Предположим, что вы только что получили уведомление о вредоносной активности на сайте. Вот полный список действий, которые нужно выполнить для удаления вирусов с сайта.
0. Проведите базовую профилактику
Базовая профилактика нужна для предотвращения повторного заражения, которое может произойти даже до того, как вы успеете удалить первую строчку вредоносного кода.
Сюда включена смена паролей ко всему и вся (админка сайта, база данных, сервер, учётная запись на хостинге), проверка и удаление подозрительных учётных записей в админке сайта, обновление компонентов безопасности используемой CMS и плагинов.
1. Сохраните бэкап заражённого сайта
Копия заражённого сайта, включая логи веб-сервера за последние несколько дней, пригодится для страховки при неудачном лечении и для анализа сайта на уязвимости, через которые он был скомпрометирован, после восстановления его работы.
Понимание того, каким образом был скомпрометирован ваш ресурс, позволит организовать более высокий уровень защиты от повторных случаев заражения. Или, если для лечения вы решите развернуть старый бэкап с чистой версией сайта — можно будет вручную восстановить добавленный позднее контент.
2. Проверьте наличие бэкапов сайта, сделанных до появления вредоноса
Приблизительное время появления вирусов можно определить, проверив дату изменения файлов сайта. Если у вас есть резервная копия сайта, созданная до заражения, для скорейшего восстановления работы проще всего сразу развернуть её и перейти к профилактике.
И не забудьте выписать премию админу — или себе, если вы сами обслуживаете сайты. Одним бэкапом вы сэкономили несколько часов времени и, вероятно, кругленькую сумму.
При восстановлении чистой копии важно помнить: это не даёт повод расслабиться и вздохнуть с облегчением. Нет гарантии, что сайт снова не будет скомпрометирован тем же образом, что и в первый раз. Поэтому после восстановления важно проанализировать, что именно стало причиной заражения — для этого пригодится сделанный на первом шаге бэкап, и принять меры защиты.
3. Приступите к поиску вирусов
Главная задача этого шага — собрать отчёты со списками заражённых файлов или вредоносных вставок кода для последующего удаления.
Нужно помнить, что разные инструменты поиска могут иметь разную степень эффективности, например, в плане частоты обновления вирусных баз. Поэтому для наилучшего результата рекомендуется использовать несколько разных инструментов поиска последовательно — это поможет составить более полную картину заражения и впоследствии более качественно выполнить лечение.
4. Выполните лечение
Здесь подход зависит от того, какой способ лечения вы выбрали. К сожалению, нет общей универсальной инструкции для каждого конкретного случая — но мы собрали для вас варианты, в каком направлении можно двигаться.
5. Повторите шаги 3 и 4 до полного отсутствия алертов в отчётах
Нет гарантии, что за первый проход вы удалите 100% вредоносного кода. Поэтому операцию придётся повторить несколько раз, пока в отчётах не появится ободряющее «Всё чисто!».
Если количество заражённых файлов в отчёте от проверки к проверке не уменьшается, это признак того, что заражение происходит повторно сиюминутно. В таком случае для лечения нужно изолировать сайт — например, развернуть и вылечить копию на отдельном сервере. На самом сервере же требуется проверить, каким образом вредоносный код повторно попадает на сайт, и заблокировать источник малвари.
6. Проверьте работоспособность сайта
Когда весь вредоносный код будет удалён, важно проверить работоспособность каждого элемента сайта. Всегда есть вероятность, что под горячую руку попадёт кусок рабочего кода: в этом случае на сайте может поехать вёрстка, перестанет работать важная форма или кнопка.
7. Создайте и скачайте резервную копию вылеченного сайта
В случае, если сайт будет заражён повторно, вам не придётся заново проходить весь процесс поиска и лечения. Такой бэкап нужно скачать с сервера или вашего хранилища резервных копий и хранить на флешке — поближе к сердцу. Или в сейфе.
8. Выполните полную профилактику
Когда вы завершите лечение сайта, проверите его работу и сделаете бэкап чистой версии, нужно переходить к следующему обязательному шагу — расширенным профилактическим мерам. Без этого ваш сайт может быть заражён повторно уже в течение нескольких следующих часов.
9. Сообщите поисковым системам о решении проблемы
Этот шаг необходим, чтобы ваш сайт перестал отображаться у посетителей как вредоносный ресурс и вернул себе позиции в поиске. Сообщить об удалении вирусов и восстановлении работы сайта можно в инструментах веб-мастера, в тех же самых, в которых создаются отчёты безопасности на этапе поиска вирусов.
Правда, для того, чтобы восстановить репутацию сайта после лечения полностью, этого недостаточно — необходимо предпринять дополнительные меры:
- сообщить об удалении вирусов поисковым системам;
- извлечь сайт и IP-адрес из чёрных списков и списков вредоносных ресурсов антивирусов.
10. Выполняйте профилактику безопасности сайта на регулярной основе
Технологии меняются непрерывно — ежедневно появляются новые механизмы защиты данных и не менее новые способы их обхода. В таких условиях важно тщательно следить за состоянием ваших сайтов и сервера:
- периодически менять пароли ко всем элементам инфраструктуры;
- следить за новостями из сферы информационной безопасности;
- оперативно реагировать на обновления и обнаруженные уязвимости и др.
Собрали общий список рекомендаций и полезных ресурсов для профилактики в отдельной статье. Следуя этим советам, вы не только решите проблему с заражением сайта, но и защитите сайт от посягательств в будущем.
