Порядок действий при обнаружении вируса на сайте
В подавляющем большинстве случаев взлом и заражение происходит через уязвимости в коде скриптов сайтов. Для защиты от взломов нужно произвести комплексную проверку скриптов на наличие в них потенциальных уязвимостей, которые при определенных запросах к сайту дадут возможность создавать файлы или производить ещё какие-то нежелательные действия. Помимо этого нужно постоянно следить за выходом обновлений для CMS и дополнений, незамедлительно производить обновления, постоянно следить за подозрительными запросами к сайтам в журналах. Наличие таких подозрительных запросов может сигнализировать о попытках взлома и указать на конкретную уязвимость. Стоит воздержаться от установки на сайт дополнений, тем и прочих скриптов из различных не доверенных источников, т.к. их разработчики могут умышленно добавлять в них уязвимости. Не лишним будет периодически просматривать тематические сайты и форумы в Интернете, посвященные безопасности сайтов, т.к. там часто публикуют материалы о новых способах взлома той или иной CMS и о соответствующих способах защиты.
Другой способ взлома - это кража паролей доступа от площадки с помощью вирусов на компьютерах, с которых происходит работа с площадкой, в частности, работа по FTP. Для защиты нужно периодически менять пароль и следить за отсутствием вирусов на компьютерах, а также не использовать пароли в общественных сетях (интернет-кафе, бесплатный WiFi и т.д.).
Примерный порядок действий при заражении сайтов на площадке:
- Смените FTP-пароль
- Попробуйте заказать резервную копию или восстановите сайт из собственной копии. Возможно, заражение произошло недавно и в копии сайт чистый. Заказать нашу резервную копию можно в личном кабинете.
- ОБНОВИТЕ ВАШУ CMS, обновите антивирус, проверьте компьютер на наличие вирусов.
- Проверьте все сайты на площадке на наличие посторонних файлов и вирусов с помощью специализированных внешних сервисов и скриптов. Компании, оказывающие подобные услуги, можно найти в Интернете. Также Вы можете заказать такую проверку у нас, оформив заявку из личного кабинета.
- Если вы сохранили подозрительный или измененный файл сайта, появившийся на площадке, то по метке времени его создания выполните анализ HTTP POST запросов к сайтам, которые были выполнены в это время. В некоторых случаях полученная информация из журналов может помочь найти уязвимые скрипты сайта и посторонние вредоносные файлы. Журналы HTTP запросов к сайтам (access_log) за последние 14 дней доступны в корне площадки в директории _logs
Отметим, что FTP-протокол не шифруется и данные передаются в открытом виде, поэтому программы-шпионы могут перехватывать информацию. Именно поэтому в целях безопасности вместо FTP лучше использовать защищенный доступ.
На Unix-хостинге рекомендуем ограничить доступ по FTP, разрешив его только с определенных IP-адресов:
https://masterhost.ru/support/hosting/work-with-data/ftpaccess/