Предупредить, найти и удалить вредоносный код на сайте

От беды такой ни кто не застрахован, но «предупрежден – значит вооружен» – не пора ли вооружаться…?!

Предупредить,найти и удалить вредоносный код!

В последнее время с опаской захожу в гости на сайты своих посетителей – Avast громогласно, нежным женским голосом пока предупреждает: «Вирусная атака заблокирована!» (скоро, глядишь, ругаться начнет!).
Да и в браузере частенько натыкаюсь на предупреждение: «Этот сайт может угрожать безопасности вашего компьютера».

вредоносный код на сайте

Где мы ЭТО находим или кто нас ЭТИМ одаривает? Всех секретов не ведаю, но тем, что знаю – поделюсь.

Основные виновники появления вредоносного кода на сайте – сами владельцы сайтов! Незнание законов не освобождает от последствий их неисполнения!

1. Нельзя хранить свои пароли в компьютере, в памяти программы «ftp-клиент»

2. Нельзя разрешать браузеру запоминать данные для входа на сайты (пароль, логин)

3. Нельзя (не рекомендуется!) использовать в качестве пароля – имена, даты, читаемые фразы

4. Нельзя работать в админ-панели сайта или активировать ftp-соединение с отключенным или вообще не установленным антивирусом

5. Нельзя ставить себе на сайт сторонний код, не убедившись хотя бы визуально в его «порядочности» – если в коде есть ссылки, проверьте, куда и зачем они ведут.

6. Не рекомендуется при публикации или редактировании статьи копировать текст и вставлять его непосредственно из документа Office Word – вставляйте в редактор “как простой текст” (кнопка)

О последствиях заражения сайта Вы, очевидно, знаете – в результатах поиска вывешивается предупреждение о том, что на сайт заходить опасно:
«Туда не ходи – сюда ходи…!»
Посещаемость резко падает, а если администратор в течение длительного времени не удалит вредоносный код, поисковые машины могут расценить это как – «заброшенный» сайт или умышленно зараженный владельцем ресурс. В итоге – восстановить свое «доброе имя» и хорошие позиции будет очень и очень сложно.

 

Для того чтобы быть в курсе всех событий обязательно зарегистрируйтесь в панели Гугл вебмастер  и Яндекс вебмастер  , зайдите в «Настройки» и включите «Доставку сообщений» на эл. почту. В панели Яндекса можно еще выбрать – какие сообщения высылать, а какие просто сохранять в базе переписки.

Как выглядит, можно ли найти и как удалить вредоносный код самостоятельно?

Я, честно говоря, видел сам своими глазами пока только один (фото – 1).

Находился он в файле «шапки» (Заголовок – header.php) выбранного и скаченного шаблона, нашел код плагин ТАС  .

 

vredonosnyi kod na saite

фото – 1 – нажмите для увеличения

Советы по материалам, опубликованным в Интернете:

- следует обращать особое внимание на коды, которые Вы сами не добавляли

- тэги script, в которые заключены ссылки на неизвестные Вам ресурсы; текст в которых запутан или зашифрован (фото – 1)

- скрипты, представленные как счетчики или баннеры, но так же с непонятным, запутанным кодом или с внешними ссылками на неизвестные Вам сайты

- странные ссылки или элементы, оставленные в комментариях

Есть еще много различных рекомендаций с указанием тэгов, расширений, переменных и пр., но если Вы новичок – разобраться в этом непросто.

А что все- таки можно и нужно предпринять на первом этапе лечения, если уж пришла такая беда…?!

- проверяем свой компьютер на вирусы (желательно различными антивирусными программами)

- меняем все пароли – хостинг, админ-панель сайта, FTP-доступ. И никогда их больше не сохраняем в браузере – вводим каждый раз руками!

- в панели вебмастера Яндекс и Гугл знакомимся с подсказками и уведомлениями по поводу зараженных страниц

- проверяем сайт на «бан» от Гугл seobuilding.ru/google-banned.php

- проверяем сайт сканером sitecheck.sucuri.net/scanner

- для самостоятельного поиска вредоносного кода в файлах можно зайти на хостинг через FTP и упорядочить файлы по дате изменения (не забудьте сделать копию сайта!)

- можно просмотреть код страницы в Гугл вебмастер – «диагностика» – «Просмотреть как Googlebot» – и сравнить его с оригинальным кодом, отметить сторонние коды и выяснить, откуда они и зачем

- скачиваем файлы и базу данных сайта (через FTP) в компьютер и проверяем антивирусами

 Удаляйте подозрительные коды, если Вы уверены в своих действиях

Если не получается вылечить свой сайт своими руками, обращайтесь за помощью – на форумы, к фрилансерам, на свой хостинг… Только не тяните со временем, помните – Ваш сайт не рекомендован для просмотра и поисковые машины ждут от Вас активных действий!

Всем удачной и безопасной работы! 

Не забывайте про защиту сайта от взлома! 

До встречи!

 

Не пропускайте новости – подпишитесь

 
Автор: Сергей Бондин

 





Метки записи: ,
Похожие записи:
Оставить комментарий
  1. Друзья, если Вам действительно понравился материал – не забывайте, пожалуйста, кнопку Гугл +1 – в конце поста, посоветуйте другим

    Если Вы заметили неточность или ошибки в публикации, если Вы не согласны с автором – просьба указать в своем комментарии

    ...

  2. Статья как раз к стати у меня сайт , что то начал тормозить статьи не сохраняются и даже исчезают. Удачи вам.

    ...

  3. Я честно, уже устала от этих проблем. 2 раза лечила свой сайт по рукоделию от вредоносного кода, теперь новенький (кулинарный) сайт попал в такую же ловушку. Заодно заметила, что уж больно много на нем внешних ссылок. Пока решила поковыряться в файле футера – сломала сайт. Пришлось делать откат. Теперь ищу новую тему для сайта :(

    ...

    admin Ответил(а):

    Перед чисткой подвала можно просто скопировать и сохранить его первоначальный код.
    Неудачно отрезали – всегда можно вернуть оригинал.

    ...

    Ирина Ответил(а):

    @admin, я так и сделала…в результате даже изначальный футер, который я вставила обратно не помог. Более того, я нашла интересную тему, активировала ее и сайт не просто пропал..он исчез. Вместо красочной картинки был белый лист. Откат уже не помог. Догадалась через фтп подключиться к хостингу и удалила с сайта бракованную тему. Когда снова попыталась зайти на сайт – снова стояла старая темка…Так что берегите плоды трудов своих.

    ...

    admin Ответил(а):

    @Ирина, я догадываюсь какой шаблон выдал Вам чистый, белый лист…
    Там немного другие настройки – шаблон нужно включить.

    ...

    Наталья Самолюк Ответил(а):

    @admin, Не всегда откат помогает. В закодированных темах этот номер не проходит, бесполезно, только удаление темы через FTP.

    ...

    admin Ответил(а):

    @Наталья, был уже у нас где-то в комментариях об этом разговор.
    Фатальная ошибка – нужно удалять шаблон через ftp. Но есть шаблоны (буржунет) которые после установки не включены, обычно в папке темы идет текстовый документ.

    ...

  4. Для меня лично очень сложно понять, что код в каком-либо шаблоне или коде чего-либо ПЛОХОЙ. Ну в шаблоне мы с Вашей, Сергей, помощью уже научились. Теперь надо учиться в других местах распознавать. В вебмастере Яндекса и Гугла зарегистрирована. Они к счастью пока ничего не выявили.

    ...

  5. Как сложно быть сайтовладельцем, столько всяких вещей надо знать. Но самое печальное, что пока во всем научишься разбираться столько времени надо потратить.

    ...

    Кристина Ответил(а):

    @Оксана, Что правда, то правда. Время улетает очень быстро.

    ...

    admin Ответил(а):

    @Оксана, Кристина, полностью с Вами согласен
    Но, сами понимаете – даже забивать обыкновенные гвозди аккуратно, быстро, красиво и главное – куда нужно – получается не сразу

    ...

  6. Вредоносный код надо убивать как можно быстрее. У меня на развлекательном сайте за два дня с таким кодом половина страниц из индекса вылетила, а теперь второй месяц уже не может вернуться. По 2-3 станички в день добавляется.

    ...

  7. Ой, Сергей, как-то всё это сложнооооооооо….А вопрос – всегда ли эти вредоносные коды такие большие, как на фото у Вас? (так их, думаю, легче заметить)..или могут быть в одну строку?

    ...

    admin Ответил(а):

    @Наталья, я и говорю – этот я видел своими глазами, про другие пока ничего не скажу…

    ...

    Наталья Ответил(а):

    Сергей, а вопрос такой есть: можно ли хранить пароли в расширении “блокнот” и оттуда копировать при заходе на сайт…или это приравнивается к тому, что пароли сохранены в инете?

    ...

    admin Ответил(а):

    @Наталья, ну вот интересно – если в блокноте, то это не компе?
    Я не говорил НЕ хранить в Инете – НЕ хранить в компе!
    Хотя, при вкл Интернете это одно и тоже – компьютер попадает в Инет вместе со всеми блокнотами, папками и файлами.
    Храним все на бумажке или в голове!
    ——————
    А из блокнота Хрома разве можно копировать?

    ...

    Наталья Ответил(а):

    О, ужас! это так удобно!!!!!!!!!!! Да, можно копировать!

    ...

    admin Ответил(а):

    У меня не копировал и я им не пользуюсь.
    Удобно..?! – ну и вирусу удобно будет списать все данные и отправить своему хозяину.

    ...

    Наталья Ответил(а):

    А у вируса всегда есть хозяин? Сергей, вирус дело сугубо мошенническое что ли? сам по себе не может?:)

    ...

    admin Ответил(а):

    @Наталья, по идее – вирус создают люди, антивирус – они-же…
    Но в наше время интеллектуальных компьютеров – все возможно… Не зря сняты фильмы про восстание машин!

    ...

  8. Я прежде чем установить тему, проверяю ее на наличие вот такого вредоносного кода как на фото, он может быть не только в заголовке, я сталкивалась и в footer.php и functions.php. Еще его могут установить в подвале и дублировать в функциях темы. Удалять бездумно коды, не советую, так как если тема закодирована, то все может полететь, не разбирающийся в таких тонкостях человек может растеряться. Антивирус обязательно нужен, и не просто пиратская оболочка, а настоящий лицензионный. Если жаль денег, то из бесплатных самый лучший Avast. У меня стоит Каспер только ему доверяю.

    ...

  9. Спасибо за советы, возьму на заметку.

    ...

  10. Я уже писала об этом в комментарии к другой статье, но напишу ещё раз. Не всегда можно определить вредоносный код по внешнему виду. Визуально он может быть совершенно понятным и корректным. Я сталкивалась с такой проблемой. В погоне за заработком я поставила код счетчика от сайта traffbiz.ru Вполне понятный. Но через 3 дня Яндекс заблокировал мой сайт, известив, что установлен вредоносный код и сайт этот мне обозначил. Сама бы я не догадалась, что этот код может быть вредоносным.Пришлось делать откат. На мои возмущения,служба трафбиза ответила, что у них все нормально и с Яндексом у них уже урегулированны эти вопросы и существует договоренность о принятии такого кода. А после посещения сайта “Вебпроверка” я узнала, что таких как я очень много. Поэтому прежде чем ставить что-то на свой сайт 10 раз всё проверьте.

    ...

    admin Ответил(а):

    @Ирина, счетчики, партнерские, рекламные баннеры часто взламывают, так что при установке на сайт чего-то подобного, лучше всего сделать бэкап до установки, пометить его и некоторое время не добавлять другие коды (многие ставят сразу оптом – найди потом зараженный…)
    Возникнет проблема – проще найти, откуда она пришла.

    ...

  11. С удачным Вас началом!
    Сайт есть, идея есть, осталось воплотить идею! Удачи!
    Заходите в гости

    ...

    admin Ответил(а):

    @Мария, здравствуйте!
    Ссылки еще не поправили свои? Про это здесь – http://sabsait.ru/pervye-shagi/pyat-xoroshix-plaginov-dlya-sajta-na-wordpress.html/ – плагин RusToLat и настройки ЧПУ.
    Будут проблемы – пишите

    ...

  12. Христос Воскрес!Счастья, добра, любви, процветания хозяину сайта Сергею и всем его друзьям!

    ...

    admin Ответил(а):

    Спасибо, Ирина!
    Вам всего самого хорошего!

    ...

  13. Спасибо за полезные советы!

    ...

  14. Как страшно… Надо это переварить и понять, что не все так страшно… Спасибо, Сергей, ваш ресурс ставлю в закладки, в группу “Спасатели”.

    ...

    admin Ответил(а):

    @Светлана, спасибо за отзыв!
    Тогда уж лучше подписаться, в закладках много чего сохранено…
    http://sabsait.ru/podpiska/vy-ne-naprasno-zashli.html/

    ...

  15. Очень интересная и нужная статья. Благодарю! Пошла пописываться на рассылку и в закладки вас!

    ...

    admin Ответил(а):

    @Светлана, Вам письмо в почте, проверяйте папку СПАМ

    ...

  16. Сергей! Я стала Яндексом.Вебмастером проверять сайт, так как яндекс у меня проиндексировал только 2 страницы. А он пишет вот
    Внимание! Главная страница сайта исключена из индекса: Документ содержит мета-тег noindex ну и что его надо удалить, а я не знаю,что это такое
    И еще раз благодарю за плагин, Ссылки все выровнялись.

    ...

    admin Ответил(а):

    @Светлана, некоторые рубрики, страницы и записи у Вас на русском языке – не до конца исправили ссылки!
    http://sabsait.ru/pervye-shagi/pyat-xoroshix-plaginov-dlya-sajta-na-wordpress.html/
    Яндекс – как раз главную он и проиндексировал!
    Внимательнее читаем предупреждение и каким числом оно прислано?

    ...

  17. Сергей, спасибо вам за внимание к моему сайту. А у вас все, как всегда, понятно, интересно и очень полезно. Сама правлю эти коды и на данный момент в шаблоне имею два, не зловредных, правда, просто, чужих. Избавиться никак не могу.Они даже не в подвале.Хитро упрятаны ниже, в фоне.

    ...

    admin Ответил(а):

    @Татьяна, если ссылка есть – значит найти ее можно. Главное чтоб шаблон не развалился без нее.

    ...

  18. Спасибо ,Сергей, буду осваивать

    ...

    admin Ответил(а):

    Удачи, Алена!

    ...

    ВИА грА Ответил(а):

    Добавил в закладки. Теперь буду почаще читать!

    ...

  19. Я читала, что наоборот, пароли вводить постоянно не рекомендуется, желательно где-то записать, а потом “копировать”

    ...

    admin Ответил(а):

    @Александра, первый раз слышу такую рекомендацию…
    Хранить пароль на компьютере вообще не рекомендуется – только на бумаге. А скопировать можно только если он на компе.
    Если заведется вирус, он может с таким же успехом скопировать все ваши данные.

    ...

    Александра Ответил(а):

    @admin, Читала, что есть какой-то вредоносный код, который “запоминает”, какие буквы-цифры нажимаются. Знаю, что на компе хранить пароли нельзя, но пока они все в почте.

    ...

    admin Ответил(а):

    @Александра, возможно и есть, но если пароль копируете он уходит в буфер обмена – такая же история.
    Пароли в почте, а пароль от почты где?
    Пока самым действенным способом сохранить свой пароль было – хранение в голове (или на бумажке)

    ...

    Александра Ответил(а):

    @admin, спасибо. Но в голове всё путается :)

    ...

  20. Материал очень полезен. Спасибо за напоминание. Помнится в школе “StartUp” об этом говорилось, но не всегда выполняю рекомендации. Нужно сосредоточиться на этом.

    ...

  21. Спасибо за статью, очень важная и беспокоящая меня тема!

    ...

    admin Ответил(а):

    @Наталья, спасибо и Вам за посещение

    ...

  22. Сергей, у меня вопрос, что нужно сделать с таким вредоносным кодом, как у вас на картинке 1. Я на новый сайт clever-women.ru/ поставила тему, сейчас проверяю на внешние ссылки. Вот обнаглели, аж 4 штуки. Одну нашла в подвале и убрала. В заголовке нашла то-же что у вас. Удалить?

    ...

    admin Ответил(а):

    @Оксана, сделайте копию кода в текстовый документ (на всякий случай) и вырезайте с сайта

    ...

    Оксана Ответил(а):

    @admin, Сергей, все так и сделала. Оставшиеся три внешние ссылки там и прятались. Сейчас все в порядке. Спасибо за очередную полезную статью.

    ...

  23. Эта страничка sitecheck.sucuri.net меня сильно огорчила.
    Так как я убрал с страницы главной баннер школы Твой Старт и теперь много плохих ссылок в плагине однакнопка…

    Что делать? Убирать этот вариант и устанавливать другой?

    ...

    admin Ответил(а):

    @Виктор, проверяйте файлы сайта.
    Попробуйте плагин timthumb-vulnerability-scanner

    ...

    Виктор Ответил(а):

    Установил и опробовал. Нашлось 3 проблемки, которые уже исправлены.

    ...

  24. Здравствуйте! В поисковике от Яндекса набрал свой сайт и обнаружил справа от ссылок красный значок Касперского (К), щёлкнув по которому вышло окно с надписью «Опасная вебстраница». Открываю сайт – Касперский Интернет Секьюрити 2012 его блокирует по причине загрузки вредоносной ссылки.
    В разделе «Вебмастер» от Яндекса проверил свой сайт – вредоносный код не был обнаружен. Затем я скопировал на свой компьютер с сервера все файлы сайта – Касперский также ничего не обнаружил. Потом проверил свой компьютер – тоже ничего.
    Подскажите, пожалуйста, что мне делать?

    ...

  25. проверила свой сайт: ЗАБАНЕН или не проиндексирован в Google…Что делать?

    ...

    Алла Ответил(а):

    я нашла внизу на сайте странную ссылку ………… как ее убрать?

    ...

    admin Ответил(а):

    @Алла, это ссылка стоит в коде вашего шаблона – ее нужно вырезать или закрывать (если это не запрещено автором шаблона.., иначе он (шаблон) может развалиться

    ...

    admin Ответил(а):

    @Алла, проверили свой сайт где?
    Гугл сказал, что сайт “забанен” или не проиндексирован?

    ...

    Алла Ответил(а):

    @admin, гугл сказал что он или забанен или не проиндексирован. я зашла на гугл оставила свои данные на индексацию…Они пришлют ответ или я где-то могу сама найти в личном кабинете о результате? пока ответ не получила

    ...

    admin Ответил(а):

    @Алла, Гугл сказал.. – где?
    Гугл-вебмастер?
    Что именно сказал?
    Пришлите на почту копию.

    ...

  26. Я проверила свой сайт, как указано здесь на сайте: ………….., вчера я вставаила свой сайт и мне ответили что гугл не проиндексировал или забанил…Поэтому я зашла на гугл и в панели для вебмастеров заполнила форму – проиндексировать мой сайт. Сейчас я повторно зашла на вышеуказанный сайт – и теперь уже ответ позитивный: Похоже, что сайт (мой сайт)
    НЕ ЗАБАНЕН в Google
    Проиндексированные Страницы в Google: 148…
    Спасибо большое за информацию… Я пока еще в первом классе по сайтостроению…не знала даже что надо индексировать в Гугле, я думала он сам все сделает за меня (гугл)без моей просьбы

    ...

    admin Ответил(а):

    @Алла, а кто это Вас научил проверять там свой сайт..?
    Зачем Вам эти заморочки
    Если Гугл и Яндекс индексируют страницы – это видно, хотя бы по расширениям для браузера RDS-bar

    А уж если там ноль – тогда нужно бить тревогу.
    Да и в вебмастере Гугл и Яндекс видно всю информацию.
    Счетчик ЛайфИнтернет и ГуглАналитика

    ...

  27. проверяем сайт на «бан» от Гугл seobuilding.ru/google-banned.php
    — проверяем сайт сканером sitecheck.sucuri.net/scanner
    Read more: http://sabsait.ru/plaginy-i-skripty/predupredit-najti-i-udalit-vredonosnyj-kod-na-sajte.html/#ixzz2B0gx8VuV
    Так ведь это же с вашего сайта…я забеспокоилась когда прочитала про эти подозрительные коды, и решила проверить… И вчера ведь другой статус был – когда я вписала..А сегодня статус изменился..Про код я писала в другом комментарии выше. Но с кодом пока ничего не делала.может, он действительно к теме “прилеплен”…Теперь буду внимательнее читать Ваш сайт с первой страницы.

    ...

    admin Ответил(а):

    @Алла, нужен повод считать, что сайт под “баном”.
    Если страницы индексируются, нет предупреждений в вебмастере – откуда подозрения?
    Сканер иногда и глючит – может принять непонятный фрагмент кода за вредоносный

    ...

    Алла Ответил(а):

    @admin, Понятно…будем считать, что сканер заглючил в первый раз…Спасибо.Стало более понятно

    ...

  28. Сережа, может вы мне поможете. Давно мне не дает покоя одна единственная внешняя ссылка, ТАС ее не видит.
    Ссылка Яндексовская – я не понимаю как ее убрать и где ее вообще найти-то…

    ...

    admin Ответил(а):

    @Татьяна, ТАС не видит, а кто увидел?
    Вы посмотрите – в конце ссылки – ваш сайт. Вы не сами ее поставили?
    Куда ведет ссылка проверяли?

    ...

    Татьяна Ответил(а):

    Мне если честно, даже стыдно уже за свою глупость. Ссылка действительно была моя, извиняй, пожалуйста.

    ...

    admin Ответил(а):

    Да ничего такого…
    Просто,когда попадается ссылка – ее можно прочитать, а потом и открыть – только осторожнее с сокращенными ссылками – они не читаются – проверяйте их антивирусом

    ...

  29. Уважаемые специалисты! помогите удалить с сайта вредоносный код, рассылающий спам. Сайт заблокирован хостинг-провайдером. Он готов дать допуск на 5-10 минут к админке моего сайта, чтобы специалист смогу быстро найти и локализовать проблему, с последующим удалением вирусов и другой “инет-нечести” с нашего сайта.
    что для этого нужно и сколько будет стоить решение проблемы?
    Спасибо!

    ...

    admin Ответил(а):

    @Рушан, я крнечно не специалист по такому быстрому (5-10 минут) отлову вирусов, но встречал подобные услуги – за 4 часа (в крайнем случае за сутки) “лечат” сайт и просят за это 10.000 руб.
    Нет доступа к админ/панели сайта – неудобно работать на таком хостинге…

    ...

    Рушан Ответил(а):

    @admin, 10 000 крутовоато, мне проще забыть про сайт, который стоит в три раза дешевле.

    когда провайдер открывает доступ к админке, то сайт начинает рассылать спам и загружает сервер со слов админа провайдера.
    поэтому они готовы открыть доступ на небольшое время для анализа и удаления вредоносного кода

    ...

    admin Ответил(а):

    @Рушан, когда это случилось – пошел спам..?
    До этого все было нормально? – может быть поможет откат сайта на число ранее…
    Вспоминайте, что вы делали, устанавливали, после чего начались проблемы?

    ...

    Рушан Ответил(а):

    @admin, сайт заблокировали вчера. Я давно уже ничего на сайте не делал. а как откатить назад? сайт сделан на jomla

    ...

    admin Ответил(а):

    Откат делает или сам админ, если есть такая возможность на хостинге или сам хостинг по просьбе админа сайта.
    Напишите в техподдержку хостинга – попросите (если они вообще делают резервные копии сайта) откат на самое ранее число.

    ...

    Рушан Ответил(а):

    @admin, все ок, слава Богу! админ хостинга все сам устранил, вот что он написал:

    удалили несколько вредоносных файлов, но там еще куча непонятных файлов, которые нужно проверить, также установить правильные права и поменять все пароли.

    ...

    admin Ответил(а):

    Ну, вот вам занятие на выходные…
    Как устанавливать права доступа – информация есть в Интернете

    ...

  30. Не надо вводить людей в заблуждение. Плагин ТАС не обнаруживает вредоносный код. Он показывает чужие ссылки в теме и wordpress.

    ...

    admin Ответил(а):

    Плагин TAC показывает не только сторонние ссылки, но и зашифрованный код (методом base64)

    ...

    admin Ответил(а):

    “Не надо вводить людей в заблуждение…” – достаточно серьезное заявление.
    Вы чем-то можете это доказать?

    ...

Оставьте свой комментарий!

* Обязательные для заполнения поля
Все отзывы проходят модерацию.