Wcześniej czy później Twoja witryna, stworzona na zamówienie lub własnymi rękami, zostanie odwiedzona przez intruzów. Głównym celem tych „błędów IT” jest zwiększenie ruchu na Twojej stronie poprzez przekierowanie (przekierowanie) odwiedzającego, zawieszenie specjalnego wirusa blokującego (banera) na Twoim zasobie, wyłudzanie pieniędzy, w rzadkich przypadkach - proste zainteresowanie sportowe. Niezależnie od tego, czym jest strona - wizytówką firmy lub sklepu internetowego, infekcja wirusowa jest zawsze nieprzyjemna i często prowadzi do bezpośrednich strat materialnych, obniżenia oceny witryny, a nawet jej całkowitego zablokowania przez wyszukiwarki. Identyfikacja i czyszczenie witryny z wirusów to dość żmudna i długa praca, której często towarzyszy nawrót infekcji. Jest to jednak w mocy każdego administratora witryny, najważniejsze jest przestrzeganie określonej sekwencji działań.
Po której stronie podejść do zainfekowanej strony
Jeśli witryna jest zainfekowana wirusem, a oznaki tego to na przykład:
• Automatyczne przekierowanie do innego zasobu lub blokowanie komputera użytkownika wirusem banerowym.
• Wiadomość z wyszukiwarki (Yandex, Google), że w witrynie znaleziono złośliwy kod.
Następnie możesz zbliżyć się do kodu wirusa i dosłownie „wykopać” go tylko z panelu sterowania witryny na hoście. Dokładniej – z części zwanej menedżerem FTP. Takie podejście pozwoli Ci nie uruchomić zainfekowanego pliku, ale zobaczyć linię kodu wirusa i go zniszczyć.
Ślad pozostawiony przez napastników
Jeśli otworzysz menedżera FTP panelu sterowania witryny na hoście, zobaczysz listę plików i folderów, które składają się na zestaw dystrybucyjny witryny. Przy każdym z nich znajduje się data powstania i modyfikacji wraz z godziną. To ona jest tropem, dzięki któremu ustala się, że złoczyńcy odwiedzili Twoją witrynę. Oczywiście, jeśli dokładnie pamiętasz, co, kiedy i dlaczego zmieniłeś to na stronie.
Co widać w folderze lub pliku, którego nie zmieniłeś?
Po wejściu do folderu, którego data modyfikacji jest wątpliwa, możesz znaleźć tam swoje pliki z rozszerzeniami.exe i.js lub zmienione pliki indeksu, takie jak index.html i index.php, znowu nie przez Ciebie. W zestawie dystrybucyjnym witryny nie powinno być żadnych plików z rozszerzeniem.exe, jest to oczywisty wirus. Pliki wykonywalne.js mogą być twoje, ale rozszerzone, więc nie powinny być natychmiast niszczone. Najczęstsze wirusy w plikach indeksowych to:
• Eval…> znak wirusa to bardzo długi, nierozerwalny ciąg łacińskich liter i cyfr.
• iframe… znak wirusa - rozmiar ramki to 1 na 1 piksel.
Co robić
Wyleczenie witryny z wirusa zaczyna się od ogólnego oczyszczenia własnego komputera. Konieczna jest zmiana wszystkich loginów i haseł: FTP, dostęp do panelu administracyjnego serwisu oraz dostęp do panelu kontrolnego na hoście.
Następnie w menedżerze FTP hosta sprawdzasz każdy plik, który ma wątpliwości. Nie musisz go uruchamiać, ale zobacz kod, więc kliknij przycisk "edytuj". Pliki z rozszerzeniem.exe są natychmiast niszczone, te z rozszerzeniem.js są sprawdzane pod kątem dodatkowych linii kodu. Dla pewności przechowuj wszystkie skrypty zainstalowane w witrynie w osobnym folderze na swoim komputerze. W plikach indeksu usuń wszystkie ramki wielkości piksela i długie, nic nie znaczące linie z zestawu liter i cyfr za ikoną.
Przed zalogowaniem się do menedżera FTP panelu sterowania witryny zwykle znajdują się foldery z plikami dziennika. Trzeba je otworzyć i zobaczyć – kto odwiedził witrynę w czasie, kiedy miała nastąpić infekcja. Zobaczysz adres IP atakującego. Utwórz (jeśli nie istnieje) plik.htaccess w folderze z plikami witryny i wpisz w nim linię, aby odmówić logowania z tego adresu IP.
Po dwóch dniach musisz ponownie zrewidować, być może proces czyszczenia witryny będzie musiał zostać powtórzony jeszcze kilka razy.
