Поиск и устранение вредоносного кода на сайтах.
Ищите и удаляйте вредоносный код на веб-сайтах.
В интернете есть много вирусов, которые распространяются через веб-сайты. Ответственность за безопасность веб-ресурса лежит на его владельце, но, к сожалению, не все уделяют этой ответственности достаточно внимания.
Соблюдение нескольких основных правил поможет защитить ваш сайт:
использование сложных паролей-использование прописных и строчных латинских букв в сочетании с цифрами и сложными символами;
не разглашать информацию об авторизации третьим лицам;
Установка модулей и шаблонов CMS только из официальных источников разработчика;
обновление модулей только из официальных источников разработчика;
добавляя форму обратной связи на сайт, убедитесь, что она содержит сложную капчу;
Своевременное обновление CMS;
Рассмотрим вариант заражения, связанный со взломом сайта.
Одним из наиболее распространенных последствий взлома сайта является загрузка вредоносных скриптов на хостинг и включение их в кодовую базу этого сайта. Такие скрипты используются для различных вредоносных действий, таких как рассылка спама, выполнение DDoS/bruteforce атак на другие ресурсы, распространение вирусов, перенаправление посетителей на фишинговые страницы и другие запрещенные действия. Эта активность создает нагрузку на веб-сервер, влияя на других пользователей. Поэтому такие действия контролируются и изолируются хостинг-провайдером.
У владельца сайта есть два важных вопроса:
1. Что мне нужно сделать, чтобы хостер разблокировал сайт?
2. Что делать, чтобы в будущем не возникло подобной ситуации?
Что мне нужно сделать, чтобы хостер разблокировал сайт?
Когда хостинг-провайдер блокирует учетную запись для рассылки спама, владельцу этой учетной записи отправляется уведомление, содержащее образец вредоносного сообщения, отправленного с его сайта. По помеченному сообщению иногда можно определить файл, содержащий вредоносный скрипт, который отправил сообщение.
Пример:
Получено 200P: by164.net локально из домена (Exim 4.80.1)
(конверт - <webmaster@domain.com> из)
id 1wt8ty-0001S7-0i
cshort@ariesnet.com для; СБ, 06.07.2014 08:10: 46 +0300
024T кому: cshort@test.com
027 тема: уведомление о судне
039 X-PHP-скрипт: domain.com для/ 127.0.0.1
047 X-PHP-Originating-Script: 1586:841rewb3v4x.php
048F от: "почтовая служба" <message_id17@domain.com>
030 X-Mailer: Cswmsautomailer:Reg
Ответ 052р: "почтовая служба" <message_id17@domain.com>
Версия 018 MIME: 1.0
081 тип контента: многосекционный/альтернативный; boundary="----------140211784653929ED602110"
051i идентификатор сообщения: <E1Wt8ty-0001S7-0i@by164.net>
Здесь, как и во всех письмах, имеются поля "от:", "к:", "субъект:", по содержанию которых можно определить отправителя, получателя и тему сообщения.
Иногда (но не всегда) заголовки содержат поля "X-PHP-Script" и "X-PHP-Originating-script", которые содержат адрес сценария, используемый для рассылки спама. В данном случае это 841rewb3v4x.скрипт под названием PHP
Поиск и удаление скрипта можно организовать следующим образом
Загрузка файлов сайта на локальный компьютер через FTP-доступ и поиск антивируса или ручного вредоносного скрипта
