Віруси на сайті – як їх виявити, знешкодити й ліквідувати заподіяну шкоду

Віруси на сайті – як їх виявити, знешкодити й ліквідувати заподіяну шкоду

Які загрози для власників сайтів несуть віруси

Перша й головна загроза – несправність функціоналу проєкту, повністю або частково. Уявіть собі, ніби ви відкриваєте свою сторінку, але бачите лише білий екран або вас редиректить на сумнівний сайт.

Серед інших наслідків вірусної атаки на вебресурс трапляються покази чужої реклами, зламана верстка, втрата даних та багато іншого. Та й «чорна мітка» від Google чи інших пошукових систем – «цей сайт може загрожувати безпеці вашого комп’ютера» – не найкращий метод залучення клієнтів.

Окрім ризику постійної й наростальної в масштабах втрати трафіку, є небезпека пасивізації сайту в пошуковій видачі чи навіть повне його блокування в пошукових системах.

Для бізнесу всі ці загрози вебпроєкту призводять до двох найважливіших втрат: витрати на відновлення та втрачений дохід за час простою.

Як зрозуміти, що ваш сайт інфікований

Є низка конкретних ознак, що свідчать про наявність вірусу на сайті.

Починати хвилюватися потрібно, коли ви помітите будь-які з перерахованих проблем або їхню сукупність:

• кількість відвідувачів на сайті різко знизилася;
• збільшився час завантаження сторінок ресурсу;
• різко без помітної причини підскочив показник відмов;
• у Google Search Console з’являються помилки одна за одною;
• вбудований у браузер антивірус блокує доступ до сайту;
• порушено функціонал сайту – певні можливості недоступні або інструменти працюють некоректно;
• сайт не працює взагалі – під час завантаження з’являються білі сторінки;
• на сторінках проєкту відтворюється контент, який ви не додавали;
• з’явилися проблеми зі зворотним зв’язком;
• на сервері з’явилися нові теки, файли;
• Google надіслав повідомлення про наявність шкідливого ПЗ у контейнері за використання Google Tag Manager (докладніше).

Усе це свідчить про те, що ваш ресурс підчепив вірус, а інфікований сайт – легка здобич зловмисників або майданчик для спаму.

Чим небезпечні віруси на сайті

1. Повний злам сайту (білий екран).
2. Частковий злам функціоналу, що не дозволяє, наприклад, здійснювати замовлення, відправляти заявки або здійснювати інші цільові дії.
3. Повна або часткова втрата доступу до ресурсу.
4. Розкрадання особистих даних власника проєкту та клієнтів.
5. Блокування сайту пошуковою системою й антивірусами відвідувачів
6. Зниження трафіку.
7. Виведення сайту з пошукової видачі.
8. Втрата довіри користувачів.
9. Санкції щодо домену за розсилку спаму.
10. Зниження авторитету домену.

Коли йдеться про сайти для онлайн-бізнесу, то кожна з цих проблем – це втрата прибутку.

Як вірус потрапляє на сайт

Можна окреслити чотири основні шляхи зараження сайтів вірусом:

• підбір пароля;
• вразливості сайтів;
• комп’ютер або мережа;
• вразливості хостингу або некоректне налаштування сервера.

Підбір пароля

Слабкі паролі та стандартні логіни – вірний шлях до втрати контролю над вебресурсом. Усі ці admin, user, 1111, qwerty, 1234 тощо давно відомі й зібрані в бази для атак на вебпроєкти.

Здебільшого доступ до сайту отримують за умови збереження стандартної адреси авторизації в адмінпанелі за допомогою грубого перебору – Brute force. Це атака через софт, що генерує й перевіряє логіни й паролі від адмінки сайту або phpMyAdmin для доступу до бази даних проєкту. Націлена на крадіжку особистих даних, впровадження шкідливого ПЗ та отримання повного доступу до ресурсу.

Альтернативно зловмисник може спробувати дістати доступи до ресурсу по SSH або FTP до файлів сайту. Для цього використовується софт з автоматичним заповненням паролів на комп’ютері людини, що має доступи до сайту, або підбирається пароль до FTP, SSH.

Це можливо організовувати за таких умов:

• простих паролях SSH або FTP, що містять особисту інформацію або використовуються на інших сайтах (деякі навіть не уявляють, як часто із сайтів крадуть бази з паролями й даними для входу користувача);
• завантаження та розпакування неперевіреного ПЗ;
• відсутності антивірусних програм;
• використанні для доступу програм з автозаповненням логіна й пароля;
• відсутності захисту комп’ютера.

Якщо дані для входу нехитрі, ці методи дають змогу захопити сайт або впровадити шкідливий код дуже швидко.

Безпечні комбінації, здебільшого:

• складаються з 8 + знаків;
• містять не тільки літери та цифри, а й різні спецсимволи;
• використовують символи різного регістру;
• не складаються з відомих імен, назв, дат.

Також важливо переконатися, що сайт захищений від перебору – є інструмент, що блокує IP-адресу після певної кількості некоректних спроб входу упродовж короткого часу.

Вразливості на сайті

Більшість вразливостей сайтів пов’язано з:

• використанням неактуальної версії CMS та модулів;
• інсталяцією модулів із неперевірених джерел;
• неякісним кодом.

Навіть добре захищені платформи можна зробити вразливими для вірусів та атак за умови некомпетентного втручання.

Серед актуальних вразливостей:

• незахищені форми зворотного зв’язку, що дають змогу відправляти виконувальний код;
• XSS (міжсайтовий скриптинг) – впроваджує в різні форми введення даних шкідливий код та краде файли cookies, перехоплює особисті дані для входу на сайт, робить його непрацездатним;
• SQL-ін’єкція – за умови відсутності екранування параметрів запитів полягає в передачі будь-яких SQL-запитів до бази даних, дозволяє дізнаватися особисті дані користувачів та адміністратора сайту, що може спричинити повну або часткову втрату ресурсу.
• незахищені GET та POST-запити, що дозволяють передавати шкідливий код у якості параметрів.

На вразливостях працюють зокрема такі атаки як DoS, DDoS. Вони навантажують сервера, на яких розташований сайт, за допомогою надсилання великої кількості запитів.

Імовірніше, ви мали змогу спостерігати схоже «падіння» Aliexpress в період Black Friday або Youtube під час значної завантаженості ресурсу. Різкий стрибок активності на деякий час перешкоджає коректній роботі сайту, через що користувачі не можуть отримати доступ до проєкту.

Під час атаки потік запитів генерується цілеспрямовано. А за надмірного завантаження сервера, він може видати службову інформацію, яку у звичайному режимі ніколи не віддасть. Уже використовуючи цю інформацію, зловмисник може зламати сайт – дістати доступ до адмінки, файлів або бази даних.

Через вразливості впроваджується PHP Shell, яка здобуває доступ до цілого вмісту проєкту. З її допомогою злодії можуть:

• змінювати права;
• створювати, змінювати або видаляти файли й теки;
• одержувати інформацію з баз даних;
• вбудовувати шкідливий код у різні файли.

Комп’ютер або мережа

Незахищений комп’ютер адміністратора, контент-менеджера, розробника та інших осіб, що мають безпосередній доступ до сервера, файлів та адмінки сайту також може стати джерелом шкідливого коду на сайті.

Навіть кількох хвилин достатньо, щоб дістати доступ до вебпроєкту й «заразити» його вірусом з усіма можливими наслідками.

До таких же «дір» безпеки вашого проєкту належить й використання публічних незахищених мереж для доступу до Інтернету.

Вразливості хостингу

Онлайн-сервіси для перевірки сайту на віруси

Пасивізація в результатах пошуку та інші симптоми, що описані вище – нагода для поетапної перевірки вебпроєкту на предмет виявлення шкідливого коду.

Для виконання цього завдання є спеціальні інструменти – онлайн-сканери:

• WordPress Security Scan (для сайтів на Вордпрессі);
• Kaspersky Threat Intelligence Portal (вкладки «Пошук» та «аналіз вебадрес);
• Dr.Web;
• Quterra;
• Sucuri;
• XSEO;
• VirusTotal.
• Google Безпечний перегляд (не всім відомо, але Google має власний інструмент, що дає змогу аналізувати безпеку сайтів).

Більшість інструментів запропонує інструкцію, як самостійно видалити шкідливий код із сайту, або ж допомогу в лікуванні ресурсу на платній основі.

Легкість використання спеціальних онлайн-сервісів та відносна надійність таких перевірок робить їх доступним варіантом за умови самостійної роботи. Але не забувайте про їхні недоліки – обмежені можливості сканування й порівняно менший відсоток виявлення шкідливого коду, ніж у випадку з використанням професійного софта.

Якщо сайт – частина вашого бізнесу, ми радимо оперативно звернутися до розробників техпідтримки ресурсу. Вони максимально ефективно знайдуть та видалять небезпечні файли й код, скоротять до мінімуму час простою проєкту.

Невідкладні заходи з порятунку потерпілого сайту

1. Зв’яжіться з хостером або адміністраторами сервера та окресліть суть проблеми. Підтримка перевірить зі свого боку діри, надасть логи доступу до сайту.
2. Відразу ж змініть логін та пароль від адмінки, доступи по FTP, SSH.
3. Якщо сайт сильно пошкоджений, закрийте його для відвідування та встановіть сторінку підтримки, оцініть масштаб пошкоджень.
4. Проведіть сканування вебресурсу на наявність вірусів та шкідливого коду.
5. Знайдіть на сервері файли й теки, що не належать до проєкту.
6. Видаліть усіх нових користувачів з адмін правами.
7. Проведіть очищення файлів від впровадженого шкідливого коду.

За умови потужної вірусної атаки врятувати сайт без залучення досвідченого розробника може не вдатися. До того ж не професійне втручання у файли проєкту може призвести до більш сумних наслідків. А чим серйозніша проблема, тим більші витрати на її усунення та втрати від простою.

Як убезпечити вебресурс від вірусів на майбутнє

Навчання співробітників

Перше, про що варто подбати – інструктаж працівників, що мають безпосередній доступ до сайту. Проконтролюйте, щоби на всіх робочих комп’ютерах було встановлене антивірусне ПЗ. Проведіть бесіди на тему соціальної інженерії, адже це найбільш поширений метод зараження ресурсу. Перевірте захищеність робочих машин усіх, хто має доступ до проєкту.

Бекапи

Треба створювати резервні копії кожного разу під час внесення будь-яких змін до проєкту. Звичайно, більшість хостингових компаній регулярно роблять бекапи проєктів користувачів. Однак не варто на 100 % покладатися лише на них, налаштуйте резервне копіювання за розкладом. Майте кілька копій проєкту.

Пароль

Для надійного захисту сайту, дотримуйтесь таких рекомендацій:

1. Придумайте унікальний та складний пароль, мінімум із 8-ми символів, який раніше ніде не використовувався.
2. Міняйте його раз на 30 днів.
3. Не зберігайте пароль у браузері, FTP-клієнті, пошті, соціальних мережах та месенджерах.

У такому разі злодії не зможуть дістати доступ до ресурсу методом брутфорса, перебору отриманих паролів від вашої пошти або соціальних мереж співробітників.

SSL-сертифікат

Електронний підпис проєкту містить у собі всі необхідні дані про власника сайту й захищає від несанкціонованого доступу збережені в системі:

• пароль;
• дані для входу;
• дані платіжних карт;
• особисту інформацію користувачів.

Оновлення CMS

Регулярні апдейти платформи усувають найбільш вразливі місця платформи й можливі помилки. Радимо відстежувати нові версії CMS та своєчасно оновлювати вебресурс, щоб уникнути втрати доступу до сайту.

Офіційні модулі та плагіни

У жодному разі не встановлюйте неперевірене ПЗ на свій сайт. Завантажуйте потрібні модулі лише з офіційних репозиторіїв або маркетплейсів обраної CMS.

Обмеження прав доступу

Не передавайте права доступу та паролі від адміністративної панелі невідомим людям. Перевіряйте систематично групи користувачів та рівні їхнього доступу. Встановіть коректні права для тек рівня та файлів.

Підсумок

В ідеальному світі вебмайстри, власники сайтів та фахівці підтримки стурбовані захистом сайтів та з завзятістю проводять профілактичні заходи щодо запобігання появи вірусів – шукають та закривають критичні уразливості, оновлюють системні компоненти, т. ін.

Але в реальності руйнівна дія шкідливого ПЗ виявляється здебільшого досить пізно – у разі сильних просідань у пошукових системах або масової втрати відвідувачів, яких антивіруси не пускають на сайт.

Виявлення симптомів вірусного інфікування сайту – нагода негайно відреагувати та вжити заходів.

Перевірка файлів та чистка шкідливого вмісту – процес досить трудомісткий. Щоби скоротити час простою та забезпечити надійний захист вашого онлайн-бізнесу, довіряйте його обслуговування лише компетентній команді.

Наша команда готова до співпраці.

Ми допоможемо розв’язати проблему до моменту втрати до вас довіри користувачів та рейтингу в пошукових системах.