Рассмотрим методы обнаружения, варианты заражения, способы предотвращения, а так же попытаемся научиться самостоятельно находить, удалять и не допускать в дальнейшем.
Откуда и как могут появиться вирусы на страницах
1. Сам владелец в поисках скриптов насобирал по интернету, и все что собрал неглядя оптом вставил на страницы ресурса
2. Или сам владелец или журналисты или те у кого есть доступ к добавлению материалов и разрешение на HTML теги, могли занести в HTML среду материала вредоносный код. Бывает это по злому умыслу (особенно, если есть соблазн в виде разрешенного HTML). А бывает по неосторожности. Чаще всего случается при копировании и вставке через визуальный редактор текста или материала, куда мог быть вставлен вредоносный код в виде IFRAME с параметрами width*=»0″ и height*=»0″ или position*:absolute; display*:none
3. Перехват управлением сайта или угон. В этом случае возможно все. Если пароли «утекли» то возможны два варианта: или полный угон , или просто заражение страниц и скрытое управление
4. Зараженный браузер или владельца или журналистов или лиц, имеющих доступ к коду или к среде HTML при правке или добавлении материалов или к FTP. В таких случаях при любых правках с разрешением HTML зараженный браузер может «дописывать» вредоносный код в материалы или сообщения или в HTML код страниц
5. Партнерки, баннерообменные сети, тизерки и прочие объекты по обмену трафиком. Не всегда владелец в своем желании заработать и раскрутить ресурс, за счет сомнительного обмена трафиком, бывает разборчив. Если вы пропускаете через свой сайт чужой трафик или откручиваете чужие баннеры или ссылки, то будьте морально готовы к тому, что среди того что вы пропускаете могут быть зараженные объекты. Такое часто случается с партнерками с плохой модерацией и с не очень жестким отбором ресурсов.
6. Права пользователей. Ясно уже, что права на HTML добавление/редактирование раздавать не стоит, особенно не стоит допускать никого к коду. Но в связи с новыми реалиями, когда поисковики с лице GOOGLE и Яндекса стали бороться с зараженными ресурсами в интернете, и могут заблокировать весь сайт за наличие в коде или в контенте одной единственной картинки подгружаемой с зараженного хоста или ссылки на зараженный сайт, то стоит пересмотреть политику прав пользователей. А именно: не разрешать активные ссылки, запрещать би-би коды IMG и URL.
Как найти вирус на сайте
В идеале все скрипты и вся графика должны быть залиты на ваш сайт и вы не в коем случае не должны подгружать javascript, а так же любые флеш ролики или объекты со сторонних ресурсов. Доступ к FTP и файлам должны быть только у одного человека. Пароли от FTP и от админки не должны сохраняться ни в браузерах ни в программах FTP. В таких условиях поиск вируса облегчается. Права пользователей должны быть урезаны
На странице в идеале не должно быть IFRAME и javascript с чужими адресами, и особенно с параметрами width*=»0″ и height*=»0″ и position*:absolute; display*:none
А так же не должно быть закодированного кода!
В таких идеальных случаях, когда все скрипты и графика имеют внутренние адреса, когда права пользователей урезаны нам остается задача найти скрипты или IFRAME с внешними адресами или закодированные скрипты и удалить их.
Так же проверяем счетчики. Если в html появился сторонний счетчик (код с комментариями любого счетчика) или видоизменился сторонний вставленный вами, то его нужно или удалить или изменить на код, который выдавался сервисом статистики. В личном кабинете или в профиле статистики всегда можно сверить код.
Проверяем файл htaccess на наличие перенаправлений на сторонние адреса.
Так же при отсутствии в коде сторонних скриптов, но при наличии баннерных сетей, тизерок и прочих партнерок по обмену трафиком, при условии, что антивирусы пользователей или ваш антивирус упорно аллертит на на любую локальную страницу. В таком случае придется временно удалить код баннерообмена тизерки и обмен трафиком, очистить кеш, временные файлы интернета и зайти на сайт снова. В таком случае антивирус должен примолкнуть, а вы должны разбираться со своими партнерками.
Как понять, что сайт заражен?
1. Если при попытке зайти на свой сайт вас перекидывает на неизвестный адрес
2. При загрузке странички появляются инородные всплывающие окна
3. При переходе по внутренним страницам выскакивает инородное окно и производится попытка закачки файла на компьютер
4. Если ваш антивирус начал реагировать на любую из страниц
5. Если появилась сторонняя реклама, которую вы не ставили
6. Если при попытке зайти на сайт вместо контента мы видим табличку — предупреждение о том, что ресурс заражен (действительно для пользователей Google Chrome, Mozilla Firefox и Opera. Для первых двух браузеров табличка означает, что Google пометил как вредоносный. Для Opera означает, что Яндекс пометил как вредоносный или мошеннический)
7. При заходе на любую страницу автоматически открывается огромное количество окон
Сайт помечен как вредоносный Яндексом или Google
Блокировка адреса как вредоносного или могущего нанести вред компьютеру и у Яндекса и у Google происходит посредством окна — заглушки в котором собственно и находится предупреждение. Google выдает более полную информацию о блокировке указывая вредоносные хосты, а так же выдает информацию о том, когда Google последний раз осуществлял проверку и время обнаружения вредоносного кода. Яндекс выдает малоинформативное окно с предупреждением. В обоих случаях в вебмастере и Google и Яндекса можно узнать более подробную информацию во вкладке безопасность. Если появилось окно — заглушка с предупреждением, то в выдаче поиска ваш сайт будет помечен как вредоносный специальным предупреждением.
Если получили подобный фильтр с предупреждениями, то ваша задача как можно скорее избавиться от вредоносного кода . Во-первых в выдаче помеченный адрес как вредоносный не прибавит вам пользователей. А во-вторых, если пропустить второй обход робота с проверкой, то даже в случае полной очистки табличка- заглушка может провисеть довольно долго, так как частота обхода при неудалении причин блокировки заметно снижается, а именно вдвое.
Как предотвратить появление вируса
1. Никогда не подгружайте javascript со сторонних адресов. Такая конструкция опасна!!! <script type=»text/javascript» src=»http://внешний адрес.ru/test.js»></script> Скрипты подгружаемые с чужих адресов в любой момент могут быть изменены или удалены.
2. Осторожно вредоносный IFRAME! Такая конструкция как правило в 99,9 % случаев опасна и содержит скрыто подгружаемый вредоносный код! <iframe src=»http://внешний адрес.ru/» name=»iframe» width=»0%» height=»0%» scrolling=»no» frameBorder=0></iframe>
3. Не занимайтесь копированием контента с чужих ресурсов в HTML среду и вставкой на свой!
4. Держите компьютер в чистоте и бойтесь пинчей
5. Пароль от FTP менять перед каждым конектом, в программах соединения по FTP пароли не держать. Доступ к файлам и скриптам должен быть только у одного человека
6. Права пользователей должны быть урезаны. HTML пользователям не давать!
7. Партнерки по обмену трафиком, баннерообменные сети и тизерки должны быть вами выбираться очень скрупулёзно, и выбор должен быть остановлен только на солидных сервисах с очень жесткой модерацией. Партнерки, куда принимают сайты с минимальным количеством хостов в сутки должны быть вами проигнорированы
8. Запоминайте время и дату последнего изменения файлов. Индексные файлы index.php и index.html проверяйте в первую очередь