антивирусом, вообще, чистая сказка.

Внешне, как правило, вообще никак. Основная задача вируса - как можно незаметней и дольше просидеть на сайте. Например, вирус может быть расположен в файле .htaccess, если вы умеете читать этот файл, то сразу заметите, изменен он или нет. Как правило, вирусы используют следующие конструкции:

RewriteEngine on
RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml¦application/vnd.wap.xhtml+xml" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "acs|alav|alca|amoi|audi|aste|benq|blac|blaz|brew|cell|cldc|cmd-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "symbian|midp|wap|phone|pocket|mobile|pda|psp" [NC]

Подозрительные php js файлы 334lD30ddl4.php и тому подобные php файлы в папке /images/.
Подозрительные инфреймы: iframe src=\"http://вредоносный_сайт.com/?click=23681765\" width=1…
Так же  подозрение вызывают следующие конструкции в коде eval(gzinflate(base64_decode('80jNyclXyFTPVUhJTc5PSU0BAA==')));

Целые сайты внутри сайта. Часто, это тысячи html или php файлов, как правило отлично сделанные. В некоторых случаях такие вирусы по количеству страниц в индексе могут обойти сам сайт  в несколько сотен раз.
Любые другие конструкции, включая инфицированные sape вредоносным чужым sape инклудом, продающим с  вашего сайта свои ссылки. Такие вирусы могут годами вредить вашему бизнесу.

Существуют три основных способа попадания вирусов на сайт.

1. Использование уязвимостей в движке сайта, компонентах, модулях и т. д.
2. Безопасный хостинг достаточно ресурсоемкое мероприятие, зачастую хостеры предпочитают больше зарабатывать, чем обеспечить большую защиту. Тем самым делая не самые защищенные настройки системы. Не обновляют критические уязвимости. И так далее.
3. Ну и последний способ, но не по значимости, кража или взлом доступов FTP, SSH, MySQL до сервера.

Универсального 100% способа не существует, всегда есть вероятность заражения, вопрос лишь в ее возможности.

• Удалить все старые FTP аккаунты, проверить ВСЕ компьютеры, на которых совершался доступ до FTP к сайту!
• Не использовать Filezila (по возможности подключитесь по webadav)
• Обновить CMS сайта по максимуму, включая все его компоненты.
• В случае отсутствия встроенного механизма отражения атак в движке сайта, установить дополнительный плагин.
• Изменить стандартные префиксы баз данных.
• Сконфигурировать .htaccess — для каждого движка возможны свои настройки.
• Перевести сайт на движок 1С-Битрикс. Из всех движков на рынке он самый устойчивый к взлому. Если соблюдать все требования, взломать его практически невозможно (роботом).
• Правильно сконфигурированный хостинг немаловажен, обновления безопасности хостинга.
• Правильно выставленные права на сайт. Как правило, это 644 и 755 на папки.
• При заражении сразу ряда сайтов на одном аккаунте, все вышеперечисленные действия нужно сделать со всеми сайтами!
• Отключите SuEXEC на сайте, вирусы практически не способны заразить сайт без этой опции. Однако и ваш сайт не в состояние будет создавать файлы. Если у вашего сайта нет такой задачи, отключайте однозначно.