Этапы лечения вирусного заражения сайта на CMS Joomla всех версий с последующей защитой. Лечение joomla от вирусов


Этапы лечения - Лечение и защита сайтов на CMS Joomla от вирусов и взломов с гарантией. Студия WebTend г. Екатеринбург

  1. Обязательно надо предоставить мне следующие данные: логин и пароль к административной части сайта с правами суперадминистратора, данные для внешнего доступа к сайту по FTP (хост, логин и пароль).
  2. Устанавливаем на сайт (если нет) компонент архивного копирования сайта и базы данных. Создаю и скачиваю полный архив на свой сервер для изучения.
  3. Устанавливаем специальный компонент для поиска уязвимостей и зараженийи защиты на ваш сайт (фаервол).
  4. Анализируем копию специальными программами локально и на вашем сайте. Анализирую логи вашего сайта. Проводится сканирование файлов сайта на наличие вирусов, веб-шеллов, бэкдоров, спам-расыльщиков, фишинговых страниц, дорвей-страниц и других вредоносных и хакерских скриптов. Выполняется диагностика страниц сайта сканером для определения мобильных и поисковых редиректов, опасных виджетов и кодов недобросовестных рекламных сетей. Проверяется база данных на наличие хакерских вставок и вирусных инжектов.
  5. Устраняем заражения на вашем сайте (файлы и база данных).Обнаруженные вредоносные фрагменты и хакерские скрипты аккуратно удаляются, сохраняя работоспособность сайта. Только ручное удаление вирусного кода.
  6. Устраняем уязвимости, позволившим вас атаковать. "Цементирую" сайт от будущих атак. Устанавливаю надежный фаервол для сайта. Устанавливаю эффективную защиту от взлома, которая исключает повторный взлом и заражение. Защита состоит из двух основных элементов: «цементирования» и «проактивной защиты». Выставляю правильные права для всех папок и файлов вашего сайта, закрываю возможность выполнения скриптов в уязвимых папках сайта (images, tmp).
  7. Производим повторное окончательное тестирование, для избежания оставления следов вирусного заражения сайта.
  8. После завершения работ по установке защиты сайта предоставляем отчет о выполненных работах: список вылеченных файлов, внесенные изменения в настройки сайта и хостинга, а также рекомендации по безопасной работе с сайтом в будущем.

Работаем до результата:

Гарантия 1 месяц на данные работы

joomlahealth.ru

как вылечить сайт joomla от вирусов

В серии статей Защита Joomla мы уже рассмотрели различные способы и средства защиты Joomla от хакерских атак и вирусов. Но что делать, если ваш сайт уже заражен? Как его вылечить?

В этой статье приведено пошаговое руководство лечения сайта на Joomla от вирусов (приведенные шаги актуальны и для сайтов на других CMS). Выполните все шаги, и ваш сайт будет восстановлен.

Кто и зачем заражает сайты вирусами?

Предположим, что в один «прекрасный» день хостер или Яндекс.Вебмастер сообщили вам, что на вашем сайте обнаружены вредоносные скрипты. Первые мысли, которые приходят в голову после  такой новости: «Да как так? Почему мой сайт? У нас ведь маленькая компания. Кто? Конкуренты? Зачем? Как?».

Давайте, в первую очередь, разберемся в теоретических причинах заражения. Предположим, что у вас действительно не столь посещаемый сайт, чтобы заинтересовать хакеров (его посещают десятки – сотни человек ежедневно). Кто, зачем и как заразил ваш сайт?

Не стоит сразу перебирать врагов и конкурентов. Скорее всего, заражение вашего сайта – это случайность и опосредовано, виноваты в нем ВЫ (или веб-мастер, который отвечает за ваш сайт компании).

Вы спросите: «Каким образом?». Приведу пример из обычной жизни. Скоро зима. Ожидается эпидемия гриппа. Вам уже все уши прожужжали о необходимости прививки, гигиены, избегания многолюдных мест в пик эпидемии. Но вы решили: «Фу, ерунда какая! Уже столько лет живу и не болею без всяких там прививок и советов!» и проигнорировали все предостережения. Пришла зима. Вы заразились гриппом. Кого в этом винить? Человека, который чихнул на вас? Или, может быть, государство, которое насильно не вкололо вам вакцину? Или, все-таки, себя любимого?

С большой долей вероятности точно также получилось и с вашим сайтом.

Спросите себя:

Невыполнение хотя бы одного из этих трех пунктов уже подвергает ваш сайт высокому риску.

Дальше в дело вступает лотерея. Предположим, в один прекрасный день кто-то обнаружил уязвимость в Joomla. Он отправил информацию о ней разработчикам Joomla. Они исправили уязвимость и выпустили обновленную версию. Через некоторое время о найденной уязвимости становится известно широкой публике, в которой встречаются и не очень хорошие личности. Одна из таких личностей пишет паука – программу, которая сканирует интернет на предмет поиска необновлённых сайтов с этой уязвимостью и, находя их, использует уязвимость для взлома.

Ну, вот скажите мне, кто здесь виноват? Сначала неопытные веб-мастера нагружают сайт на Joomla десятком-другим сторонних расширений, потом передают такой сайт заказчику, берут оплату и удаляются. Заказчик не очень в теме по поводу обновлений и уязвимостей. Он работает с контентом сайта. Так проходит пара лет. Потом сайт находит паук, настроенный на эксплуатацию одной из свежих уязвимостей в одном из расширений Joomla, установленных на сайте. А потом заказчик и веб-мастер, который делал сайт, в два горла кричат, что Joomla – дырявый движок.

Конечно, нельзя исключать и целенаправленной хакерской атаки на ваш сайт, но вероятность такой атаки очень мала по сравнению с тем, что вы поймали паука. Я бы сказал, 1% против 99%. С ростом популярности, посещаемости и показателей вашего сайта вероятность будет смещаться в сторону хакерской атаки, но пока ваш сайт не содержит ничего особо ценного, хакеры не будут тратить на него время, т.к. их время стоит дороже.

В общем, наиболее вероятные первопричины заражения должны быть вам ясны. Можно вырвать у себя на голове пару клоков волос, пару раз удариться головой о стену со словами «#@@*$#!!!» (или ударить головой о стену веб-мастера, который обслуживал сайт =)) и после этого приступать к лечению сайта.

Мой сайт заражен. Что делать?

Ваш сайт заражен. Чтобы вылечить его, а предлагаю вам использовать инструкцию, состоящую из 10 шагов. Выполнять шаги нужно последовательно, а не в произвольном порядке.

Шаг 1. Резервная копия.

Если ваш сайт заражен, то по уровню халатности вы попадаете в одну из двух категорий:

  1. Я регулярно делаю резервные копии своего сайта / Я настроил регулярное резервное копирование на хостинге.
  2. Резервные копии? Ээээ… Что это?

Если вы попали в первую категорию, то у меня для вас хорошие новости: вам не придется лечить сайт от вирусов. Просто восстановите резервную копию и переходите к шагу 7.

Если же вы попадаете во вторую категорию, то придется попотеть, либо потратиться на специалиста. Кроме того, для вас есть и очень плохая новость:

При чистке сайта от вирусов нет, и не может быть никакой гарантии полного излечения.

Давайте разберемся почему.

Представим столь популярные нынче фильмы про зомби. Один человек стал зомби, потом он покусал другого, тот третьего и так заразилось половина планеты. Спустя некоторое время человечество опомнилось и уничтожило всех зараженных. Воцарился мир и спокойствие. Спустя еще некоторое время оказалось, что в каком-то глубоком темном подвале оставался еще один зараженный, которого не смогли обнаружить. И затем в этот подвал зашел здоровый человек…

Примерно такой же принцип в заражении сайта. Файлы сайта, коих несколько тысяч, могут быть изменены. Также могут быть добавлены новые файлы, с названиями, которые себя ничем не выдают. Вирус может записать себя в любые каталоги и файлы файловой структуры сайта. Потом сайт почистят от вирусов. Все зараженные файлы удалят. Но где гарантия, что один из таких файлов не будет упущен? Ее нет. А такой файл может, в конечном итоге, привести к повторному заражению всего сайта.

Всё это не значит, что нужно опустить руки и пойти делать новый сайт. Всё-таки, шаги, описанные далее, позволяют в высокой долей вероятности вычистить весь вредоносный код, до последней строчки.

Подведем итог шага 1.

Шаг 2. Создание копии сайта и первичная проверка.

Если вы читаете данный шаг, то поздравляю, ваша халатность на высоте. Но нужно и в этом искать плюсы. Вы научитесь лечить сайты, а также узнаете много нового о работе с ними. Эти знания, определенно, будут вам полезны, как владельцу сайта.

На данном этапе вам нужно создать локальную копию файловой структуры сайта. Создайте на хостинге архив с фалами сайта и скачайте его на свой компьютер. Если вы не знаете, как это делается, обратитесь в тех. поддержку хостинга с просьбой создать и выслать вам копию сайта.

Стандартный Joomla-сайт состоит из двух частей:

Вредоносный код может быть и в файлах и в базе данных, но всё-таки наиболее вероятно найти его в файлах.

После того, как вы скачали архив с файлами сайта и развернули у себя на локальном компьютере, проверьте его хорошим антивирусом, например Касперским. У антивирусных компаний есть бесплатные инструменты для разовых проверок. Воспользуйтесь одним из них:

Если у вас есть лицензионный обновленный антивирус на компьютере, то можете использовать его.

Антивирусы для операционных систем не предназначены для лечения сайтов, но, тем не менее, некоторую долю вирусов они могут обнаружить и удалить. Всё-таки, это наиболее профессиональные инструменты. Не стоит ими пренебрегать.

После проверки будет найдено несколько вирусов или не найдено ничего. Найденные зараженные файлы лечим (вручную отчищаем от вредоносного кода) или удаляем. Переходим к шагу 3.

Шаг 3. Проверка специализированными инструментами

На этом этапе разминка закончилась. Впереди рутиный и нудный труд.  Пришло время проверить зараженный сайт специализированным средствами поиска вредоносного кода.  К таковым относятся:

Советую использовать AiBolit, поскольку проект Manul закрыт Яндексом и более не обновляется.  По результатам проверки для вас будет сгенерирован отчет о подозрительных файлах и уязвимостях.

Проверка AiBolit.
  1. Скачиваете с официального сайта AiBolit для Windows.
  2. Копируйте файлы зараженного сайта в папку site.
  3. Запускаете файл start.bat.

По результатам будет сгенерирован файл отчета AI-BOLIT-REPORT.html

Проверка Manul.

Manul – это php-скрипт. Чтобы его запустить, нужен локальный web-сервер. Вы можете использовать для этих целей Open Server или Denwer. Далее следуйте инструкциям с официального сайта Manul.

Важно! Ни в коем случае не запускайте на локальном сервере зараженный сайт. Не вылеченные на данном этапе вредоносные скрипты могут размножиться.

После проверки сканерами, на руках у вас будет два отчета с подозрительными файлами.

Будьте уверены: многие из них являются вирусами или содержат вредоносный код.

Далее следует довольно нудный этап. Нужно вручную пройтись по всем подозрительным файлам и проверить код, расположенный в них. Зачастую вредоносный код выделяется форматированием из основного. Код Joomla стройный и не содержит ничего лишнего. Код вредоносных скриптов часто внедряется без форматирования. Посмотрите пример ниже.

Код вредоносного скрипта:

1

Код Joomla:

2

Подсказки:

Не бойтесь открывать зараженные php-файлы для просмотра через текстовый редактор. Пока не запущен интерпретатор PHP (локальный сервер, который может выполнить PHP-код), вирусы и вредоносные скрипты не представляют опасности.

Если зараженных файлов найдено слишком много, можно воспользоваться такой хитростью: уточните текущую версию Joomla на вашем сайте, скачайте именно эту версию с официального сайта. Скопируйте файлы скачанной версии в папку с зараженной, переписывая совпадения. Таким образом, вы сможете переписать большую часть зараженных файлов оригинальными. Аналогичным образом можно заменить файлы крупных расширений Joomla. Более подробно это описано в шаге 5.

Перед удалением зараженных файлов, аккуратно записывайте фрагменты кода вредоносных скриптов и названия файлов, в которых они найдены, в отдельный файл. Они понадобятся нам на следующих шагах.

Данный шаг может отнять много времени, а также может быть сложен для тех, кто не очень хорошо разбирается в PHP-коде. Общий совет: если сомневаетесь вредоносный перед вами скрипт или нет, считайте, что да. Не бойтесь удалять зараженные файлы Joomla и расширений. На следующих шагах мы их восстановим. Исключение составляют лишь файлы, находящиеся в каталоге используемого вами шаблона сайта. Их не получится восстановить и работать с ними нужно очень осторожно.

Когда все файлы из отчетов проверены/отчищены/удалены, проведите сканирование файловой структуры сайта повторно. Не должно быть найдено ничего. После этого можно переходить к шагу 4.

Шаг 4. Поиск повторений и работа с датами создания файлов.

Теперь пришла пора постепенно включать голову. Надеюсь, что вы последовали моему совету, на предыдущем шаге и копировали фрагменты кода вредоносных скриптов в отдельный файл.

Если вирус, которым заражен ваш сайт, писал не гений, а скорее всего это так, то от файла к файлу зараженные фрагменты кода должны, так или иначе, повторяться. Этим мы и воспользуемся для того чтобы найти то, что пропустили сканеры и антивирусы.

Для выполнения данного шага нам понадобится программа Total Commander или любая другая утилита, умеющая искать по файлам. Я все же советую использовать Total Commander.

Открыв файловую структуру сайта через Total Commander, переходим в Команды –> Поиск файлов…

Здесь нам интересны две вкладки.

Вкладка «Общие параметры»:

3

Позволяет указать текст, который нужно искать в файлах. У вас уже есть сохраненные фрагменты кода вируса. Смекаете? Выбираем фрагмент и ищем его повторения в файлах  по всей файловой системе сайта. Будьте уверены, что-то найдется. Далее проверяем найденные файлы, чистим/удаляем.

Вкладка «Дополнительно»:

4

Еще одна прекрасная возможность найти все зараженные файлы – использовать дату изменения файла. Посмотрите еще раз внимательно отчет AiBolit. Он показывает дату создания/изменения подозрительных файлов. Вероятнее всего все зараженные файлы были созданы примерно в недельный временной промежуток или даже в один день. Вычислите его, а затем задайте на вкладке Дополнительно этот промежуток или день. Так вы сможете определить все подозрительные файлы.

Данный способ не является полностью надежным, поскольку качественные вирусы могут изменять дату своего создания, но попробовать его, определенно, стоит. Мне он очень помогает.

После выполнения всех описанных действий можно выполнять шаг 5.

Шаг 5. Восстановление файловой структуры сайта.

К данному этапу файловая структура вашего сайта, скорее всего уже не содержит вирусов, но, она уже и не является работоспособной. Вы изменили и удалили множество файлов. Наверняка среди них были и «невинно погибшие». Теперь пришло время восстановить файловую структуру сайта, а заодно и выполнить еще один шаг по его отчистке.

Этапы тут следующие:

  1. Откройте админку зараженного сайта (старого, не отчищенного!) и перейдите в Расширения –> Менеджер расширений –> Управление.
  2. Перепишите себе все установленные сторонние расширения и их версии. Запишите версию Joomla.
  3. Скачайте Joomla заданной (не последней!) версии и все расширения заданных версий.
  4. Обновите вручную файловую структуру Joomla путем копированием скачанной версии с заменой.
  5. Обновите вручную файловую структуру расширений путем копирования с заменой.

Выполнив эти пункты, вы можете быть уверены, что все исполняемые файлы сайта чисты. Теоретически, зараженными могут остаться только файлы, которые были созданы вирусом и которые создали вы. Также, если у вас на сайте установлено несколько шаблонов Joomla, очень внимательно нужно проверить их файлы. Файлы шаблонов не перезаписываются при обновлении.

На данный момент, мы сделали всё, что было в наших силах, чтобы отчистить и восстановить файловую структуру сайта. Пришло время базы данных. Переходим к шагу 6.

Шаг 6. Чистка базы данных сайта.

Вредоносный код может содержаться не только в файлах сайта, но и в его базе данных. Чистить базу, в некоторой степени, сложнее, чем файловую структуру. Я бы выделил два этапа:

  1. Скачать дамп базы данных сайта и проверить его вручную. Вы можете скачать через PhpMyAdmin базу данных сайта в виде текстового файла и открыть ее через Nodepad++ или другой текстовый редактор. Данный файл желательно просмотреть на предмет присутствия странных фрагментов, проверить на наличие опасных элементов, таких, как iframe.
  2. В таблице #__users  базы данных сайта, найти всех пользователей с правами суперадминистратора и проверить, нет ли там посторонних.

После этого нужно развернуть и запустить сайт на локальном сервере (шаг 7).

Шаг 7. Тестовый запуск.

Поскольку я, в некоторой степени, параноик, советую на этом шаге запускать сайт на локальном сервере с отключенным интернетом.

Перед запуском нужно морально быть готовым к тому, что сайт запустится с ошибками. Возможно, вы удалили какой-то файл Joomla или расширения во время чистки, но при этом не восстановили его в дальнейшем. Ничего страшного в этом нет. Главное, чтобы запустилась админка. Если это произошло, делаем следующее:

  1. Обновляем Joomla до последней версии путем установки обновления через менеджер расширений Joomla.
  2. Обновляем  все расширения до последних версий путем установки обновлений через менеджер расширений Joomla.

После этого сайт должен работать корректно и без ошибок. Если что-то осталось, исправляем вручную и переходим к шагу 8.

Шаг 8. Смена всех паролей.

Изменяем:

На этом всё, ваш сайт отчищен. Осталось убедиться, что уязвимость, которая привела к заражению, закрыта.

Шаг 9. Анализ и устранение причин заражения

Снова включаем голову (да знаю, она у вас уже устала и ничего не соображает). Что же всё-таки привело к заражению? В начале статьи я дал пару мыслей на этот счет.

Постарайтесь понять, где на вашем сайте могут быть уязвимости. Не обязательно быть большим специалистом. Важно просто здраво мыслить.

Советую проверить домашний компьютер на вирусы, а также обратить внимание на хостинг, на котором размещен сайт. Какие о нем отзывы в интернете? Быть может, причиной заражения стал плохо настроенный сервер.

Также почитайте информацию о расширениях Joomla, которые вы используете на сайте. Какое-то из них может быть уязвимым.

Если вы видите какие-то, пусть даже теоретические причины заражения, то будет правильным избавиться от них до перезапуска сайта.

Шаг 10. Запуск сайта и отслеживание изменений.

Если вы дошли до этого шага, то поздравляю! Это большой путь. Теперь вы гораздо больше знаете о сайтах и их безопасности. Полностью удалите с хостинга зараженную копию сайта и перенесите туда отчищенную. Также замените базу данных, если вы вносили в нее изменения.

Первую неделю я советую отслеживать изменения в файловой системе на предмет повторного появления вируса. Вероятность того, что какой-то из зараженных файлов всё-таки остался, всегда существует.

Если ничего не помогает.

Но что делать, если даже после чистки и восстановления сайта вирусы появляются вновь? Здесь есть два варианта:

  1. Вы можете отдать уже отчищенную копию специалистам по безопасности, чтобы они проверили ее на предмет того, что упущено вами.
  2. Вы можете создать новый сайт (в некоторых случаях это может быть дешевле), но надеюсь, что до этого, всё-таки, не дойдет.

Главный вывод.

Надеюсь, данная статья помогла вам вылечить сайт от вирусов или, по крайней мере, дала большее представления о безопасности, возможных уязвимостях и способах их устранения.

Главное, что нужно делать, чтобы не оказаться один на один с взломанным сайтом – регулярное резервное копирование. Позаботьтесь о том, чтобы у вас на компьютере хранилась хотя бы одна резервная копия за каждый месяц, и спите спокойно ;-).

Понравилась статья? Сохраните себе на стену:

Ваша оценка материала очень важна для нас. Просим вас оценить статью или оставить отзыв в комментариях.

Категория: КАК лечить

Похожие статьи:

Как быстро вылечить синусит?

Зеленые сопли у детей - чем вылечить быстро и эффективно

Как быстро вылечить горло у ребенка в домашних условиях

Как вылечить персонажа в Симс 4

Как вылечить синяк под глазом: эффективные способы

medic-doctors.ru

Восемь Бит - Интернет бюро

Введение

Часто можно увидеть в сети: сайт работал нормально и вдруг начал работать, как дворник с похмелья, хостер пишет гневные письма, поисковики обходят сайт стороной, а браузеры блокируют предупреждением «Имеется информация, что этот сайт атакует компьютеры!»

Откуда же берутся вирусы?

Самая распространённая на сегодня причина — это использование quickstart (quickstart это установочный архив, позволяющий в несколько минут развернуть точную копию сайта, со всеми расширениями), как правило, скачанного с варезных ресурсов; квикстарта, купленного у разработчика, разумеется, можно не бояться. Очень удобно, не нужно мучатся с дизайном, установкой расширений, настройкой сайта. Правда, зачастую вместе с сайтом можно получить набор скриптов, дающих контроль над вашим ресурсом, таких как рассылка спама, «раздача» вирусов или размещение невидимых ссылок на сторонние ресурсы (черный SEO).

Для чего варезные ресурсы включают backdoor (от англ. back door — «чёрный ход») в архив? Как правило, варезные ресурсы живут за счет отчислений за каждое скачивание от файлообменников, а те, в свою очередь, показом рекламы и платными подписками, позволяющими увеличить скорость загрузки, которая для простых пользователей обычно ограничена. Но многим этого кажется мало, тем более когда есть возможность управлять сотнями и даже тысячами сайтов. Если уж хотите использовать quickstart, то купите его у разработчика, тем более его стоимость в среднем составляет 30-50 долларов, что, в общем, недорого даже при нынешнем курсе.

На второе место можно поставить взлом CMS через уязвимости, причем с защищённостью движков все в порядке, причина банальна – пользователи не устанавливают обновления. Кто-то боится, что после обновления «слетит» сайт, кому-то просто лень, или студия разработала сайт и передала его заказчику. Заказчик поручил вести сайт одному из сотрудников, и тот исправно наполняет его по инструкции, а обновление в его функции не входит…

Так одной из возможных причин утечки «Панамского архива» специалисты называют устаревшие CMS - Drupal, содержавший на момент взлома не менее 25 уязвимостей, и WordPress 4.1 с уязвимым плагином.

Ищем черный ход

Можно встретить рекомендации, что вылечить сайт можно, если загрузить копию сайта себе на компьютер и проверить обычным антивирусом. К сожалению, этот метод малоэффективен.

Во-первых, антивирус ищет вредоносы именно для ПК, сколько бы Вы не размещали на своем компьютере backdoor на php, заразить его (ПК) не удастся.

Во-вторых, это может быть короткий кусочек кода (обычно зашифрованный), который подгружает вредоносные скрипты с другого ресурса, а раз так, то искать его у себя бесполезно.

Можно пойти разными путями.

Первый вариант

Поскольку сайт содержит несколько тысяч файлов, то поиск измененных или «лишних» может занять довольно много времени, а результат неутешительным – после лечения на ресурсе через некоторое время снова появляются «левые» ссылки.

Ставим чистую Joomla (или другую CMS), устанавливаем шаблон, все компоненты, модули, плагины, что стояли на вашем сайте. Переносим все изображения со старого сайта, директория images, предварительно проверив, чтобы в ней не оставалось никаких файлов, кроме изображений, в том числе и во внутренних директориях. В случае если у вас установлен компонент K2, то изображения будут находиться в директории media/k2/items/cache/.

Внимание! Не лишним будет проверить наличие изображений с явно рандомным названием, как i2495mg.gif, обычно в таких изображениях прячется исполняемый код.

Подключаем старую базу. Вредоносные скрипты практически никогда ничего не пишут в базу, и даже если это не так, то скрипты для доступа к базе сейчас отсутствуют, также по названию таблиц можно определить, к чему они относятся, и вручную удалить лишние.

Подключаем базу со старого сайта

Экспортируем базу. Заходим на хостинге в phpmyadmin, выбираем в столбце слева нужную базу и переходим во вкладку «Экспорт». Нажимаем «Выделить все», можно поставить сжатие zip, и в самом низу страницы нажимаем «Ок». Сохраняем базу на свой ПК. Заходим в phpmyadmin, создаем новую базу, переходим в нее, открываем вкладку импорт и указываем путь к скачанному дампу. Теперь осталось подправить configuration.php, который находится в корне каталога, открываем его любым редактором. Например, Notepad .

public $db = 'base';         - вместо base указываем свое имя базы;

public $user = 'root';   - если вы не меняли имя пользователя на локальном сервере, то оставляем как есть;

public $password = '';    - на локальном сервере обычно стоит пустой пароль, тоже оставляем.

Сохраняем изменения, проверяем работу сайта.

Второй вариант

Если у вас достаточно опыта, то можно включить просмотр исходного кода и посмотреть, присутствует ли «чужие» ссылки, далее посмотреть, например через firebug, откуда они берутся. Как правило, они зашифрованы и, как правило, алгоритмом base64.

Если опыта не хватает, то можно воспользоваться онлайн-сервисом, самый простой вариант – в кабинете вебмастера Яндекс или Гугл либо веб-сканер https://rescan.pro/. Я больше склоняюсь к ручному просмотру кода страницы, хотя, конечно, стоит признать, что всевозможные скрипты и сканеры заметно ускоряют работу.

Пример по поиску «левых»​ ссылок

Для примера я взял квикстарт с одного из варезных ресурсов. Нажимаем Ctrl F5 для просмотра исходного кода, даже при беглом просмотре сразу находим:

Переключаем в административной панели шаблон сайта на стандартный, ссылки исчезли, значит, код прописан в варезном шаблоне, там и будем искать.

Открываем Notepad , нажимаем Ctrl F, переходим во вкладку «Найти в файлах», указываем директорию шаблона, а в строке поиска искомое, в данном случае "sa_wqngs". Нажимаем «Найти все». Поиск находит два совпадения.

Удаляем строки, обновляем страницу, строки с ссылками не исчезли, а поскольку я раньше не нашел прямых ссылок, значит, код зашифрован.

Запускаем новый поиск, теперь по «base64» и видим в коде шаблона:

Удаляем строки 174, 184, 186 (код комментировать не буду, кто хочет, может найти описание в сети). Снова обновляем страницу с исходным кодом, ссылки исчезли. Также проходим все результаты поиска с «base64», к слову, подобных вставок в шаблоне нашлось с десяток. Тут хорошо помогает сортировка по времени, так если большинство файлов шаблона датированы, предположим, 1 мая 2014 года, то файлы, изменённые, скажем, восемь месяцев спустя по меньшей мере подозрительны. 

Для чего обновлять сайт?

В наше время «злобные хакеры» не ломают сайты вручную, если, конечно, это не крупный портал или база конфиденциальной информации. Взломы давно поставлены на конвейер. Для этого написаны боты (скрипты), которые перебирают в сети все сайты на популярных CMS, после чего пытаются применить библиотеку уязвимостей, удачное внедрение отправляется в отчет. Соответственно, как только появляется новая уязвимость, она сразу же добавляется в библиотеку.

Вроде бы элементарно, все современные CMS прямо в административной панели сообщают – вышли новые версии и нужно обновить, но очень часто приходится встречать сайты, которые не обновлялись больше года. 

Используем сканер 

Конечно, вручную не всегда удается найти некоторые «сюрпризы», так, возможно, вы вовремя не обновили систему или расширения, и на сайт был установлен backdoor... Сейчас существует множество сканеров, один из них AI-Bolit. К тому же он бесплатен для некоммерческого использования. 

Используем его для «экспериментального» сайта, где я искал «лишние» ссылки. Как им пользоваться, хорошо документировано на официальном ресурсе, поэтому не буду дублировать информацию.

По результатам экспресс-проверки я получил сообщение о двух уязвимостях. Первая сообщала об устаревшей версии движка, это, в общем, я и так знал.

Вторая говорила об уязвимости в administrator/components/com_k2/lib/elfinder/elFinder.class.php - AFU : elFinder. Возможно, причина в том, что компонент тоже устарел.

На всякий случай я скачал последнюю версию компонента с официального сайта и сравнил версию, на который жаловался сканер, со свежескачанной. Для этого удобно использовать плагин для Notepad , Compare. Как и предполагалось, отличие состояло только в версиях.

Сидим в засаде 

На этом проверку можно было бы и завершить, но на всякий случай я решил почувствовать себя параноиком. Один из верных способов - посмотреть, какие пакеты ваш сайт засылает в сеть. Ставим Wireshark, он также хорошо задокументирован на сайте разработчика. Переходим по страницам сайта, действительно, сайт обращается к сети, но тут ничего страшного. Идет подгрузка шрифтов с Google Fonts, видео с YouTube… 

Занавес 

Этот материал, конечно, не подробная инструкция по «лечению» сайтов, а лишь небольшое руководство к действию. Дорогу осилит идущий...

Конечно, неплохо поставить элементарные средства защиты, но об этом уже в следующей части.

www.xn----btbbmrvmyo0h.xn--p1ai

Лечение сайта от вирусов joomla

Лечение сайта от вирусов joomlaБлагодаря ПК сегодня наша жизнь стала намного легче и удобнее. Мы уже не можем представить себе жизнь без преимуществ работы во всемирной паутине и применения технических девайсов. Однако имеется у всего этого и отрицательная сторона. То есть вирусы. К огромному сожалению, трудно защитить сайт от них. Но наша профессиональная команда готова помочь вам в решении этого вопроса. Только специалисты с опытом могут провести эффективное лечение сайта от вирусов cms joomla.

Таким образом, для ведения собственного дела, наличие портала имеет важное значение. Однако вследствие возникновения на нем вирусов вероятно появятся и проблемы с работой сайта. К тому же вы можете потерять ценные данные. В этом случае вам нужно будет обратиться к нам и мы всё исправим в короткие сроки. Не нужно пытаться самостоятельно удалить все вирусы, так как это может привести к плачевным ситуациям. Намного лучше обращаться к специалистам в этой области, которые отлично знают свое дело.

ЦЕНЫ:

Услуга Цена
Лечение сайта от 3500 руб.

Почему стоит доверить лечение вирусов на сайте профессиональной команде FireSeo?

Это из-за того, что вредоносный код имеется в системе неавтономно. С помощью обыкновенного сканера проверки на вирусы невозможно выявить такие вирусы. Во время удаления подобного кода могут удалиться и важнейшие документы с информацией, а это может привести к негативным последствиям работы сайта.

Почему мы?

Эффективное лечение вирусовБлагодаря слаженной работе специалистов можно вылечить сайт от вредоносных вирусов и выполнить многое другое, а также провести мероприятия для предотвращения их возникновения. Проверка вирусов на сайте это недорого и является главнейшим этапом работы профессионалов. Применение антивирусного «монитора» и иной утилиты, программы и приложения дают возможность исправить любой тип неисправности в работе сайта.

Таким образом, если Вам необходимо удаление сайтов от вирусов, тогда обращайтесь к специалистам компании FireSeo. Тут вы сможете найти профессиональных сотрудников, которые безупречно справятся с любыми работами такого типа.

Антивирусная безопасность является главнейшим правилом для любого, у кого имеется собственный портал. Если Вы не желаете появления непредвиденной ситуации, хотите, чтобы Ваш сайт бесперебойно работал, то займитесь поиском квалифицированных специалистов, которые смогут провести проверку и удалить вирусы с вашего сайта.

Оставьте ваш телефон, и мы свяжемся с вами в течение 15 минут!

Please leave this field empty.

 Настоящим подтверждаю, что я ознакомлен и согласен с условиями политики конфиденциальности на отправку данных.Подробнее.

Индивидуальный Предприниматель Джунусов Роман Олегович (далее ИП Джунусов Р. О.) собирает информацию, когда вы регистрируетесь на сайте, заходите на свой аккаунт, оформляете заявку (или совершаете покупку), участвуете в акции и/или выходите из аккаунта. Информация включает ваше имя, адрес электронной почты, номер телефона и данные по кредитной карте.ИП Джунусов Р. О. является единственным владельцем информации, собранной на данном сайте. Ваши личные данные не будут проданы или каким-либо образом переданы третьим лицам по каким-либо причинам, за исключением необходимых данных для выполнения запроса или транзакции, например, при отправке заказа.Мы не продаем, не обмениваем и не передаем личные данные сторонним компаниям.Также я разрешаю ИП Джунусову Р. О. в целях информирования о товарах, работах, услугах осуществлять обработку вышеперечисленных персональных данных и направлять на указанный мною адрес электронной почты и/или на номер мобильного телефона рекламу и информацию о товарах, работах, услугах ИП Джунусову Р. О. и его партнеров. Согласие может быть отозвано мною в любой момент путем направления письменного уведомления по адресу ИП Джунусову Р. О.

Составим коммерческое предложение для вас за 1 час.

fireseo.ru

Этапы лечения - Лечение и защита сайтов на CMS Joomla от вирусов и взломов с гарантией

  1. Обязательно надо предоставить мне следующие данные: логин и пароль к административной части сайта с правами суперадминистратора, данные для внешнего доступа к сайту по FTP (хост, логин и пароль).
  2. Устанавливаем на сайт (если нет) компонент архивного копирования сайта и базы данных. Создаю и скачиваю полный архив на свой сервер для изучения.
  3. Устанавливаем специальный компонент для поиска уязвимостей и зараженийи защиты на ваш сайт (фаервол).
  4. Анализируем копию специальными программами локально и на вашем сайте. Анализирую логи вашего сайта. Проводится сканирование файлов сайта на наличие вирусов, веб-шеллов, бэкдоров, спам-расыльщиков, фишинговых страниц, дорвей-страниц и других вредоносных и хакерских скриптов. Выполняется диагностика страниц сайта сканером для определения мобильных и поисковых редиректов, опасных виджетов и кодов недобросовестных рекламных сетей. Проверяется база данных на наличие хакерских вставок и вирусных инжектов.
  5. Устраняем заражения на вашем сайте (файлы и база данных).Обнаруженные вредоносные фрагменты и хакерские скрипты аккуратно удаляются, сохраняя работоспособность сайта. Только ручное удаление вирусного кода.
  6. Устраняем уязвимости, позволившим вас атаковать. "Цементирую" сайт от будущих атак. Устанавливаю надежный фаервол для сайта. Устанавливаю эффективную защиту от взлома, которая исключает повторный взлом и заражение. Защита состоит из двух основных элементов: «цементирования» и «проактивной защиты». Выставляю правильные права для всех папок и файлов вашего сайта, закрываю возможность выполнения скриптов в уязвимых папках сайта (images, tmp).
  7. Производим повторное окончательное тестирование, для избежания оставления следов вирусного заражения сайта.
  8. После завершения работ по установке защиты сайта предоставляем отчет о выполненных работах: список вылеченных файлов, внесенные изменения в настройки сайта и хостинга, а также рекомендации по безопасной работе с сайтом в будущем.

Работаем до результата:

Гарантия 1 месяц на данные работы

joomlahack.ru

Лечение и защита сайтов на CMS Joomla от вирусов и взломов с гарантией. Студия WebTend г. Екатеринбург

Ответы на часто задаваемые вопросы

Мы посталались ответить на очень часто задаваемые вопросы. Если похожего вопроса нет, задайте его на мейл: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Лечение сайтов от вирусов с защитой и гарантией

joomlahealth.ru

Лечение сайта от вирусов joomla- ОПЕРАТИВНО!

Современные компьютерные технологии и Интернет существенно улучшили нашу жизнь – теперь мы можем работать, развлекаться, и даже совершать покупки, не выходя при этом из собственной комнаты. Впрочем, на любое хорошее начинание всегда находится и плохое – хитрые хакеры сначала добрались до программного обеспечения, а затем придумали специальные вирусы и для страниц во всемирной сети. Владельцам сайтов все чаще приходится искать решение этой проблемы.оперативное лечение сайта от вирусов joomlaЧем опасны вирусы на сайте Joomla?Joomla считается одним из наиболее популярных движков для современных сайтов. Очень многие ресурсы, которые ежедневно посещаете и вы, основаны именно на этой системе. Через сохраненные пароли и FTP-соединение вредоносный код заражает один сайт, а от него – и все остальные, расположенные на том же хостинге. Последствия заражения могут выражаться в таких негативных проявлениях:• замедленная работа сайта, его перегрузка при отсутствии реальных посетителей;• утечка личных данных пользователей, включая логины и пароли, что может привести к нелегальному использованию аккаунтов;• сайт может рассылать спам;• сайт заблокирован поисковыми системами;• полное прекращение работы сайта.Любое из перечисленных проявлений вируса способно сильно усложнить жизнь владельцу сайта. С частично работающего ресурса будет происходить отток посетителей, а при утечке паролей, особенно, если сайт непосредственно связан с реальными деньгами и виртуальными счетами, хозяин ресурса может столкнуться с серьезными юридическими проблемами. Совершенно очевидно, что лучше всего было бы изначально защитить ресурс всеми возможными методами, чтобы избежать заражения, но если оно уже произошло – необходимо обращаться к специалистам за лечением.

Как происходит лечение?

Вылечить сайт на джумла от вирусовУвы, обыкновенными пользовательскими антивирусами здесь отделаться не удастся – хотя бы потому, что сайт не локализован на одном компьютере, он является достоянием некой сети, и даже при полном устранении проблемы не будет лишним обнаружить дыру в защите, через которую произошло заражение. В противном случае проникновение опасного кода может повториться.У специалистов по решению подобных вопросов вся процедура обычно занимает не более нескольких часов. Важно вовремя обратиться за помощью, иначе сайт может быть разрушен до основания, и тогда его придется восстанавливать с нуля. Для более быстрого восстановления рекомендуется специально хранить отдельную резервную копию ресурса в рабочем виде.

Для лечения от Вас потребуется

1. Доступ в админ панель управления сайтом2. Доступ FTP к хостингу

 

 

Оставьте сейчас заявку на консультацию специалиста по очистке Вашего сайта от вирусов

 

 

 

 

www.nitrosky.ru


Prostoy-Site | Все права защищены © 2018 | Карта сайта