Как проводится антивирусная очистка сайта?

Друзья!

Порой вы спрашиваете, как избавиться от вирусов на сайте раз и навсегда. Как в конце книги "Пикник на обочине":

счастья, много и для всех

Простой выход тут один - использовать движок сайта (CMS), генерирующий статические html страницы. Такие страницы полностью защищены от взлома, они - как стена бетонная для хакера. Конкретнее могу рекомендовать TidyCMS - наиболее развитый генератор статических страниц с наиболее дружественным интерфейсом из всех известных мне аналогов.

И это НЕ реклама - просто оно так и есть. Бесплатный там проект.


В ходе очистки проверяются все без исключения файлы сайта, и вирус удаляется из всех файлов, сколько бы сотен или тысяч файлов там не было. В 90% случаев вирус прописывается в файлы с расширениями htm, html, shtml, php, asp, в именах которых присутствуют "index", "main", "default". Таких файлов может быть очень много, может быть всего несколько. Некоторые движки при добавлении вирусного кода продолжают работать и распространяют вирус, а некоторые выходят из строя и сайт перестает открываться. В таблице представлены средние (по разным версиям движков) данные по количеству уязвимых файлов в наиболее часто используемых движках сайтов, блогов и форумов:

Движок (CMS) Количество наиболее
узявимых файлов
Типичное поведение CMS при заражении
Bitrix366Пропадает футер (реже-хидер).
В очень редких случаях - продолжает работать.
UMI CMS Pro Commerce88Сайт перестает открываться.
UMI CMS Business84Сайт перестает открываться.
Joomla906Продолжает работать и распространяет вирус.
WebAssist ShopScript 200836Продолжает работать и распространяет вирус.
WebAssist ShopScript Premium 200529Продолжает работать и распространяет вирус.
WordPress8Продолжает работать и распространяет вирус.
Drupal 7 Продолжает работать и распространяет вирус.
RunCMS 1217Продолжает работать и распространяет вирус.
Invision Power Board, IPB120Продолжает работать и распространяет вирус.
VBulletin40Продолжает работать и распространяет вирус.
phpBB 3 87 Продолжает работать и распространяет вирус.

В редких случаях вирус при вписывании кода необратимо повреждает файлы сайта. В таких ситуациях сайт перестает открываться вопреки данным приведенной выше таблицы. В таких ситуациях очистка может оказаться невыполнимой. Проблема решается путем воссоздания движка файлами из резервной копии, из дистрибутива движка, либо из локальной копии сайта с идентичной версией CMS. При этом приходится учитывать, что резервные копии сайтов зачастую оказываются неполными.

После проведения очистки на уязвимые файлы ставятся более строгие атрибуты доступа (chmod), чем обычно. Если движок сайта и конфигурация сервера позволяют использовать атрибуты "только чтение для всех" (444), то используется именно такой вариант. Это позволяет перекрыть вирусу доступ к уязвимым файлам.

Обязательным условием предотвращения повторного заражения сайта является соблюдение рекомендаций, которые даются по итогам очистки сайта от вирусов.