Вирус на сайте: как найти и удалить вредоносный код

В этой статье я поделюсь реальным кейсом, как быстро вылечить сайт от вируса и вернуть ему доверие поисковых систем и антивирусных сервисов.

Как началась история заражения

Ко мне в службу поддержки обратилась подписчица Ирина с просьбой помочь: при попытке зайти на ее сайт браузер выдавал предупреждение о вредоносном коде. Системы безопасности блокировали доступ, указывая, что сайт загружает данные с подозрительного ресурса.

Я провел проверку и нашел проблему: небольшой скрипт для кнопки «вверх» загружался с внешнего источника, который попал в черный список. После замены скрипта проблема исчезла.

Но что делать, если вирус глубже?

Ирина также столкнулась с более серьезной ситуацией на другом своем сайте на DLE. Антивирусная проверка отказывалась принимать сайт даже после, казалось бы, полного удаления подозрительных кодов.

Проблема сайтов на DLE и варезные скрипты

Многие системы безопасности настороженно относятся к сайтам на DLE из-за того, что большая часть таких проектов использует нуленые (пиратские) шаблоны и модули. Эти скрипты часто содержат скрытые ссылки или вредоносный код, что автоматически заносит сайт в черный список.

Алгоритм лечения вируса на сайте (пошагово)

Проверьте сайт с помощью сервиса Sucuri SiteCheck (sitecheck.sucuri.net) или VirusTotal (virustotal.com).
Если угроза обнаружена — переходите к удалению вредоносного кода или корректировке файла .htaccess.
Поиск вредоносного кода вручную:
- Откройте страницу сайта, нажмите правой кнопкой мыши и выберите «Просмотреть код страницы».
- Найдите подозрительный фрагмент кода или ссылку.
- Определите, какой файл шаблона (header, footer и т.д.) выводит эту часть.
После очистки снова запустите проверку. Рекомендуется добавить на сайт кнопку проверки от Sucuri для быстрого доступа.
Отправьте запрос в поддержку поисковых систем (Google Search Console, Bing Webmaster Tools) для обновления статуса сайта.

Что писать в запросе?

Обязательно опишите ситуацию честно: сайт был заражен, но вы его почистили, усилили защиту и теперь регулярно проводите проверки. В большинстве случаев статус сайта обновляется в течение нескольких дней.

Как защитить сайт в будущем?

Используйте только лицензионные шаблоны и модули.
Установите WAF (Web Application Firewall), например от Sucuri или Cloudflare.
Регулярно делайте резервные копии.
Внедрите мониторинг изменений файлов (через плагины или серверные решения).
Проводите регулярное сканирование сайта через Sucuri, VirusTotal или аналогичные сервисы.

Вывод

Вредоносный код на сайте — не приговор, но и не проблема, которую стоит игнорировать. Регулярная проверка и профилактика уменьшат риск попадания под фильтры систем безопасности и потери доверия посетителей. Если вам нужна помощь в очистке сайта — обращайтесь!

Привет! Я — Ашифин Фёдор, full-stack разработчик и автор собственных тем и плагинов.
Разрабатываю сайты без использования конструкторов — только чистый, валидный код. Это обеспечивает высокую скорость загрузки и отличные показатели в Google PageSpeed, а значит — стоимость клика в рекламе в 2–3 раза ниже.
Нужен сайт с нуля, оптимизация существующего проекта или доработка функционала?
📩 Пишите в любой мессенджер — обсудим ваш проект!

Коментарі до "Вирус на сайте: как найти и удалить вредоносный код"

Николай:

25 ноября 2013 в 14:13

Я однажды поставил на сайт какой-то левый счетчик и попал в ЧС касперского. Выяснилось что этот счетчик подгружал на сайт вредоносный код который заражал компьютеры посетителей сайта. Код счетчика я убрал, но на этом проблема не решилась. В скрипте прописалась строка которая продолжала делать свое черное дело. Вот тут пришлось потрудиться. Вредный код нашел через вэбмастер-яндекс. После того как я убрал из кода остатки деятельности счетчика и подачи заявку в лабораторию касперского — сайт убрали из ЧС. Недавно еще Яндекс возмущался на счетчик от лайвинтернет, но через несколько дней перестал.

Ответить
1. Надежда Введенская:
  
  28 февраля 2014 в 19:04
  
  Вот так почитаешь и вообще побоишься что-то ставить себе на сайт. Если ты не разбираешься в кодах, то очень тяжело почистить, как это сделали вы.
  
  Ответить
  1. Ant:
    
    30 апреля 2014 в 19:57
    
    Можно довериться знакомому специалисту и дать посмотреть. Я любитель, но основы понимаю. Это не сложно же. А иначе деньги платить придётся.
    
    Ответить
2. ashifin:
  
  25 ноября 2013 в 20:36
  
  Я считаю что из счетчик должен быть только liveinternet и аналитика от гугла или яндекса.
  Реалии таковы что в Рунете считаются с liveinternet и пусть он сам решает свои проблемы. Мы пользуемся сервисом, он должен соответствовать..
  И если поисковики начали его недолюбливать, liveinternet должен решить эту проблему и договорится.
  авторитета у него я думаю хватит.
  Ну а нам нужно быть осторожными когда ставим на сайты посторонние ява скрипты.
  
  Ответить
Tkalexs-bloger:

26 ноября 2013 в 3:00

Насчет вируса, проблем не было никогда, только если какой нибудь скрипт не хулиганил

Ответить
ashifin:

26 ноября 2013 в 7:49

Добавлю по скриптам, дело в том что когда ставим на блог какую либо примочку. нужно чтоб свои функции она обрабатывала на Вашем же сайте.
Вот как пример «стрелка вверх» или тот же счетчик., они обрабатываются Ява скриптами.
Если есть такая возможность лучше создать такой де скрипт на своем сайте и направить обработку функции на него..
Вы не можете контролировать качество посторонних ресурсов и возможно они чем то не понравятся антивирусам или поисковикам. В таком случае Вы получаете негативный бал автоматически.
совсем не значит что Вы уже в списке но внимание на Вас уже обратили и взяли на заметку.

Ответить
1. Ant:
  
  30 апреля 2014 в 19:56
  
  «нужно чтоб свои функции она обрабатывала на Вашем же сайте» — точно! Тут предлагали форму обратной связи без плагина, чем и гордились. Я код посмотрел, а обработчик формы на стороннем сервисе находится.Что он там делает, никто же не знает.
  
  Ответить
Tkalexs-bloger:

26 ноября 2013 в 14:37

Свой первый блог на вордпресс я попробовал на качественном хостинге hostinger, но аккаунт на бесплатном хостинге, и домен 3 уровня. Так хорошо раскрутил блог и статьи были интересные, но по моему из-за подозрительного скрипта, мой аккаунт закрыли. Вот такие дела, когда бесплатный хостинг и домен

Ответить
1. Ant:
  
  30 апреля 2014 в 15:26
  
  Когда подозрительный скрипт на сайте — это одно. А вот подозрительный скрипт может быть на сайте, куда указывает баннер. Тогда определить сложнее.
  
  Ответить
2. Надежда Введенская:
  
  28 февраля 2014 в 19:06
  
  Тоже интересный опыт. А я как раз хотела присмотреться к этому хостингу. Правда, домен купить второго уровня.
  
  Ответить
Виктор:

27 ноября 2013 в 9:55

У меня была один раз проблема с Касперским. Он не пропускал мой сайт из-за какого-то подозрительного вируса.
Но кроме него ни один вирус не реагировал!
Мне пришлось обращаться в службу поддержки Касперского и после трех дней переписки с ними они извинились, что это было недоразумение!
Даже такие дела бывают!

Ответить
1. Ant:
  
  30 апреля 2014 в 15:24
  
  За Касперским есть грешок считать вирусными нормальные сайты. Тогда им писать нужно. По статистике Касперским пользуется чуть не половина пользователей.
  
  Ответить
Сергей:

24 декабря 2013 в 12:59

Да у меня был случай, когда антивирус ругался на баннеры партнерки Жени Попова. Я помучился сначала, а потом не стал обращать внимание. Где-то вычитал, что твкое бывает на скрипты.

Ответить
Надежда Введенская:

28 февраля 2014 в 19:07

Конечно, лучше всего в такую ситуацию не попадать. Но всегда надо быть готовым. Я скопировала алгоритм. Если что — уже буду знать, как действовать.

Ответить
Ant:

30 апреля 2014 в 19:51

У Александра Бобрина последняя статья посвящена как его сайт забанил Яндекс за … использование баннера … самого же Яндекса!!!

Ответить
VladPchelkin:

16 декабря 2017 в 11:07

Вирусы мой сайт пока обходили, хотя на их наличие сайт регулярно просматриваю. Благодаря статье буду знать алгоритм лечения вируса.

Ответить