Skip to content

 

Троянский вирус на сайте. Удалить нельзя оставить

вирус на сайтеДорогие друзья, с вами на связи Ольга Абрамова и сегодня я поделюсь с вами кое-какими наработками по поводу моего опыта защиты сайта от вирусов и чужеродного вторжения. А также требуется ваша помощь в решении дилеммы — удалить или оставить.

После некоторых проблем с ОС Windows 7, когда я не могла войти в систему, читая блоги своих коллег, я провела очередные проверки своего компьютера и особенно блога. Сначала я несколько раз проверила сайт на вирусы.

В основном, я ориентируюсь на вебмастерские разделы в Яндексе и Гугле. И хотя, они ничего подозрительного не видят, я решила прогнать блог через один из наиболее популярных сервисов по проверке сайтов на вирусы Antivirus-alarm. Я и раньше им пользовалась и все было чисто.

Причиной для проверки послужило то, что при проверке компьютера на вирусы, оказалось, что последние архивы моего ежедневного бэкапа сайта, сохраняющиеся в Dropbox папке, имеют подозрительные файлы. Да и вообще, не мешает проверить сайт, мало ли чего?

Антивирус-аларм проверяет сайты целым списком антивирусных баз. И вот, одна из них, VIPRE, определяет, что она нашла троянский вирус с названием Malware.JS.Generic (JS).

И хотя в конце проверки написано:

"Если по данным проверки один из алгоритмов обнаруживает вирус, это не всегда однозначно свидетельствует о зараженности сайта. Иногда шифрованный код рекламных блоков и другие подобные элементы сайта подпадают под определения тех или иных антивирусных баз — это НЕ вирусы",

я открыла код главной страницы и визуально проверила все имеющиеся script и iframe. Ничего чужеродного не нашла. Проверила и другие основные файлы, чисто.

Поиск в рунете по названию Malware.JS.Generic, тоже ничего толкового мне не выдал. Зарубежные коллеги описывают этот вирус как особо опасный троян, который попадая в компьютер, отключает антивирусную систему, отображает многочисленные раздражающие рекламные объявления, открывает хакеру доступ к конфиденциальной и личной информации (паролям, кредитным картам и т.д.)

Вирус понижает рейтинг репутации личности, часто попадает в систему скрыто, компьютер начинает работать очень медленно и что печально, какими-то автоматическими средствами безопасности его не удалить. Во как!

Чтобы этот вирус не означал, важнее его выявить и удалить. Но где его искать? Перерыла весь сайт, изменила настройки плагина BackWPup, чтобы абсолютно все файлы скачать и проверить, скачала утилиту Доктор Веб и несколько дней проверяла архив сайта на вирусы. Ничего.

Может и не стоило рыть землю носом, но мне уже стало интересно, что это за вирус и как его удалить. А может оставить? Ведь Яндекс и Гугл помалкивают.

Написала в тех. поддержку хостинга TimeWeb c просьбой помочь в данной ситуации. Ответили, что я сама должна с этим разбираться. Тогда я спросила, есть на сервере антивирусная/антишпионская защита? Ведь вирусы могут быть не только на сайтах.

Ответ был вполне оптимистичным: Добрый день, техническое решение наших серверов (права доступа к файлам сайтов) в полной мере исключают возможность заражения сайтов из вне. Также на наших серверах действует автоматическая система поиска подозрительных скриптов и приложений, которая позволяет выявить глобальные проблемы на сервере.

Ладно, пойдем дальше.

Обратилась за помощью к своим сокурсникам по oDesk. Есть за мной грешок, невнимательность 🙂 Ведь я тыщу раз просматривала результаты проверки сайта на сервисе Антивирус-аларм. Нет, чтобы проанализировать те ссылки, которые проверка выявила, как сомнительные, по версии гугла. А это выглядит вот так:

вирус на сайте

Я пошла людей беспокоить 🙂 Поддержка подсказала, что возможно скрипты соц. сетей или счетчиков дают эти проблемы. Ну а дальше уже легко.

Для начала я скачала и проверила на сайте Virustotal файл index.php. Ага, есть! Тогда уже обратила внимание на скрипт сервиса закладок Однакнопка. Раньше у меня был аналогичный плагин, позже я заменила его на код. Я временно закоментировала этот скрипт в файле и опять проверила. Все чисто.

Подключила плагин, опять та же история. Выходит, хрен редьки не слаще, сомнительны оба. А этот сервис закладок имеет в своем ассортименте практически все популярные соц. сети. Иди разбери, какая из них фонит. Ведь Гугл даже себя считает сомнительным 😀 А ведь мы все пользуемся этими сервисами.

Думала, думала и решила скрипт пока отключить, хотя жалко. Ведь предупреждений от ПС нет. Обращаюсь к вам, дорогие читатели, а что вы думаете по этому вопросу? Где запятую поставить: удалить нельзя оставить? 🙂 Я не знаю как правильно поступить. Кстати, ссылка на закладку Твиттер активная и никак ее не закрыть. Хотя, может это и мелочи.

Далее я приступила к защите сайта от фишинга и взлома.

Для начала я создала файл .ftpaccess и добавила в него запись с ограничением доступа по протоколу ФТП, это считается наиболее действенным способом борьбы со взломами сайтов.

Вот как выглядит запись:

<Limit ALL>
Order allow,deny
Allow from ::ffff:ваш ip
Deny from all
</Limit>

где вместо ваш ip надо указать адрес вашего IP. Его можно получить, например, здесь. Файл создается в обычном блокноте, сохраняется под именем .ftpaccess и загружается в корневую папку сайта public_html.

Затем подкорректировала настройки FTP-клиента FileZilla, в частности запретила программе сохранять пароли: Редактирование — Настройки — Интерфейс — поставить галочку Не сохранять пароли и удалила историю, очистив строку соединения. Кстати желательно и в других фтп-программах (если используются) сделать тоже самое.

Кроме этого периодически меняю пароли на хостинге, для входа на сайт. Да и вообще, пароли где бы-то не было, надо через какое-то время обновлять.

Часто встречается совет не использовать для работы в интернете браузер Internet Explorer, особенно старые версии. Следите за своевременным обновлением безопасности Windоws, используйте антивирусы и файрвол (брандмауэр) на компьютере.

Вот такую работу мне пришлось проделать, но зато выяснила многие вопросы по безопасности, на которые раньше времени не хотелось тратить 🙂

Всем чистых и безопасных сайтов!

Новое дополнение по этому вопросу читайте в последующей статье Вердикт — поведенческий анализ.

30 комментариев

  1. Александра Клименко:

    Обалдела просто, когда прочитала это:
    «Зарубежные коллеги описывают этот вирус как особо опасный троян, который попадая в компьютер, отключает антивирусную систему, отображает многочисленные раздражающие рекламные объявления, открывает хакеру доступ к конфиденциальной и личной информации (паролям, кредитным картам и т.д.)»

    Немного не поняла, неужели этот вирус внедрился из-за скрипта Однакнопка.ру? Или этот скрипт просто даёт такой фон?
    Если первое — то безусловно этот скрипт лучше удалить, а сели второе — не обращать внимания.

    Я тоже проверяю свой сайт Алармом, и каждый раз он пишет, что Гугл считает подозрительными ссылки на соцсети из скрипта Однакнопка.ру, но как-то не обращал на это внимание до Вашей статьи, Ольга.

    После того как Яндекс обнаружил на моем сайте вредоносный редирект, я теперь перестраховалась — весь и-нет перерыла по вопросу безопасности и кучу всяких фишек на своём сайте внедрила. Если интересно можно почитать тут http://mechtay-i-deystvuy.com/tehnicheskie-nyuansyi/bezopasnost-sayta/ и тут http://mechtay-i-deystvuy.com/tehnicheskie-nyuansyi/bezopasnost-sayta-2/

    Но подозреваю, что всего этого всё равно недостаточно. Люди в комментах к этим статьям ещё кучу всего насоветовали, так что почитайте, может будет полезно.

    Проверила ещё раз сайт Алармом — опять то же самое — гугл ругается на эту Однукнопку. В общем, я её удалила. А какой в ней смысл? Думаю, если провести опрос на сайте «Как часто вы пользуетесь скриптом Однакнопка.ру?» мало кто ответит, что пользуются.
    Лично я не пользуюсь ею на других сайтах.

    Так что смотрите сами, может, если есть сомнения, тоже сначала опрос провести?

    Удачи в продвижении сайта!
    Кстати, Ваш сайт похорошел — на нём намного приятнее теперь находиться. Неужели это всё ещё тема F2, только переделанная до неузнаваемости?

    • Ольга Абрамова:

      Александра, я не думаю, что так все плохо с этим трояном 🙂
      Это действительно фонит сервис, плагин которого или скрипт размещается на сайте. Статистикой его использования не владею, но решила убрать совсем. Нет скрипта, нет вируса.
      И, спасибо, это тема F2, теперь уже модернизированная 😀

  2. Нина Жуперина:

    Оля, спасибо за очень полезную статью. Надо тоже пошерстить свои блоги. Насчет сервиса «Одна кнопка». Мне кажется, лучше ее удалить. Я предпочитаю так, чтобы не оставалось сомнений.
    У меня тоже эта кнопка была, но я ее удалила покаким-то другим причинам. Сейчас уж и не помню, надо было записывать 🙂

    • Ольга Абрамова:

      Нина, и тебе спасибо за высказанное мнение.

  3. Михаил:

    Оля, а где история очищается, что-то я не нашёл, или это не в FileZilla? И второе, что это за «Одна кнопка», я видимо не в курсе? Спасибо!

    • Ольга Абрамова:

      Михаил, это в Файлзилле. Если Вы пользуетесь кнопкой Быстрое соединение, рядом есть ещё одна кнопка, как раз для сброса истории соединения.
      Однакнопка это сервис закладок для постинга в соц.сети.

  4. Александр:

    Здравствуйте, Ольга! У меня такая же проблема, причём по сей день. Перед новым годом поставил снежинки на блог и…..начали пищать антивирусники у посетителей….Плагин удалил, но антивирусники пищат по сей момент. Может подскажете что да как?

    • Ольга Абрамова:

      Александр, здравствуйте,
      Во первых, на Вашем сайте слева внизу клацает окно с требованием обновить бразуер Хром. Я стараюсь побыстрее такие сайты покинуть. И уж тем более не трогать эти окна. Моя дочь подцепила п.баннер на ноутбук, закрывая подобное окно. Хотя искала юридические документы 🙂
      antivirus-alarm.ru/proverka/?url=meitanvsem.ru/&again=1 здесь проверка Вашего сайта. Выявлено 9 сомнительных скриптов. NOD32 выявил вирус HTML/Iframe.B.Gen. Посмотрите п.п. 7 и 8 и найдите эти ифрэймы.
      Также можете скачать файлы сайта на комп и проверить утилитами Д.Веб или Касперского.

  5. Ирина:

    Ольга! Огромное спасибо за предупреждение и ссылки на столь нужные сервисы. Пойду проверять свой сайт. «Однакнопка» у меня тоже стоит. Проверю, что у меня еще покажет. По вопросу «удалять-не удалять»: считаю, что лучше удалить эту кнопку. Удачи!

    • Ольга Абрамова:

      Ирина, пожалуйста и спасибо за поддержку.
      Желаю Вам чистого сайта! 🙂

  6. alex:

    Здр-те, Ольга. Меня интересует — вирус попадает на основной раздел диска (C:), или также на другой раздел (D:), где храню свои данные?
    Они там в безопасности, или как? Спасибо.

    • Ольга Абрамова:

      Здравствуйте. Изменения происходят в строке реестра HKEY_LOCAL_MACHINE, а он на системном диске, как правило, С:.

  7. Ольга:

    У меня на сайте поставлен AntiVirus при ручном сканировании выдает что на <iframe src="//www.facebook.com/plugins/like.php?href= … есть подозрение на вирус
    КАк удалить этот вирус и вирус ли это вообще???

    • Ольга Абрамова:

      Ольга, сначала определите, за что отвечает этот iframe. Подозрение может быть просто перестраховкой. Посмотрите в своих кабинетах вебмастера на Яндекс и Гугл (если Вы там зарегистрированы), что сообщают поисковики по поводу вирусов на сайте. Если все хорошо, то особо можно не париться 🙂

  8. Oksana:

    Ох, Оля, озадачила. Я в новой теме отключила кучу плагинов за ненадобностью, много чего встроено в тему и соц. кнопки тоже. А проверка, выдает результат как у тебя. Буду думать.

    А видео, очень клевое! Главное не забывать, что вокруг нас тоже люди.

    • Ольга Абрамова:

      Оксана, озадачила, чтобы бдительность не теряли 🙂
      Может у тебя не так все и плохо. Если жить и работать не мешает, может не стоит сильно переживать?

  9. Crepeer:

    Наличие вирусов на сайте очень опасно не только для посетителей, но может стать причиной бана сайта в поисковых системах.

  10. Надежда:

    Спасибо за такую полезную статью. Я тоже решила подстраховаться. Буду проверять свой сайт. Ретвит.

    • Ольга Абрамова:

      Надежда, пожалуйста. Здоровья Вашему сайту 🙂

  11. Сергей:

    Постоянно проверяю сайт на вирусы. Всё показывает отлично. Попробую и этой подсказкой. Спасибо.

    • Ольга Абрамова:

      Пожалуйста 🙂 Лишним не будет.

  12. Лидия:

    А у меня Яша за это в сомнительные сайт записал, так что пришлось отключить активацию Одной кнопки. Странно — моему сайту больше года, но раньше таких проблем не возникало.

    • Ольга Абрамова:

      Лидия, аналогично. Я даже статью написала, завтра опубликую.

    • Ирина:

      В последнее время многие сайты были записаны Яшей в сомнительные из-за Одной кнопки. Люди говорили, что вирус на сайте и не могли его найти. Спрашивали как найти и никто не мог подсказать.
      А мой компьютер такой хитренький — он с этой кнопкой сразу не подружился — он её мне нигде не показывал и я не знала, стоит ли кнопка на сайте у того, кто спрашивал про вирус. А оказывается стоит и такую бяку дает. А Яша сайт в сомнительные.
      В последние две недели 5 человек спрашивали про это и боролись с вирусами, пока я им не подсказала про эту кнопку.
      Огромное спасибо, Олечке, за такую своевременную подсказку. Я удалила Одну кнопку сразу же, после выхода этого поста. Все равно я ее не вижу 🙂

    • Ольга Абрамова:

      Ирина, Вы все правильно сделали. А я решила еще поэкспериментировать с этой кнопкой. Что вышло, завтра прочитаете 🙂

    • Ирина:

      Обязательно зайду почитать!

  13. Татьяна:

    Здравствуйте, Ольга! Большое спасибо за статью! Ситуация полностью совпадает с описанной Вами. Кнопку убрала, проверила сайт еще раз. Антивирус больше Malware.JS.Generic (JS) (эту красоту не показывает :)), может и Яндекс меня полюбит :)). Подожду…

    • Ольга Абрамова:

      Татьяна, пожалуйста. Рада за Вас. И Яндекс полюбит, придет время 🙂

  14. Алиса:

    Я тоже сталкивалась с этой фигней.Но в панелях вебмаестра и гугла и яндекса ничего вроде бы не обнаружилось. Да и друзья говорят, что не стоит пепреживать. Но на всякитй случай я со своего сайта поудаляла всякие подозрительные скрипты.

    • Ольга Абрамова:

      Алиса, поисковики сегодня ничего не находят, а завтра может быть абсолютно по другому. Особенно, когда обновляются версии самих поисковиков.