FAQ: Как удалить вирус с сайта

@Taatshi · Регистрация: 05.04.2011

Студворк — интернет-сервис помощи студентам

Причины заражения

1. Непроверенные источники для скачивания CMS и расширений под них
2. Неграмотный код
3. Небрежность и игнорирование элементарных правил безопасности
4. Ненадежный, незащищенный хостинг

Признаки заражения

1. Вы ничего не меняли, а сайт вдруг перестал работать как надо: не нажимаются кнопки, не открывается или косо работает админка cms.
2. На сайте появились сторонние включения – левые ссылки, фреймы, всплывающие окна.
3. При переходах по сайту или при переходе из поисковых систем происходит редирект на сторонние сайты, не имеющие к Вашему никакого отношения. Учтите, что редирект может работать только для определенных устройств, например, для мобильных телефонов.
4. При заходе на сайт срабатывает антивирус, установленный на компьютере.
5. Поисковая система или браузер при переходе на сайт предупреждают об опасности заражения.
6. Пришло «Письмо счастья» от Яндекс или Google веб мастера.

Пункты 2, 3, 5, 6 - это не признаки, а точное подтверждение – нужно срочно принимать меры.

Что делать

1. Убедитесь, что Ваш компьютер чист и на нем стоит актуальное антивирусное ПО.
2. Сделайте полный бэкап сайта, скачайте на компьютер.
3. Проверьте даты модификации файлов. Как правило, при вирусном заражении имеет место массовое изменение многих файлов сайта в одно и то же время.
4. Проверьте бэкап антивирусами. Не позволяйте антивирусным программам лечить файлы – многие файлы будут не вылечены, а полностью удалены. Используйте отчеты данного ПО только для обнаружения файлов с вредоносными скриптами.
5. Удалите весь вредоносный код, который указан в отчетах антивирусных программ.
6. Проверьте на вредоносный код все файлы, которые не указаны в отчете антивирусных программ, но были модифицированы в то же время, что и зараженные.
7. Если Вы используете CMS – обновите до последней актуальной версии саму CMS и все установленные расширения.
8. Удалите с хостинга зараженный сайт и разверните чистый после лечения.

Рекомендации

1. Не загружайте дистрибутивы, расширения и коды из непроверенных источников – только с сайтов производителей данного ПО.
2. Удаляйте все установочные дистрибутивы расширений сразу после установки.
3. Следите за обновлениями CMS и расширений и поддерживайте Ваш сайт в актуальном состоянии.
4. Используйте сложные пароли и логины для входа в панель администратора и доступа по FTP и SSH к файловой структуре сайта.
5. Никогда не храните пароли в браузерах и ФТП клиентах, каждый раз вводите их заново.
6. Не используйте одинаковые пароли для доступа в админку, по FTP или SSH, в панель управления хостингом.
7. Раз в два-три месяца меняйте все пароли – не ленитесь этого делать.
8. Устанавливайте правильные права на папки и файлы на хостинге.
9. Если Вы привлекаете для работы с сайтом стороннего специалиста, прежде, чем дать ему доступ к сайту, обязательно сделайте полный бэкап и скачайте его к себе на компьютер. Не давайте ему основных паролей доступа, создавайте временные права доступа. После окончания работ немедленно эти доступы удалите.
10. Не открывайте доступ к сайту всем подряд – этот доступ должен быть только у того, кому он необходим для работы, и именно в том объеме, без которого нельзя обойтись. К примеру, контент-менеджеру ни к чему иметь права суперадминистратора.

Если у кого-то есть предложения, дополнения, пожелания - отписываемся в теме.

@JohnyV · 19.09.2013, 17:47

Если Ваш сайт инфицирован вредоносной программой типа Downloader.JS.Psyme.ct (название может быть другим)
Вирус действует следующим образом: он устанавливается на ваш локальный компьютер, когда кто-то заходит на инфицированный сайт через браузер со стандартными настройками безопасности. После этого он начинает подбирать логин и пароли на ФТП.Затем происходит проникновение в ваши ФТП аккаунты и в результате код вируса прописывается во все индексные страницы.

Для решение проблемы вам нужно:

1.Удалить код прописаный вирусом во всех индексных страницах
2.Удалить вирус с вашего локального PC
3.Изменить все пароли на ваши ФТП аккаунты

Обратите внимание, что проблема не связана с отсутствием безопасности на сервере, вредоносная программа работает как это описано выше.

@shestale · 24.07.2014, 12:24

Заражения сайтов вирусом Troj/JSRedir-MH.
Вирус или троян куда интереснее чем свои предшествиники, теперь в зараженных файлах прописывается не куча подозрительных строк, а вписывается аккуратный код такого вида, например у клиента он был вписан в счетчики подсчета посещения сайта и сразу в глаза не бросился, проверки через онланй системы проверки сайтовов от вирусов не к чему не привели, ругался только яндекс.

Code
1
<!--LiveInternet counter--><script type="text/javascript"><!-- document.write("<a href='http://www.liveinternet.ru/click' _cke_saved_href='http://www.liveinternet.ru/click' _cke_saved_href='http://www.liveinternet.ru/click' _cke_saved_href='http://www.liveinternet.ru/click' _cke_saved_href='http://www.liveinternet.ru/click' _cke_saved_href='http://www.liveinternet.ru/click' _cke_saved_href='http://www.liveinternet.ru/click' "+ "target=_blank><img src='http://counter.yadro.ru/hit?t54.6;r"+ escape(document.referrer)+((typeof(screen)=="undefined")?"": ";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth? screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+ ";"+Math.random()+ "' alt='' title='LiveInternet: показано число просмотров и"+ " посетителей за 24 часа' "+ "border='0' width='88' height='31'><\/a>") //--></script><script type="text/javascript"> document.write("<scr"+"ipt src='/administrator/modules/prototype.js' _cke_saved_src='/administrator/modules/prototype.js'><"+"/script>"); </script><!--/LiveInternet--> обратим внимание на эту часть кода <scripttype="text/javascript">

Code
1
document.write("<scr"+"ipt src='/administrator/modules/prototype.js' _cke_saved_src='/administrator/modules/prototype.js'><"+"/script>"); </script>

Никакого файла prototype.js для работы сайта у нас не было и к системе он не относится, заходим по пути и удаляем его, теперь возвращаемся выше и видим кучу левых созданных файлов с расширением php удаляем их тоже, оставляя только файлы от системы Joomla.
источник

@Favorskij · 08.04.2019, 14:14

Как то лет 15-20 назад, подхватил я вирус в свой сайт. Сначала заразился мой компьютер а потом и мой сайт. Хороший для меня тогда урок был в плане защиты. Защиты не только сайта, но и компьютера.

Так что господа защищайтесь... .

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .
SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .

@Taatshi Почетный модератор 12274 / 5340 / 268 Регистрация: 05.04.2011 Сообщений: 14,086 Записей в блоге: 2

	FAQ: Как удалить вирус с сайта 10.06.2013, 13:51. Показов 12910. Ответов 3 Метки удалить вирус с сайта (Все метки) Причины заражения 1. Непроверенные источники для скачивания CMS и расширений под них 2. Неграмотный код 3. Небрежность и игнорирование элементарных правил безопасности 4. Ненадежный, незащищенный хостинг Признаки заражения 1. Вы ничего не меняли, а сайт вдруг перестал работать как надо: не нажимаются кнопки, не открывается или косо работает админка cms. 2. На сайте появились сторонние включения – левые ссылки, фреймы, всплывающие окна. 3. При переходах по сайту или при переходе из поисковых систем происходит редирект на сторонние сайты, не имеющие к Вашему никакого отношения. Учтите, что редирект может работать только для определенных устройств, например, для мобильных телефонов. 4. При заходе на сайт срабатывает антивирус, установленный на компьютере. 5. Поисковая система или браузер при переходе на сайт предупреждают об опасности заражения. 6. Пришло «Письмо счастья» от Яндекс или Google веб мастера. Пункты 2, 3, 5, 6 - это не признаки, а точное подтверждение – нужно срочно принимать меры. Что делать 1. Убедитесь, что Ваш компьютер чист и на нем стоит актуальное антивирусное ПО. 2. Сделайте полный бэкап сайта, скачайте на компьютер. 3. Проверьте даты модификации файлов. Как правило, при вирусном заражении имеет место массовое изменение многих файлов сайта в одно и то же время. 4. Проверьте бэкап антивирусами. Не позволяйте антивирусным программам лечить файлы – многие файлы будут не вылечены, а полностью удалены. Используйте отчеты данного ПО только для обнаружения файлов с вредоносными скриптами. 5. Удалите весь вредоносный код, который указан в отчетах антивирусных программ. 6. Проверьте на вредоносный код все файлы, которые не указаны в отчете антивирусных программ, но были модифицированы в то же время, что и зараженные. 7. Если Вы используете CMS – обновите до последней актуальной версии саму CMS и все установленные расширения. 8. Удалите с хостинга зараженный сайт и разверните чистый после лечения. Рекомендации 1. Не загружайте дистрибутивы, расширения и коды из непроверенных источников – только с сайтов производителей данного ПО. 2. Удаляйте все установочные дистрибутивы расширений сразу после установки. 3. Следите за обновлениями CMS и расширений и поддерживайте Ваш сайт в актуальном состоянии. 4. Используйте сложные пароли и логины для входа в панель администратора и доступа по FTP и SSH к файловой структуре сайта. 5. Никогда не храните пароли в браузерах и ФТП клиентах, каждый раз вводите их заново. 6. Не используйте одинаковые пароли для доступа в админку, по FTP или SSH, в панель управления хостингом. 7. Раз в два-три месяца меняйте все пароли – не ленитесь этого делать. 8. Устанавливайте правильные права на папки и файлы на хостинге. 9. Если Вы привлекаете для работы с сайтом стороннего специалиста, прежде, чем дать ему доступ к сайту, обязательно сделайте полный бэкап и скачайте его к себе на компьютер. Не давайте ему основных паролей доступа, создавайте временные права доступа. После окончания работ немедленно эти доступы удалите. 10. Не открывайте доступ к сайту всем подряд – этот доступ должен быть только у того, кому он необходим для работы, и именно в том объеме, без которого нельзя обойтись. К примеру, контент-менеджеру ни к чему иметь права суперадминистратора. Если у кого-то есть предложения, дополнения, пожелания - отписываемся в теме. 5

@JohnyV 72 / 75 / 4 Регистрация: 05.11.2012 Сообщений: 471 Записей в блоге: 1
	19.09.2013, 17:47
	Если Ваш сайт инфицирован вредоносной программой типа Downloader.JS.Psyme.ct (название может быть другим) Вирус действует следующим образом: он устанавливается на ваш локальный компьютер, когда кто-то заходит на инфицированный сайт через браузер со стандартными настройками безопасности. После этого он начинает подбирать логин и пароли на ФТП.Затем происходит проникновение в ваши ФТП аккаунты и в результате код вируса прописывается во все индексные страницы. Для решение проблемы вам нужно: 1.Удалить код прописаный вирусом во всех индексных страницах 2.Удалить вирус с вашего локального PC 3.Изменить все пароли на ваши ФТП аккаунты Обратите внимание, что проблема не связана с отсутствием безопасности на сервере, вредоносная программа работает как это описано выше. 1

@Favorskij 61 / 23 / 8 Регистрация: 27.07.2010 Сообщений: 496
	08.04.2019, 14:14
	Как то лет 15-20 назад, подхватил я вирус в свой сайт. Сначала заразился мой компьютер а потом и мой сайт. Хороший для меня тогда урок был в плане защиты. Защиты не только сайта, но и компьютера. Так что господа защищайтесь... . 0