В первую очередь необходимо тщательно проанализировать все возможные и невозможные способы заражения. Это позволит вам выявить причину, а значит – выбрать максимально эффективный способ ее устранения.
Сайт может быть заражен одним из следующих способов:
- злоумышленник получил пароли доступа к SSH, FTP или CMS;
- уязвимость веб-приложений позволяет размещать вредоносный код на сайте;
- зараженная баннерная система, партнерка или счетчик посещаемости код может стать опасным для пользователей.
В сервисе Яндекс.Вебмастер содержится вся информация о зараженных страницах сайта, включая даты проверок и вынесенный поисковой системой «диагноз». Анализ этой информации позволит вам определить вредоносный код, который появляется на страницах сайта.
Если сайт все же заражен – первым делом следует остановить сервер, чтобы оградить посетителей ресурса от потенциальной угрозы. Следующий шаг – тщательная проверка антивирусной программой с актуальной базой сигнатур угроз всех файлов веб-сервера и всех рабочих станций, с которых осуществляется администрирование сервера.
После проверки нужно заменить все пароли. Если есть возможность – можно попробовать восстановить сайт из резервной копии, которая была сделана до появления вредоносного кода. Чтобы свести риск заражения к минимуму – нужно вовремя обновлять все программное обеспечение, которое использует сайт.
Не помешает удалить всех пользователей, которые обладают расширенными полномочиями и проверить сервер на наличие веб-шелла.
После того как все эти работы проведены, нужно проверить наличие кода в следующих местах:
- шаблонах CMS, скриптах, базах данных;
- в конфигурационных файлах сервера.
Если ваш сайт размещен на shared-хостинге – незамедлительно проверьте остальные сайты, они также могут быть заражены.
При поиске кода нужно обратить внимание на следующие факторы:
- посторонний код, который априори не соответствует системе контроля версий;
- нечитаемый код;
- дата последней модификации файлов.
После того как код обнаружен и удален – пометка поисковой системы о потенциальной опасности сайта будет снята. Но это произойдет лишь после того, как Яндекс проведет повторную проверку и не обнаружит признаков опасности. Чтобы ускорить проверку и поскорее вернуть сайт в строй, можно отправить специальный запрос.
Первые несколько недель рекомендуется регулярно проверять код сайта на случай, если уязвимость не была полностью устранена или злоумышленники все еще имеют коды доступа к ресурсу.
Предотвратить заражение значительно проще, чем устранять его последствия. Поэтому не стоит пренебрегать превентивными мерами. Регулярный контроль кода, периодическая смена паролей и использование актуального антивирусного программного обеспечения сделают ваш сайт труднодоступным для злоумышленников.