Удаление вирусов с сайта: как это сделать?

Автор: halfhope

В статье представлен пошаговый алгоритм удаления вирусов с сайта на базе OpenCart. Это руководство лучше всего подойдет технически подкованным пользователям, которые хорошо разбираются в коде и могут эффективно использовать различные инструменты для устранения проблем. Даже если вы используете другую CMS или платформу, информация может быть полезной.

От автора

Если вам требуется очистка сайта или сервера, свяжитесь со мной через Telegram (halfhope). Я предоставлю информацию о стоимости и сроках. Услуга очистки включает гарантию на 1 год.

Краткий алгоритм

1. Создайте резервную копию сайта.
2. Скачайте эту копию.
3. Очистите её на локальном компьютере.
4. Смените все возможные пароли.
5. Удалите файлы и базу данных с сервера.
6. Загрузите очищенные файлы и базу данных обратно.

Если что-то упущено, настройте мониторинг:

• Включите мониторинг изменений файлов и ведение логов.
• Любые инциденты будут записаны в логи для дальнейшего анализа.

Рекомендуемый срок наблюдения: 3-4 недели.

Подробное описание

Подготовка к работе

Чтобы скачать файлы сайта и базу данных на локальный компьютер, проще всего создать один zip-архив. Папку image можно исключить, так как она содержит изображения и не включает исполняемые файлы. Однако позже её также следует проверить перед загрузкой очищенной копии сайта.

С помощью OpenServer/WAMP/LAMP/XAMPP или аналогичных решений создайте новую базу данных и импортируйте дамп базы сайта.

Распакуйте файлы в удобную для работы папку.

Работа с базой данных

1. Найдите таблицу oc_user и удалите всех пользователей, кроме администратора. Рекомендуется изменить имя администратора, чтобы защитить аккаунт от попыток подбора пароля.
2. Обновите пароль администратора. В таблице oc_user замените текущий пароль на MD5-хеш нового пароля и очистите поле salt.
3. Перейдите в таблицу oc_modification, где хранятся модификаторы модулей. Проверьте код модификаторов на уязвимости, так как с 2020 года некоторые ботнеты используют модификаторы для обратных подключений (reverse shell).

Работа с файлами

1. Удалите ненужные элементы: phpinfo, кэш, логи, неиспользуемые темы (кроме дефолтной), языки, изменённые файлы (например, system/storage/modification).
2. Проверьте файлы на наличие вредоносного кода. Используйте такие инструменты, как ai-bolit (Revisium), ShellDetector, LMD, антивирусное ПО и другие.
3. Особое внимание уделите поиску дополнительных точек входа в приложение через $_POST, $_GET, $_COOKIE и скрытых инструкций.
4. Для ускорения анализа используйте GIT, Beyond Compare или WinMerge, чтобы сравнить текущие файлы с оригинальной версией движка.
5. Проверьте серверные логи доступа, чтобы выявить заражённые файлы.

Создайте zip-архив очищенных файлов.

Работа на сервере

1. Установите заглушку с HTTP-кодом 503 (Service Unavailable) и ограничьте доступ по IP.
2. Смените все пароли: для панели управления, базы данных, FTP и почтовых аккаунтов.
3. Удалите старую базу данных и импортируйте очищенную копию.
4. Удалите все файлы сайта с хостинга, кроме папки image и заглушки. В папке image удалите все не графические файлы.
5. Загрузите очищенные файлы на сервер и обновите пароли в конфигурационных файлах.
6. Войдите в административную панель и обновите модификаторы.
7. Установите дополнительную HTTP-авторизацию для защиты панели администратора от атак.
8. Включите логирование запросов и настройте мониторинг изменений файлов с помощью PHP-скрипта.

Обратите внимание, что современные ботнеты могут "затаиваться" после удаления их файлов. Увеличьте срок наблюдения, чтобы вовремя выявить повторное заражение.

Общие рекомендации

• Не используйте пиратское ПО. Проверить продавца на легальность можно здесь.
• Придумывайте сложные пароли или используйте генераторы.
• Избегайте стандартных логинов, таких как "admin".
• Создавайте отдельные аккаунты для подрядчиков и удаляйте их после завершения работы.
• Следите за изменениями файлов.
• Делайте регулярные резервные копии и проверяйте их работоспособность.

Для OpenCart

Для OpenCart я рекомендую модуль FSMonitor, который позволяет отслеживать изменения файлов: новые, изменённые и удалённые. Модуль можно настроить на автоматическое выполнение через планировщик Cron и получать уведомления о любых изменениях. Также можно вручную проверять файлы, изменённые подрядчиками. Скачать модуль можно здесь