Вірус на сайті: як знайти та видалити шкідливий код

У цій статті я поділюся реальним кейсом, як швидко вилікувати сайт від вірусу і повернути йому довіру пошукових систем та антивірусних компаній.

Як почалася історія зараження

До моєї служби підтримки звернулася підписниця Ірина з проханням допомогти: при спробі зайти на її сайт браузер видавав попередження про шкідливий код. Системи безпеки блокували доступ, зазначаючи, що сайт підтягує дані з підозрілого ресурсу.

Я провів перевірку і виявив проблему: невеликий скрипт для кнопки “вгору” завантажувався з зовнішнього джерела, яке потрапило в чорний список. Після заміни скрипта проблема зникла.

Але як діяти, якщо вірус глибше?

Ірина також стикнулася з серйознішою ситуацією на іншому своєму сайті на DLE. Антивірусна перевірка відмовлялася приймати сайт навіть після, здавалося б, повного видалення підозрілих кодів.

Проблема сайтів на DLE та варезні скрипти

Багато систем безпеки підозріло ставляться до сайтів на DLE через те, що велика частина таких проектів використовує нульовані (піратські) шаблони та модулі. Ці скрипти часто містять приховані посилання або шкідливий код, що автоматично заносить сайт до чорного списку.

Алгоритм лікування вірусу на сайті (по кроках)

Перевірка сайту через сервіс Sucuri SiteCheck (sitecheck.sucuri.net) або VirusTotal (virustotal.com).
Якщо виявлено загрозу — переходимо до видалення шкідливого коду або правок у файлі .htaccess.
Шукаємо шкідливі коди вручну:
- Відкрийте сторінку сайту, натисніть праву кнопку миші й оберіть «Перегляд коду сторінки».
- Знайдіть підозрілий фрагмент коду або посилання.
- Визначте, який файл шаблону (header, footer тощо) виводить цю частину.
Після чистки ще раз запускаємо перевірку. Бажано додати на сайт кнопку перевірки від Sucuri для швидкого доступу.
Подаємо запит у підтримку пошукових систем (Google Search Console, Bing Webmaster Tools), щоб повідомити про очищення сайту та оновлення статусу.

Що написати в запиті?

Обов’язково опишіть ситуацію чесно: сайт був заражений, але ви провели чистку, додали захист і тепер регулярно перевіряєте ресурс. У більшості випадків статус сайту оновлюється протягом кількох днів.

Як захистити сайт у майбутньому?

Використовуйте лише ліцензійні шаблони та модулі.
Встановіть WAF (Web Application Firewall), наприклад від Sucuri або Cloudflare.
Регулярно робіть резервні копії.
Встановіть моніторинг змін файлів (через плагіни або серверні рішення).
Проводьте регулярне сканування сайту через Sucuri, VirusTotal або аналогічні сервіси.

Висновок

Шкідливий код на сайті — це не вирок, але й не проблема, яку варто ігнорувати. Регулярна перевірка та профілактика зменшить ризик потрапити під фільтри систем безпеки та втратити довіру відвідувачів. Якщо вам потрібна допомога в очищенні сайту — звертайтесь!

Привіт! Я — Ашифін Федір, full-stack розробник та автор власних тем і плагінів.
Створюю сайти без використання конструкторів — лише чистий і валідний код. Це забезпечує високу швидкість завантаження та відмінні показники в Google PageSpeed, а отже — вартість кліка в рекламі зменшується в 2–3 рази.
Потрібен сайт з нуля, оптимізація існуючого проекту або доопрацювання функціоналу?
📩 Напишіть у будь-який месенджер — обговоримо ваш проект!

Коментарі до "Вірус на сайті: як знайти та видалити шкідливий код"

Николай :

25 Листопада 2013 о 14:13

Я однажды поставил на сайт какой-то левый счетчик и попал в ЧС касперского. Выяснилось что этот счетчик подгружал на сайт вредоносный код который заражал компьютеры посетителей сайта. Код счетчика я убрал, но на этом проблема не решилась. В скрипте прописалась строка которая продолжала делать свое черное дело. Вот тут пришлось потрудиться. Вредный код нашел через вэбмастер-яндекс. После того как я убрал из кода остатки деятельности счетчика и подачи заявку в лабораторию касперского – сайт убрали из ЧС. Недавно еще Яндекс возмущался на счетчик от лайвинтернет, но через несколько дней перестал.

Відповіcти
1. Надежда Введенская :
  
  28 Лютого 2014 о 19:04
  
  Вот так почитаешь и вообще побоишься что-то ставить себе на сайт. Если ты не разбираешься в кодах, то очень тяжело почистить, как это сделали вы.
  
  Відповіcти
  1. Ant :
    
    30 Квітня 2014 о 19:57
    
    Можно довериться знакомому специалисту и дать посмотреть. Я любитель, но основы понимаю. Это не сложно же. А иначе деньги платить придётся.
    
    Відповіcти
2. ashifin :
  
  25 Листопада 2013 о 20:36
  
  Я считаю что из счетчик должен быть только liveinternet и аналитика от гугла или яндекса.
  Реалии таковы что в Рунете считаются с liveinternet и пусть он сам решает свои проблемы. Мы пользуемся сервисом, он должен соответствовать..
  И если поисковики начали его недолюбливать, liveinternet должен решить эту проблему и договорится.
  авторитета у него я думаю хватит.
  Ну а нам нужно быть осторожными когда ставим на сайты посторонние ява скрипты.
  
  Відповіcти
Tkalexs-bloger :

26 Листопада 2013 о 3:00

Насчет вируса, проблем не было никогда, только если какой нибудь скрипт не хулиганил

Відповіcти
ashifin :

26 Листопада 2013 о 7:49

Добавлю по скриптам, дело в том что когда ставим на блог какую либо примочку. нужно чтоб свои функции она обрабатывала на Вашем же сайте.
Вот как пример “стрелка вверх” или тот же счетчик., они обрабатываются Ява скриптами.
Если есть такая возможность лучше создать такой де скрипт на своем сайте и направить обработку функции на него..
Вы не можете контролировать качество посторонних ресурсов и возможно они чем то не понравятся антивирусам или поисковикам. В таком случае Вы получаете негативный бал автоматически.
совсем не значит что Вы уже в списке но внимание на Вас уже обратили и взяли на заметку.

Відповіcти
1. Ant :
  
  30 Квітня 2014 о 19:56
  
  “нужно чтоб свои функции она обрабатывала на Вашем же сайте” – точно! Тут предлагали форму обратной связи без плагина, чем и гордились. Я код посмотрел, а обработчик формы на стороннем сервисе находится.Что он там делает, никто же не знает.
  
  Відповіcти
Tkalexs-bloger :

26 Листопада 2013 о 14:37

Свой первый блог на вордпресс я попробовал на качественном хостинге hostinger, но аккаунт на бесплатном хостинге, и домен 3 уровня. Так хорошо раскрутил блог и статьи были интересные, но по моему из-за подозрительного скрипта, мой аккаунт закрыли. Вот такие дела, когда бесплатный хостинг и домен

Відповіcти
1. Ant :
  
  30 Квітня 2014 о 15:26
  
  Когда подозрительный скрипт на сайте – это одно. А вот подозрительный скрипт может быть на сайте, куда указывает баннер. Тогда определить сложнее.
  
  Відповіcти
2. Надежда Введенская :
  
  28 Лютого 2014 о 19:06
  
  Тоже интересный опыт. А я как раз хотела присмотреться к этому хостингу. Правда, домен купить второго уровня.
  
  Відповіcти
Виктор :

27 Листопада 2013 о 9:55

У меня была один раз проблема с Касперским. Он не пропускал мой сайт из-за какого-то подозрительного вируса.
Но кроме него ни один вирус не реагировал!
Мне пришлось обращаться в службу поддержки Касперского и после трех дней переписки с ними они извинились, что это было недоразумение!
Даже такие дела бывают!

Відповіcти
1. Ant :
  
  30 Квітня 2014 о 15:24
  
  За Касперским есть грешок считать вирусными нормальные сайты. Тогда им писать нужно. По статистике Касперским пользуется чуть не половина пользователей.
  
  Відповіcти
Сергей :

24 Грудня 2013 о 12:59

Да у меня был случай, когда антивирус ругался на баннеры партнерки Жени Попова. Я помучился сначала, а потом не стал обращать внимание. Где-то вычитал, что твкое бывает на скрипты.

Відповіcти
Надежда Введенская :

28 Лютого 2014 о 19:07

Конечно, лучше всего в такую ситуацию не попадать. Но всегда надо быть готовым. Я скопировала алгоритм. Если что – уже буду знать, как действовать.

Відповіcти
Ant :

30 Квітня 2014 о 19:51

У Александра Бобрина последняя статья посвящена как его сайт забанил Яндекс за … использование баннера … самого же Яндекса!!!

Відповіcти
VladPchelkin :

16 Грудня 2017 о 11:07

Вирусы мой сайт пока обходили, хотя на их наличие сайт регулярно просматриваю. Благодаря статье буду знать алгоритм лечения вируса.

Відповіcти