Лікування сайтів від вірусів (Malware Removal) – це комплекс заходів і методик, спрямованих на виявлення та усунення шкідливого коду й зловмисного програмного забезпечення в межах електронних ресурсів.
Основні причини появи вірусів на сайті:
Аналіз шкідливих файлів і програм в сервісі VirusTotal.
Виявлення зловмисного програмного забезпечення на VPS-сервері з допомогою мережевих сканерів.
Основні джерела зараження, походження та надходження вірусів:
Зразки шкідливого коду, відібрані у процесі досліджень.
Наслідки вірусів на сайті:
Приклад дії зловмисного коду, який назвали Japanese Hack. Визначити його можна за японськими літерами на сторінках сайту, які з’являються в сніппетах у пошуковій видачі.
Зловмисне ПЗ суттєво споживає серверні ресурси, зокрема оперативну пам'ять й перенавантажує сайт - він починає працювати з перебоями, повільно вантажиться, контент може з'являтися із затримкою. Ті чи інші веб-сторінки можуть викликати зависання браузера. Верстка деяких блоків починає некоректно відображатися. З'являються глюки і системні помилки, зокрема помилка з'єднання з базою даних.
Періодично на деяких сторінках для певних відвідувачів з'являється нав'язливий popup-банер несподіваного змісту, який після закриття показується знову. Може супроводжуватися відео або аудіо. При натисканні запускається шкідливий сценарій або перенаправлення. Зловмисники таким чином перехоплюють дані користувачів, монетизують кліки, заробляють на партнерських програмах.
На сайті постійно з'являється спам у коментарях або надсилається через веб-форми. Без відома власника на сайті поповнюється кількість зареєстрованих акаунтів. На електронну пошту приходять підозрілі повідомлення з нав'язливим змістом. Від імені сайту проводяться масові розсилки й відправляються фішингові листи.
В різних директоріях сайту з'являються підозрілі файли з невідомим вмістом. Деякі системні файли зникають, деякі модифікуються і можуть містити дивний веб-код або спецсимволи. Як правило, це маркери шкідливого ПЗ.
Деякі веб-сторінки у випадковому порядку перенаправляють відвідувачів на сторонні спамні чи токсичні (ставки, казино), фішингові ресурси - відбувається так-званий шкідливий редирект (malicious redirect). Зловмисники таким чином перенаправляють трафік з сайту жертви на свої клоаки і дорвеї, монетизуючи їх. Причому це перенаправлення може маскуватися і спрацьовувати лише для конкретних пристроїв, браузерів, User-Agent, геолокації, IP/MAC-адрес, що значно ускладнює виявлення.
В індексі пошукових систем з'являються заражені веб-сторінки, які містять автоматично згенерований контент, невідомий власнику. Часто це контент з китайськими/японськими літерами (Japanese Keyword Hack) або іншими ієрогліфами, що є головною ознакою того, що сайт зламаний або заражений вірусом.
На сайті з'являються приховані URL-посилання, які можуть зливатися з кольором тла або прикриватися CSS-стилями та додатковими шарами веб-елементів. Через це вони стають непомітними власнику та відвідувачам. Таким чином зловмисники можуть використовувати вразливий сайт як лінкоферму для продажу посилань.
Браузери, антивірусні програми сповіщають про небезпеку і блокують доступ до сайту, а у панелях вебмайстрів (Google Search Console, Bing Webmaster) з'являється повідомлення про появу шкідливого коду.
Комп’ютерний вірус – це шкідливе програмне забезпечення, код або скрипт, який має зловмисну мету і виконує деструктивну функцію, може маскуватися і саморозмножуватися, поширюватися на інші ресурси та системи.
Історія перших комп’ютерних вірусів починається у 1980-х роках: “Ель-клоно”, “Єрусалим”, “Хробак Морріса”. В Україні комп’ютерний вірус з’явився у 1988 році під назвою “C-648”. Він важив 648 байтів і заражав COM-файли в операційній системі MS-DOS. У 1995 році була вперше запущена епідемія комп’ютерного вірусу – “Чорнобиль”. У 1999-му – епідемія вірусу “Меліса”, який розповсюджувався електронною поштою. У 2000 році вірус “ILOVEYOU” потрапив у Книгу рекордів Гіннеса – інфікував близько 4 мільйони комп’ютерів по всьому світу. Інші небезпечні віруси: Nimda, Mydoom, Sobig, Sasser, CryptoLocker, Klez, Zeus, Code Red, Stuxnet, WannaCry, Mirai Botnet, Tanatos, Yaha, Swem, Storm Worm, Sircam, FlashBack, Conficker, Explorezip, SpreadBanker.
З активним розвитком інтернету та появою великої кількості сайтів, з’явилися віруси та скриптові движки, написані на PHP/SQL/JavaScript, які можуть непомітно паразитувати у тілі та базі даних сайтів, мігрувати між серверами. Ось найвідоміші з них: WSHRAT, Houdini RAT, SQL Slammer Worm, Filesman Backdoor, Japanese Keyword SEO Hack, Pharma Redirect Hack, WordPress Content Injection Hack, Trojan-Downloader, Trojan PHP-infecter, Trojan PHP-iframer, Trojan JS-iframe, Gootkit та інші. В Україні, за нашими підрахунками, від цих та інших типів вірусів щоденно потерпають близько 100 сайтів.
Зловмисний код або програма, яка використовується для прихованого “чорного входу” в систему. Застосовується для віддаленого доступу і керування системою.
Програмне забезпечення, яке являє собою середовище з графічним інтерфейсом (оболонку командного рядка) для несанкціонованого віддаленого управління сервером.
Шкідливе програмне забезпечення, яке показує користувачам нав’язливу, заборонену, токсичну рекламу у вигляді спливаючих popup-вікон та банерів.
Зловмисна програма, яка максимально глибоко інтегрується в систему і маскується під виглядом системних файлів або служб, отримуючи права адміністратора root.
Шкідливе програмне забезпечення, призначене для викрадення приватних даних з браузера, додатків або пристрою користувача: cookie, логіни, паролі, метадані, логи.
Шпигунське програмне забезпечення, яке застосовується для відстеження дій користувача і викрадення персональних, конфіденційних, службових даних.
Зловмисне ПЗ, яке потрапляє на сайт під виглядом санкціонованої програми, наприклад плагіну або теми. Може перехоплювати дані, проводити DDOS-атаки та інші дії.
Зловмисне ПЗ, яке використовується для незаконного видобутку криптовалюти. Таємно використовує ресурси сайту, браузера або пристрою жертви.
Проводимо комплексне резервне копіювання усього сайту перед початком очищення - файлів, директорій, дамп бази даних.
Здійснюємо динамічне (DAST) й статичне (SAST) сканування сайту. Скануємо код, посилання, компоненти, модулі, плагіни, бібліотеки, сервіси. Скануємо сервер з допомогою утиліт. Перевіряємо та сортуємо файли різних розширень: виконувані (sh, php, py, exe, bat, rb, pl), службові (ini, inc, so, cfg, cgi, asp), розмітки (json, yml, html, htm, xml, shtml), стилі і скрипти (css, js), текстові (txt, rtf), документи (pdf, doc, xlsx, odt), архіви (tar, rar, zip, gz), зображення (ico, img, gif, png, bmp, webp), аудіо та відео, нестандартні (phtml, php.jpg, php3, php7 та ін.). Уважно обстежуємо файли конфігурації (index.php, header.php, footer.php, 404.php, view.php, htaccess, wp-settings, wp-admin, wp-includes, wp-config.php, wp-load.php, wp-blog-header.php, functions.php, robots.txt, sitemap.xml), log-файли (access.log, error.log). Перевіряємо задачі планувальника cron. Фіксуємо наявність будь-яких змін, запитів, директив в системі. Скануємо облікові записи і перевіряємо права доступу на запис/читання (file permissions, chmod, chown). Окремо перевіряємо MySQL базу даних. Додатково зв'язуємося з хостинг-провайдером та обґрунтовуємо, щоб він провів у себе антивірусну перевірку на серверах.
Додатково розгортаємо локальну копію в ізольованому середовищі (пісочниці), де проводимо глибокий реверс-аналіз та ідентифікацію шкідливих фрагментів, тегів, артефактів, паттернів, маркерів. Проводимо евристичний і сигнатурний аналіз. Аналізуємо base64-код, функції eval (), file_get_contents, preg_replace(). Досліджуємо процеси на сервері. Аналізуємо заражені веб-сторінки з використанням різних User-Agent, наприклад Googlebot. Аналізуємо мережеві пакети з допомогою Wireshark/tcpdump. Класифікуємо вразливості за типом і характером. Проводимо депакінг і деобфускацію шкідливого коду.
Очищуємо сайт від вірусів, шкідливого коду, заражених файлів, сторінок, блоків, застарілих плагінів, інфікованого кешу. Перевстановлюємо усі необхідні компоненти. За потреби перевстановлюємо CMS, відновлюємо базу даних із дампу, переносимо сайт на захищений хостинг.
Перевіряємо роботу, функціональність, працездатність і цілісність полагодженого, відновленого сайту.
Встановлюємо рішення кіберзахисту веб-сайту, проводимо їх ретельне налаштування і конфігурацію. Зміцнюємо оборону мережевого периметра. За потреби налаштовуємо Firewall та інші засоби серверної безпеки (CSF, IPtables, Snort, ClamAV, phpMussel, modSecurity, SpamAssasin, SELinux).
🚀 Ми запустили окрему послугу – захист від DDOS-атак
Інженери з кібербезпеки KR. Laboratories допоможуть швидко і ефективно почистити сайт від вірусів з гарантією.
Ми завжди на зв'язку, надаємо цілодобову технічну підтримку, готові взятися за ваш сайт вже сьогодні, якщо він потребує негайної допомоги.
Лікуємо сайти будь-якого типу: самописні, інформаційні, корпоративні, сайти на CMS WordPress, Joomla, Drupal, OpenCart, Majento, phpBB та інші.
Ми гарантуємо сувору конфіденційність і дотримання NDA-договору та відповідність GDPR у співпраці з вами.
Намагаємося дотримуватись світових вимог, стандартів і рекомендацій з кібербезпеки: OWASP, SANS, ISO 9001/27001, COBIT, NIST, PCI-DSS, HIPAA, ISACA тощо.
Наші фахівці - бакалаври, магістри, доктора комп'ютерних наук. Пройшли стажування та отримали сертифікацію аналітиків з кібербезпеки.
Приблизно з 2021 року ми почали наполегливо вивчати і цікавитись зразками шкідливого коду. На сьогодні у нашій базі понад 100 різних зразків та сигнатур зловмисного програмного забезпечення.
Розробили власний алгоритм пошуку, виявлення та знешкодження шкідливого коду і зловмисного ПЗ.
Ви надсилаєте заявку на нашому сайті або через email. Наш спеціаліст зв’яжеться для уточнення деталей та надішле електронний бриф до заповнення, щоби ми могли краще зрозуміти ваші очікування. В цілях безпеки, Ви також маєте підтвердити право власності на домен.
На основі отриманої інформації від Вас та експрес-аудиту сайту, розраховуємо вартість роботи. Ви отримуєте комерційну пропозицію, де буде також вказано покроковий план і терміни виконання.
Укладаємо договір про нерозголошення конфіденційної інформації (NDA). Цим договором ми закріплюємо наші домовленості та відповідальність.
Отримуємо усі необхідні доступи, потрібні для очищення сайту: 1. Доступ до сайту/сервера по FTP/SSH; 2. Доступ до хостинг-панелі; 3. Доступ до панелі адміністрування сайту.
Наші спеціалісти проводять операції з виявлення та знешкодження вірусного коду, суворо дотримуючись міжнародних правил, стандартів та рекомендацій.
По закінченні роботи надаємо PDF-звіт, який включає хронологію усіх дій, характеристику шкідливого коду та знайдених вразливостей, висновки і рекомендації.
Процедура виявлення та видалення комп’ютерних вірусів є досить складною. Це процес, який вимагає від дослідника знання різних технологій та навичок. Непідготовлений користувач разом з вірусом може видалити системний компонент і вивести з ладу сайт. Щоби не пройшло повторне зараження, необхідно виявити джерело шкідливого коду та закрити усі дірки безпеки сайту. Відповідно з цим може справитися лише фахівець-аналітик з кібербезпеки.
Не всі сканери бачать віруси на сайті. Комп’ютерні віруси, зазвичай, маскуються під корисні або службові програми. За статистикою, у 80% випадків антивірусні сканери не бачать проблем. Тому що не всі віруси присутні у їх базах. Більшість сканерів лише виявляють та оцінюють загрози, що недостатньо для їх знешкодження. Тільки ручне очищення допоможе полікувати та назавжди позбавитись вірусів на сайті.
Ні. В послугу лікування та відновлення сайту входить лише виявлення та вилучення вірусів. Аудит безпеки, оптимізація та інтеграція рішень безпеки – це послуги, які вимагають окремого підходу і надаються окремо.
Заповніть, будь ласка, форму й наш спеціаліст зв’яжеться з Вами та надасть безкоштовну консультацію!
Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!
