Что делать, когда сайт заражен? Инструкция по выживанию

Коммерческий сайт является лакомым куском для хакеров, потому что у него хорошие позиции в поиске и показатели трафика.

Таким сайтом злоумышленник может воспользоваться в своих корыстных целях, ставя на нем ссылки на другие ресурсы, воруя или перепродавая трафик, заражая пользователей и рассылая спам.

Статистика анализа безопасности сайтов выглядит весьма неутешительно — большинство коммерческих сайтов подвержены взлому и заражению вирусами. При этом риск столкнуться со взломом или заражением увеличивается у владельцев сайтов, относящихся к их безопасности «спустя рукава».

В SiteSecure, сервисе по мониторингу сайта и его защите, отмеченном Лабораторией Касперского в их программе Startup Security Challenge, мы ежедневно проверяем более 80 000 коммерческих сайтов и часто встречаем взломанные сайты, которые даже не подозревали о своих проблемах.

В данном случае владельцы узнают о возникших проблемах только тогда, когда доступ посетителей на сайт ограничен, позиции падают, а бизнес несет существенные убытки.

Рис.1. Падение трафика в случае одного из видов заражения сайта

Ситуация может еще больше усугубиться за счет того, что при заражении одного сайта довольно часто происходит автоматическое заражение всех ресурсов, находящихся на том же сервере хостинга.

Поэтому важно выявить заражение оперативно, до того, как поисковые системы и хостинг заблокируют сайт, и он будет внесен в черные списки.

Вирус на сайте появляется не просто так, ему предшествует взлом по одной из многих причин.

Основные причины взлома и заражения сайта

Основными причинами взлома коммерческих и любых других сайтов являются:

• Уязвимость в системе управления сайтом (CMS) или программном обеспечении, установленном непосредственно на сервере (операционная система, библиотеки, базы данных, серверное программное обеспечение).
• Уязвимость в установленных плагинах, модулях и расширениях к CMS.
• Установленные плагины, модули и расширения к CMS, в которых предварительно внедрен вредоносный вирусный код.
• Несанкционированный доступ к SSH, FTP, панели управленя хостингом с зараженного компьютера сотрудника.
• Подбор паролей к SSH, FTP либо панели управления хостингом с применением метода полного перебора паролей (брутфорс).
• Использование незащищенного (слабозащищенного) соединения между сайтом и компьютером пользователя.
• Недобросовестный подрядчик.

Также немаловажным является тот факт, что часто на сайт устанавливаются коды различных виджетов, сервисов, расширений или партнерских сетей, которые могут привести к заражению, скрытому воровству трафика и конечной блокировке сайта, как это недавно случилось с одним из ресурсов. Поэтому нужно внимательнее относиться к тому, что устанавливается на сайт.

Обеспечить полную безопасность, чтобы не существовало причин для взлома сайта, чрезвычайно сложно. Это связано как с заблуждением, что веб-студия или хостинг-провайдеры постоянно проверяют сайт на вирусы и защищают его, так и с общим трендом: защищать сайт постоянно — довольно муторное занятие, для которого могут понадобиться и специфические навыки.

Однако можно внимательно следить за работой сайта и анализировать любые изменения, которые вам показались серьезными.

Как понять, что сайт взломан

Ниже перечислены проблемы, которые свидетельствуют о проникновении вируса на сайт, своего рода «приметы». Внимательно ознакомьтесь с ними и проанализируйте, нет ли подобных проблем на вашем сайте. Так вы сможете предотвратить падение ресурса в поисковой выдаче, снижение трафика и объема продаж.

Основные симптомы зараженного сайта:

1. Резко упала посещаемость.

2. Сайт стал долго загружаться.

3. Сайт теряет позиции в поисковой выдаче или перестал индексироваться поисковыми системами.

4. При заходе на сайт с мобильного устройства происходит перенаправление на другой сайт или браузер предлагает загрузить/обновить какое-то приложение.

5. При обращении к некоторым страницам сайт выдает ошибку.

6. На сайте появился незнакомый вам контент: файлы/страницы/ссылки/картинки/новая учетная запись в админ-панели.

7. Ваши клиенты не получают email с подтверждением заказа, а вы не получаете письмо с информацией о заказе. И вы, возможно, узнали, что с вашей почты стал рассылаться спам.

8. Странная статистика посещений: много посетителей, не задерживающихся на странице более пары секунд. Вы получаете сообщение от хостинга о том, что ресурсов вашего сервера в последнее время стало не хватать.

Мы не стали перечислять явные признаки, такие как блокировка сайта поисковиками, уведомления антивирусов и жалобы пользователей. Также следует учесть, что в зависимости от степени заражения, а также давности взлома может наблюдаться один или несколько признаков.

Главное, что злоумышленник не заинтересован в том, чтобы заражение было сразу же выявлено, именно поэтому вредоносный код и его проявления тщательно маскируются.

Пошаговая инструкция по лечению спасению сайта

Если по тем или иным причинам заражение сайта все же произошло, необходимо немедленно приступить к устранению причин заражения и ликвидации негативных последствий. Для наиболее эффективного лечения следует использовать комплексный подход, заключающийся в выполнении определенной последовательности действий:

1. Выявление даты заражения сайта. Для этого необходимо знать источник поступления информации о заражении. Если таким источником выступает хостинг, то о дате заражения следует поинтересоваться в службе технической поддержки, если Яндекс или Google, то дата заражения может быть указана на соответствующих страницах поисковых систем (http://yandex.ru/infected?url=http%3A%2F%2Fадрес_сайта%2F&lang=ru&fmode=inject&tld=ru&la=&text=abacab.ru&l10n=ru&mime=html либо http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=адрес_сайта соответственно).

Если же источник заражения установить не удалось, то следует обратиться к профильным специалистам, которые смогут выявить дату заражения сайта по его логам.

2. Запрос резервной копии сайта (недельной давности от даты заражения). В случае если выявить дату заражения сайта не представляется возможным, следует запросить резервную копию месячной давности. Восстановление неработающих сайтов нужно производить именно с их резервных копий.

3. Перенос здоровых сайтов на другой сервер с текущего места, где они располагаются вместе с зараженным сайтом. Данная мера предосторожности позволит избежать риска заражения здоровых сайтов.

4. Временное блокирование доступа к сайту. Для этого следует в файле ".htaccess" прописать команду "Dany from All". После окончания процедуры лечения сайта команду следует удалить.

5. Проверка компьютера коммерческим (платным) антивирусом с обновленной антивирусной базой.

6. Выявление и удаление вредоносного кода. Место нахождения вредоносного кода можно узнать из сообщений хостинг-провайдера (большинство провайдеров высылают документы, содержащие перечень зараженных файлов) либо от Яндекс.Вебмастера/Google Webmaster Tools, если сообщение о заражении сайта пришло именно от них. Далее необходимо произвести проверку файлов сайта специальными антивирусными программами (Maldet, ClamAV) и удалить выявленный вредоносный код.

7. Смена паролей к панели управления хостингом и административной панели управления сайтом и FTP/SSH. При этом рекомендуется использовать сложные пароли (не менее восьми символов), в состав которых следует включить цифры, знаки препинания, заглавные и строчные буквы. Для генерации паролей можно воспользоваться услугами специализированных сервисов.

8. Отправка сообщения поисковым системам на разблокировку сайта (в случае если блокировка сайта производилась ПС). При этом отправка сообщения Яндексу осуществляется через Яндекс.Вебмастер, а в Google — через Google Webmaster Tools.

9. Отправка сообщения антивирусным системам на исключение из списка блокировки (в случае если сайт был заблокирован данными системами). Отправленное сообщение в обязательном порядке должно содержать информацию о том, что лечение сайта было успешно завершено.

10. Создание резервной копии вылеченного сайта. Данную копию следует сохранить в надежном месте, исключающем несанкционированный доступ либо угрозу заражения вредоносным программным обеспечением.

11. Постановка сайта на мониторинг безопасности, в результате чего сайт будет постоянно проверяться на наличие различных угроз безопасности и в случае их обнаружения первым уведомит вас по email и SMS.

Используя данную инструкцию, вы сможете оперативно определить по «приметам», что ваш сайт заражен, и начать лечение из 11 шагов. Так сайт не потеряет позиции, а стоящий за ним бизнес не понесет убытки.