Close
KR. LABORATORIES
Digital-лабораторія IT технологій
 UK EN

Очищення сайтів від вірусів

🔍 Як очистити сайт від вірусів?

Лікування сайтів від вірусів (Malware Removal) – це комплекс заходів і методик, спрямованих на виявлення та усунення шкідливого коду й зловмисного програмного забезпечення в межах електронних ресурсів.

Основні причини появи вірусів на сайті:

Виявлення вірусів з допомогою VirusTotal

Аналіз шкідливих файлів і програм в сервісі VirusTotal.

  • Відсутність фаєрволу (WAF): на сайті не встановлена система виявлення та запобігання комп’ютерним атакам та вірусам, не ведеться моніторинг і відстеження підозрілої активності, логування інцидентів і подій, відсутні правила блокування IP-адрес.
  • Відсутність двофакторної авторизації (2FA): на сайті відсутні програмні модулі авторизації з додатковим підтвердженням через пристрій або додаток (Google Authentificator), що захищають від зламу.
  • Відсутність CAPTCHA: на сайті відсутня інтелектуальна система захисту від ботів та спаму, яка являє собою захисну перевірку у вигляді тесту, наприклад Google reCaptcha чи Cloudflare Captcha.
  • Відсутність перевірки вхідних даних (input validation, sanitization code): інформація яка надсилається на сайт належним чином не перевіряється, не очищується і не екранізується від забороненого коду, що дозволяє зловмиснику виконувати різні скрипти у тілі сайту (DOM), виконувати SQL/PHP/XSS-ін’єкції, проводити атаки із завантаженням файлів (LFI/RFI) та віддаленим виконанням шкідливого коду (RCE).
  • Відкриті мережеві порти: на сервері існує велика кількість публічно доступних, незахищених мережевих портів на протоколах TCP і UDP. Вхідні з’єднання з ними не фільтруються, номера портів встановлені по замовчуванню, що створює ризики Brute Force атак, флуду, злому, проникнення.
  • Відсутність HTTP-заголовків безпеки: у кодах відповіді сайту відсутні спеціальні HTTP-заголовки, які захищають з’єднання від перехоплення, ін’єкцій, MITM-атак, клікджекінгу, хіджекінгу та інших маніпуляцій по протоколу HTTP.
Видалення вірусів на сервері

Виявлення зловмисного програмного забезпечення на VPS-сервері з допомогою мережевих сканерів.

  • Відсутність SSL-сертифіката: сайт використовує незахищене HTTP-з’єднання, яке є вразливим до кібератак. SSL-сертифікат не встановлений, не налаштований належним чином або неякісний. На сервері використовуються застарілі TLS-протоколи.
  • Помилки в конфігурації (security misconfiguration): система не налаштована і не протестована належним чином, сайт і веб-сервер, який його обслуговує, працюють з перебоями, використовуються типові налаштування, які призводять до різних помилок, високого навантаження, а також вразливостей.
  • Недостатні контроль і політика доступу: в межах електронного ресурсу не ведеться аналіз та контроль облікових записів, операції користувачів не записуються у журнали, відсутні сповіщення про входи та зміни у файловій системі, некоректно налаштовані права доступу.
  • Слабкі паролі (weak passwords): використовуються надто легкі та короткі паролі для доступу до облікових записів, адміністративних частин сайту, мережевих і серверних сервісів, їх можна підібрати методом перебору.
  • Застарілі або неякісні компоненти (outdated components): на сайті використовується програмне забезпечення, модулі та плагіни з ненадійних джерел, які більше не підтримуються, містять помилки вихідного коду або потребують негайного оновлення.
  • Незахищений хостинг: власник користується віртуальним Shared-хостингом, де відсутня автоматична перевірка файлів на віруси, адміністратори не проводять технічних заходів щодо забезпечення кіберзахисту серверів та виявлення Malware. У висновку на серверах з’являються заражені сайти, які можуть негативно впливати на сусідні ресурси.

Основні джерела зараження, походження та надходження вірусів:

How to find malware code

Зразки шкідливого коду, відібрані у процесі досліджень.

  • Nulled-плагіни і теми, Crack’и – це неліцензійне, “піратське” або зламане програмне забезпечення, добровільно завантажене власником сайту зі сторонніх неперевірених джерел, форумів, торент-трекерів. Такі компоненти, зазвичай, містять вбудований шкідливий код (стилер, майнер) або скрипт, що проявляє себе у рідких випадках.
  • Відсутність цифрової грамотності і гігієни – недотримання власником сайту базових вимог і рекомендацій безпеки в інтернеті, відвідування шкідливих сайтів, відсутність VPN, наївність, довірливість та неуважність, перехід за різними посиланнями та таке інше. Власник в таких випадках сам стає джерелом появи вірусів на своєму сайті.
  • Недобросовісні конкуренти – це конкуренти по ніші, справі або бізнесу, які намагаються вивести ваш сайт з ладу та таким чином відбити потік користувачів, відвідувачів, прихильників, потенційних клієнтів.
  • Чорні хакери (Black-Hat Hackers) – це фахівці з кібербезпеки, які зламують сайти з допомогою різних методів та прийомів хакінгу, на замовлення або для своїх потреб і задач: соціальної інженерії, фішингу, організації ботнет, проведення DOS/DDOS-атак.
  • Чорні сеошники (Black-Hat SEO) – це фахівці з пошукової оптимізації (SEO), які використовують чорні методи просування у пошукових системах і застосовують заражені сайти для спаму, монетизації, заробітку на партнерських програмах, посиланнях, продажу.
  • APT (Advanced Persistent Threat) – це добре організовані команди професійних пентестерів Red Team, які працюють незалежно або спонсоруються урядами, і мають конкретну ціль – цілеспрямовано взламати конкретний сайт, організацію або компанію.
  • Script-Kiddie – це просунуті інтернет-користувачі, які не дотягують до рівня професійних хакерів і займаються хакінгом заради хобі або навчання, не мають якоїсь конкретної корисливої мети.

Наслідки вірусів на сайті:

Japanese SEO Hack

Приклад дії зловмисного коду, який назвали Japanese Hack. Визначити його можна за японськими літерами на сторінках сайту, які з’являються в сніппетах у пошуковій видачі.

  • Сайт втрачає рейтинг та репутацію у пошукових системах (трафік/позиції).
  • IP-адреса сайту може бути занесена у чорні списки різних сервісів і онлайн-систем (blocklists), у тому числі міжнародних та державних.
  • Сайт може без відома власника брати участь у злочинних операціях, DDOS-атаках, розсилати спам і фішингові повідомлення.
  • Сайт працює з помилками та частими збоями.
  • Сайт втрачає довіру збоку користувачів.
  • Дані користувачів (паролі, веб-гаманці, номери, банківські реквізити, cookie, сесії) можуть бути перехоплені і викрадені злочинцями.
  • Хостинг-провайдер може забанити сайт без права на поновлення.
  • Віруси можуть автоматично завантажуватись на пристрої користувачів і паралізувати операційні системи, що створює ризик ланцюжкової реакції та може спричинити масову епідемію.
  • Власник сайту може бути оштрафований і притягнутий до кримінальної відповідальності правоохоронними органами за систематичні порушення.
Фахівці KR. Laboratories допоможуть вилікувати будь-який сайт. Ми розробили власні алгоритми та методологію пошуку шкідливого програмного забезпечення. Проводимо ретельну перевірку сайтів на віруси, скануємо на вразливості, оцінюємо захищеність, визначаємо джерело поширення вірусу та проводимо дезінфекцію коду, бази даних, файлів. Далі здійснюємо оптимізацію кібербезпеки для запобігання майбутнім загрозам.

Симптоми і ознаки зараження сайту

Нестабільна робота сайту

Зловмисне ПЗ суттєво споживає серверні ресурси, зокрема оперативну пам'ять й перенавантажує сайт - він починає працювати з перебоями, повільно вантажиться, контент може з'являтися із затримкою. Ті чи інші веб-сторінки можуть викликати зависання браузера. Верстка деяких блоків починає некоректно відображатися. З'являються глюки і системні помилки, зокрема помилка з'єднання з базою даних.

Виринаючі вікна і спливаючі popup-банери

Періодично на деяких сторінках для певних відвідувачів з'являється нав'язливий popup-банер несподіваного змісту, який після закриття показується знову. Може супроводжуватися відео або аудіо. При натисканні запускається шкідливий сценарій або перенаправлення. Зловмисники таким чином перехоплюють дані користувачів, монетизують кліки, заробляють на партнерських програмах.

Регулярний спам

На сайті постійно з'являється спам у коментарях або надсилається через веб-форми. Без відома власника на сайті поповнюється кількість зареєстрованих акаунтів. На електронну пошту приходять підозрілі повідомлення з нав'язливим змістом. Від імені сайту проводяться масові розсилки й відправляються фішингові листи.

Невідомі файли

В різних директоріях сайту з'являються підозрілі файли з невідомим вмістом. Деякі системні файли зникають, деякі модифікуються і можуть містити дивний веб-код або спецсимволи. Як правило, це маркери шкідливого ПЗ.

Раптові перенаправлення

Деякі веб-сторінки у випадковому порядку перенаправляють відвідувачів на сторонні спамні чи токсичні (ставки, казино), фішингові ресурси - відбувається так-званий шкідливий редирект (malicious redirect). Зловмисники таким чином перенаправляють трафік з сайту жертви на свої клоаки і дорвеї, монетизуючи їх. Причому це перенаправлення може маскуватися і спрацьовувати лише для конкретних пристроїв, браузерів, User-Agent, геолокації, IP/MAC-адрес, що значно ускладнює виявлення.

Сторінки з ієрогліфами у пошуку

В індексі пошукових систем з'являються заражені веб-сторінки, які містять автоматично згенерований контент, невідомий власнику. Часто це контент з китайськими/японськими літерами (Japanese Keyword Hack) або іншими ієрогліфами, що є головною ознакою того, що сайт зламаний або заражений вірусом.

Приховані посилання

На сайті з'являються приховані URL-посилання, які можуть зливатися з кольором тла або прикриватися CSS-стилями та додатковими шарами веб-елементів. Через це вони стають непомітними власнику та відвідувачам. Таким чином зловмисники можуть використовувати вразливий сайт як лінкоферму для продажу посилань.

Сповіщення браузера і пошукових систем

Браузери, антивірусні програми сповіщають про небезпеку і блокують доступ до сайту, а у панелях вебмайстрів (Google Search Console, Bing Webmaster) з'являється повідомлення про появу шкідливого коду.

☣️ Види і типи комп'ютерних вірусів

Комп’ютерний вірус – це шкідливе програмне забезпечення, код або скрипт, який має зловмисну мету і виконує деструктивну функцію, може маскуватися і саморозмножуватися, поширюватися на інші ресурси та системи.

Історія перших комп’ютерних вірусів починається у 1980-х роках: “Ель-клоно”, “Єрусалим”, “Хробак Морріса”. В Україні комп’ютерний вірус з’явився у 1988 році під назвою “C-648”. Він важив 648 байтів і заражав COM-файли в операційній системі MS-DOS. У 1995 році була вперше запущена епідемія комп’ютерного вірусу – “Чорнобиль”. У 1999-му – епідемія вірусу “Меліса”, який розповсюджувався електронною поштою. У 2000 році вірус “ILOVEYOU” потрапив у Книгу рекордів Гіннеса – інфікував близько 4 мільйони комп’ютерів по всьому світу. Інші небезпечні віруси: Nimda, Mydoom, Sobig, Sasser, CryptoLocker, Klez, Zeus, Code Red, Stuxnet, WannaCry, Mirai Botnet, Tanatos, Yaha, Swem, Storm Worm, Sircam, FlashBack, Conficker, Explorezip, SpreadBanker.

З активним розвитком інтернету та появою великої кількості сайтів, з’явилися віруси та скриптові движки, написані на PHP/SQL/JavaScript, які можуть непомітно паразитувати у тілі та базі даних сайтів, мігрувати між серверами. Ось найвідоміші з них: WSHRAT, Houdini RAT, SQL Slammer Worm, Filesman Backdoor, Japanese Keyword SEO Hack, Pharma Redirect Hack, WordPress Content Injection Hack, Trojan-Downloader, Trojan PHP-infecter, Trojan PHP-iframer, Trojan JS-iframe, Gootkit та інші. В Україні, за нашими підрахунками, від цих та інших типів вірусів щоденно потерпають близько 100 сайтів.

Backdoor

Зловмисний код або програма, яка використовується для прихованого "чорного входу" в систему. Застосовується для віддаленого доступу і керування системою.

Shell

Програмне забезпечення, яке являє собою середовище з графічним інтерфейсом (оболонку командного рядка) для несанкціонованого віддаленого управління сервером.

Adware

Шкідливе програмне забезпечення, яке показує користувачам нав'язливу, заборонену, токсичну рекламу у вигляді спливаючих popup-вікон та банерів.

Rootkit

Зловмисна програма, яка максимально глибоко інтегрується в систему і маскується під виглядом системних файлів або служб, отримуючи права адміністратора root.

Stealer

Шкідливе програмне забезпечення, призначене для викрадення приватних даних з браузера, додатків або пристрою користувача: cookie, логіни, паролі, метадані, логи.

Spyware

Шпигунське програмне забезпечення, яке застосовується для відстеження дій користувача і викрадення персональних, конфіденційних, службових даних.

Trojan

Зловмисне ПЗ, яке потрапляє на сайт під виглядом санкціонованої програми, наприклад плагіну або теми. Може перехоплювати дані, проводити DDOS-атаки та інші дії.

Mainer

Зловмисне ПЗ, яке використовується для незаконного видобутку криптовалюти. Таємно використовує ресурси сайту, браузера або пристрою жертви.

Видалення комп'ютерних вірусів

Етапи видалення вірусів на сайті

01. Резервне копіювання

Проводимо комплексне резервне копіювання усього сайту перед початком очищення - файлів, директорій, дамп бази даних.

02. Сканування

Здійснюємо динамічне (DAST) й статичне (SAST) сканування сайту. Скануємо код, посилання, компоненти, модулі, плагіни, бібліотеки, сервіси. Скануємо сервер з допомогою утиліт. Перевіряємо та сортуємо файли різних розширень: виконувані (sh, php, py, exe, bat, rb, pl), службові (ini, inc, so, cfg, cgi, asp), розмітки (json, yml, html, htm, xml, shtml), стилі і скрипти (css, js), текстові (txt, rtf), документи (pdf, doc, xlsx, odt), архіви (tar, rar, zip, gz), зображення (ico, img, gif, png, bmp, webp), аудіо та відео, нестандартні (phtml, php.jpg, php3, php7 та ін.). Уважно обстежуємо файли конфігурації (index.php, header.php, footer.php, 404.php, view.php, htaccess, wp-settings, wp-admin, wp-includes, wp-config.php, wp-load.php, wp-blog-header.php, functions.php, robots.txt, sitemap.xml), log-файли (access.log, error.log). Перевіряємо задачі планувальника cron. Фіксуємо наявність будь-яких змін, запитів, директив в системі. Скануємо облікові записи і перевіряємо права доступу на запис/читання (file permissions, chmod, chown). Окремо перевіряємо MySQL базу даних. Додатково зв'язуємося з хостинг-провайдером та обґрунтовуємо, щоб він провів у себе антивірусну перевірку на серверах.

03. Реверс-аналіз

Додатково розгортаємо локальну копію в ізольованому середовищі (пісочниці), де проводимо глибокий реверс-аналіз та ідентифікацію шкідливих фрагментів, тегів, артефактів, паттернів, маркерів. Проводимо евристичний і сигнатурний аналіз. Аналізуємо base64-код, функції eval (), file_get_contents, preg_replace(). Досліджуємо процеси на сервері. Аналізуємо заражені веб-сторінки з використанням різних User-Agent, наприклад Googlebot. Аналізуємо мережеві пакети з допомогою Wireshark/tcpdump. Класифікуємо вразливості за типом і характером. Проводимо депакінг і деобфускацію шкідливого коду.

04. Очищення

Очищуємо сайт від вірусів, шкідливого коду, заражених файлів, сторінок, блоків, застарілих плагінів, інфікованого кешу. Перевстановлюємо усі необхідні компоненти. За потреби перевстановлюємо CMS, відновлюємо базу даних із дампу, переносимо сайт на захищений хостинг.

05. Тестування

Перевіряємо роботу, функціональність, працездатність і цілісність полагодженого, відновленого сайту.

06. Захист

Встановлюємо рішення кіберзахисту веб-сайту, проводимо їх ретельне налаштування і конфігурацію. Зміцнюємо оборону мережевого периметра. За потреби налаштовуємо Firewall та інші засоби серверної безпеки (CSF, IPtables, Snort, ClamAV, phpMussel, modSecurity, SpamAssasin, SELinux).

🚀 Ми запустили окрему послугу – захист від DDOS-атак

Наші інструменти

Наші переваги

Гарантія 7 днів

Інженери з кібербезпеки KR. Laboratories допоможуть швидко і ефективно почистити сайт від вірусів з гарантією.

Підтримка 24/7

Ми завжди на зв'язку, надаємо цілодобову технічну підтримку, готові взятися за ваш сайт вже сьогодні, якщо він потребує негайної допомоги.

Лікуємо усі види сайтів ТА CMS

Лікуємо сайти будь-якого типу: самописні, інформаційні, корпоративні, сайти на CMS WordPress, Joomla, Drupal, OpenCart, Majento, phpBB та інші.

Конфіденційність

Ми гарантуємо сувору конфіденційність і дотримання NDA-договору та відповідність GDPR у співпраці з вами.

Методологія і стандарти

Намагаємося дотримуватись світових вимог, стандартів і рекомендацій з кібербезпеки: OWASP, SANS, ISO 9001/27001, COBIT, NIST, PCI-DSS, HIPAA, ISACA тощо.

Досвідчені фахівці

Наші фахівці - бакалаври, магістри, доктора комп'ютерних наук. Пройшли стажування та отримали сертифікацію аналітиків з кібербезпеки.

Власна антивірусна база

Приблизно з 2021 року ми почали наполегливо вивчати і цікавитись зразками шкідливого коду. На сьогодні у нашій базі понад 100 різних зразків та сигнатур зловмисного програмного забезпечення.

Унікальні алгоритми

Розробили власний алгоритм пошуку, виявлення та знешкодження шкідливого коду і зловмисного ПЗ.

Як ми працюємо?

1 крок

Отримуємо заявку

Ви надсилаєте заявку на нашому сайті або через email. Наш спеціаліст зв’яжеться для уточнення деталей та надішле електронний бриф до заповнення, щоби ми могли краще зрозуміти ваші очікування. В цілях безпеки, Ви також маєте підтвердити право власності на домен.

2 крок

Визначаємо вартість

На основі отриманої інформації від Вас та експрес-аудиту сайту, розраховуємо вартість роботи. Ви отримуєте комерційну пропозицію, де буде також вказано покроковий план і терміни виконання.

 

3 крок

Укладаємо договір

Укладаємо договір про нерозголошення конфіденційної інформації (NDA). Цим договором ми закріплюємо наші домовленості та відповідальність.

4 крок

Отримуємо доступи

Отримуємо усі необхідні доступи, потрібні для очищення сайту: 1. Доступ до сайту/сервера по FTP/SSH; 2. Доступ до хостинг-панелі; 3. Доступ до панелі адміністрування сайту.

5 крок

Видаляємо віруси

Наші спеціалісти проводять операції з виявлення та знешкодження вірусного коду, суворо дотримуючись міжнародних правил, стандартів та рекомендацій.

6 крок

Надаємо звіт

По закінченні роботи надаємо PDF-звіт, який включає хронологію усіх дій, характеристику шкідливого коду та знайдених вразливостей, висновки і рекомендації.

Найпоширеніші запитання

Процедура виявлення та видалення комп’ютерних вірусів є досить складною. Це процес, який вимагає від дослідника знання різних технологій та навичок. Непідготовлений користувач разом з вірусом може видалити системний компонент і вивести з ладу сайт. Щоби не пройшло повторне зараження, необхідно виявити джерело шкідливого коду та закрити усі дірки безпеки сайту. Відповідно з цим може справитися лише фахівець-аналітик з кібербезпеки.

Не всі сканери бачать віруси на сайті. Комп’ютерні віруси, зазвичай, маскуються під корисні або службові програми. За статистикою, у 80% випадків антивірусні сканери не бачать проблем. Тому що не всі віруси присутні у їх базах. Більшість сканерів лише виявляють та оцінюють загрози, що недостатньо для їх знешкодження. Тільки ручне очищення допоможе полікувати та назавжди позбавитись вірусів на сайті.

Ні. В послугу лікування та відновлення сайту входить лише виявлення та вилучення вірусів. Аудит безпеки, оптимізація та інтеграція рішень безпеки – це послуги, які вимагають окремого підходу і надаються окремо.

Замовити лікування сайту

Оформити заявку
Отримати комерційну пропозицію
Замовити консультацію

Заповніть, будь ласка, форму й наш спеціаліст зв’яжеться з Вами та надасть безкоштовну консультацію!

Замовити дзвінок

Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!