Ручное удаление вирусов на сайте

Ручное удаление вирусов на сайте
Сегодня клиент обратился за помощью, при переходе на сайт происходит перадресация на другой домен google-statik.pw. Начнём с того, что если это крупный портал, то Яндекс буквально в этот же день помечает сайт как не безопасный, а это существенное падение трафика. Во-вторых есть пользователи у которых до сих пор не установлен антивирус, а это значит их компьютер будет заражён.

Соединился по ftp доступу к аккаунта клиента, и стал смотреть по какой причине идёт редирект. У меня же переадресация в браузере не происходила, так как антивирус Avast блокировал угрозу.



В первую очередь я обратил внимание на большой размер файла .htaccess, да и вообще в этой папке его быть не должно.



Открыл файл с помощью программы Notepad++, и увидел там злые строчки




Файл сразу же удалил с сервера, а затем полез в управление хостингом на nic.ru, и поменял пароль на ftp в разделе Веб-Сервер->Управление доступом->Ftp. Это первое, что необходимо сделать любому пользователю.




Но это было только начало, вредоносный код был прописан во все .htaccess файлы каждой папки, пришлось всё это дело удалять вручную. Зайдя в административную панель Джумлы, и просто на сайт вирус по прежнему подгружался в браузере.

Подобные проблемы встречались у меня довольно часто, и я уже знаю где искать вредоносные строчки. В шаблонах сайта!

И так  открыл шаблон сайта (templates/название шаблона/) джумлы index.php (Обычно вредоносный код прописывается в этот файл), и увидел там вот такие строчки. Данные строчки говорят о том, что при разрешение экрана меньше или равно 480 будет происходить переадресация на сайт google-statik.pw.



Строчки были удалены ни только в шаблоне самого сайта, но и в шаблоне административной панели. После удаления строчек и очистки .htaccess я скачал в интернете бесплатный антивирус Ai-bolit, и попробовал запустить его с помощью программы Putty  по протоколу SSH. Но увы обнаружил следующую ошибку: call to undefined function hash().



Полез в настройки веб-сервера nic.ru Веб-Сервер->Управление модулями (Управление расширениями), поставил галочку показать все расширения , и посмотрел установлен ли модуль hash в настройках php



Модуль установлен , но почему-то работать не хочет? Почему? В итоге запустил http://site.ru/ai-bolit.php в браузере и он заработал. Были найдены подозрительные файлы в подозрительных модулях,а так же файлах .htacess.






Была выполнена ручная чистка сайта, а так же удаление некоторых расширений Joomla. Более подобные проблемы на сайте не встречались. На хостинге лежало два сайта, второй домен был разработан на движке Bitrix, но к счатью мне пришлось удалть только файлы .htacess, шаблоны задеты не были. Всем удачи, и не болейте!

Тебе нравится?

Ваше мнение

Имя

Сообщение