Видалення вірусів із сайту: Як це зробити?

Автор: halfhope

У статті представлено покроковий алгоритм видалення вірусів із сайту на базі OpenCart. Це керівництво найкраще підходить для технічно підкованих користувачів, які добре розбираються в коді та можуть ефективно використовувати різноманітні інструменти для усунення проблем. Навіть якщо ви використовуєте іншу CMS чи платформу, інформація може бути корисною.

Від автора

Якщо вам потрібне очищення сайту чи сервера, звертайтеся до мене через Telegram (halfhope). Я надам інформацію щодо вартості та строків. Послуга очищення включає гарантію на 1 рік.

Короткий алгоритм

1. Створіть резервну копію сайту.
2. Завантажте цю копію.
3. Очистіть її на локальному комп'ютері.
4. Змініть усі можливі паролі.
5. Видаліть файли та базу даних із сервера.
6. Завантажте очищені файли та базу даних назад.

Якщо щось упущено, налаштуйте моніторинг:

• Увімкніть моніторинг змін файлів і ведення журналів.
• Усі інциденти будуть записані в журнали для подальшого аналізу.

Рекомендований строк спостереження: 3-4 тижні.

Детальний опис

Підготовка

Щоб завантажити файли сайту та базу даних на локальний комп'ютер, найпростіше створити один zip-архів. Папку image можна виключити, оскільки вона містить лише зображення і не включає виконуваних файлів. Однак пізніше її також потрібно перевірити перед завантаженням очищеної копії сайту.

За допомогою OpenServer/WAMP/LAMP/XAMPP чи аналогічних інструментів створіть нову базу даних та імпортуйте дамп бази сайту.

Розпакуйте файли в зручну для роботи папку.

Робота з базою даних

1. Знайдіть таблицю oc_user та видаліть усіх користувачів, крім адміністратора. Рекомендується змінити ім'я адміністратора, щоб захистити обліковий запис від підбору пароля.
2. Оновіть пароль адміністратора. У таблиці oc_user замініть поточний пароль на MD5-хеш нового пароля та очистіть поле salt.
3. Перейдіть до таблиці oc_modification, де зберігаються модифікатори модулів. Перевірте код модифікаторів на вразливості, оскільки з 2020 року деякі ботнети використовують модифікатори для зворотних підключень (reverse shell).

Робота з файлами

1. Видаліть непотрібні елементи: phpinfo, кеш, журнали, невикористовувані теми (крім стандартної), мови, змінені файли (наприклад, system/storage/modification).
2. Перевірте файли на наявність шкідливого коду. Використовуйте такі інструменти, як ai-bolit (Revisium), ShellDetector, LMD, антивірусні програми та інші.
3. Особливу увагу приділіть пошуку додаткових точок входу через $_POST, $_GET, $_COOKIE та прихованих скриптів.
4. Для прискорення аналізу використовуйте GIT, Beyond Compare чи WinMerge, щоб порівняти поточні файли з оригінальною версією движка.
5. Проаналізуйте журнали доступу до сервера, щоб виявити заражені файли.

Створіть zip-архів очищених файлів.

Робота на сервері

1. Встановіть заглушку з HTTP-кодом 503 (Service Unavailable) і обмежте доступ за IP-адресою.
2. Змініть усі паролі: для панелі управління, бази даних, FTP і поштових акаунтів.
3. Видаліть стару базу даних та імпортуйте очищену копію.
4. Видаліть усі файли сайту з хостингу, крім папки image та заглушки. У папці image видаліть усі файли, які не є зображеннями.
5. Завантажте очищені файли на сервер і оновіть паролі у конфігураційних файлах.
6. Увійдіть до адміністративної панелі та оновіть модифікатори.
7. Захистіть адміністративну панель додатковою HTTP-авторизацією.
8. Увімкніть логування запитів та налаштуйте моніторинг змін файлів за допомогою PHP-скрипта.

Сучасні ботнети можуть "ховатися" після видалення їхніх файлів. Збільшіть строк спостереження, щоб своєчасно виявити повторне зараження.

Загальні рекомендації

• Не використовуйте піратське ПЗ. Перевірити легальність продавця можна тут.
• Створюйте складні паролі або використовуйте генератори.
• Уникайте стандартних логінів, таких як "admin".
• Створюйте окремі акаунти для підрядників і видаляйте їх після завершення роботи.
• Слідкуйте за змінами файлів.
• Робіть регулярні резервні копії та перевіряйте їхню працездатність.

Для OpenCart

Для OpenCart рекомендую модуль FSMonitor, який дозволяє відстежувати зміни файлів: нові, змінені та видалені. Модуль можна налаштувати на автоматичне виконання через планувальник Cron і отримувати сповіщення про будь-які зміни. Також можна вручну перевіряти файли, змінені підрядниками. Завантажити модуль можна тут.