Лечение взломанного сайта, или как устранить последствия взлома

Учитывая нарастающую с каждым днем проблему интернет-безопасности веб-сайтов, мы хотели бы затронуть в данной статье вопрос, что делать если Ваш сайт был взломан. Касается сайтов, на популярных движках: Joomla, Wordpress, Datalife, а также прочих сайтов.

Причины взлома
Почему же я? Кому мой сайт нужен? Вот первые вопросы, которые задают себе владельцы веб-сайтов. Немного поговорим о причинах взлома, ведь чаще всего взлом не имеет ничего "личного" к тому сайту, на котором он был произведен. Ломают сайты пачками (особенно на популярных движках) и часто в автоматическом режиме. Благо, ботов теперь навалом. Все это делается ради наживы, ведь со взломанных сайтов можно:
-рассылать спам;
-посылать посетителей сайта на другие сайты (с целью фишинга например);
-распротранять вирусы на компьютеры пользователей и воровать их данные;
-атаковать другие сайты;
и прочее.
Таким образом пользу можно извлечь из любого сайта, и из популярного, и из заброшенного, старого и никому не нужного.

Признаки взлома
Для начала необходимо определить, взлом ли это. Взлом может быть не виден на первый взгляд, все сайты могут продолжать работать.
Итак, признаки взлома:
-(самый явный) на месте сайта появилась картинка со взломом;
-при заходе на сайт идет переадресация на какой-то другой сайт;
-при заходе на сайт с мобильных устройств переадресовывает на какой-от другой сайт;
-появляются неизвестные файлы в директории с сайтом;
-появляется чужеродный код в теле сайта или в файлах сайта;
-антивирусы и браузеры начинают ругаться при входе на сайт и помечать сайт как "опасный"

Если вы обнаруживаете, что вышеперечисленное случается с вашим сайтом, то вероятнее всего он был взломан. Чаще всего ломают популярные движки, такие как: Joomla, Wordpress, Datalife. Сразу скажем, что не имеет НИКАКОГО смысла устранять последствия взлома локально, а именно - удалить чужеродный файл в корневой директории, который вы вдруг увидели, удалить новый код из .htaccess, удалить вставку iframe из шаблона. Это все БЕСПОЛЕЗНО. Все это появится заново в течение нескольких часов. Люди бьются головой об стенку и не знают, что делать. Начинают грешить на хостера, но в подавляющем большинстве случаев - он не причем. Просто если на аккаунте остаются зловредные файлы (хотя бы один), то через них в автоматическом режиме злоумышленник получит весь необходимый доступ к сайту снова. Как избавится от вируса полностью, мы расскажем ниже в статье.

Последствия взлома
Также хотелось бы заметить, что если пускать все на самотек, то последствия могут быть самые разные, а именно:
-бан поисковиками;
-снижение посещаемости;
-жалобы на вас (если будет идти перенаправление на мошеннический сайт) в органы;
-блокировка хостинга (если аккаунт будет спамить или атаковать чужие сайты).
Поэтому своевременная чистка просто необходима.

Ближе к делу
Очистка аккаунта после взлома сложна тем, что необходимо полностью удалить все зловредные файлы (и чужеродный код), иначе, если забыть, хотя бы один из них, то все вирусы вернутся, так как у зломышленника останется вход на ваш сайт.

Теперь стоит спросить себя, есть ли у Вас бекап. Здоровый бекап. Бекап, на котором нет следов взлома.  Последовательность шагов будет примерно одинаковая, но если бекап есть, Вам будет легче.

Шаг 1. Сохранение необходимых данных.
Сохраните базу данных. Ее невозможно заразить вирусом (разве что вставки зловредного кода в новости, но это мелочь, от которой легко избавится и по нашему опыту - это делается крайне редко). Сохраните файлы из папки images и uploads, но проверьте, чтобы в них не было никаких исполняемых файлов типа php и прочего. По возможности больше ничего не сохраняйте. Чем больше вы сохраните, тем скорее опять занесете себе вирус.  Также можете сохранить шаблон, но изучите каждый пхп файл в нем на предмет чужеродного кода. Также с любыми другими файлами, которые вы хотите сохранить. Каждый файл нужно проверить вручную, заглянуть в него. Еще раз повторим, чем меньше файлов вы сохраните, тем лучше. Если у Вас есть здоровый бекап, и он Вас устраивает по актуальности, то можете использовать его.

Шаг 2. Полная очистка текущего хост-аккаунта.
Теперь нужно все удалить. Крайне желательно написать своему хостеру (тобишь нам), что вы хотите привести аккаунт в первоначальное состояние, так как просто удалив файлы из папки с сайтом, можно забыть их в другом месте, и вся работа пойдет насмарку.

Шаг 3. Восстановление.
Если есть бекап - то закачивайте бекап. После того как закачаете бекап, обновите дистрибутив движка до самой последней версии.
Если бекапа нет, то качайте последний дистрибутив (именно последний) с оф. сайта движка. Закачивайте его на аккаунт, закачивайте базу, шаблон и все, что сохранили (предварительно все это проверьте, самостоятельно и антивирусом).

Шаг 4. Защита.
Последний, но не по значимости этап - это избежать повторного взлома. Действия простые:
1. Ставим СЛОЖНЫЙ пароль на админскую часть (тысячи движков ежедневно взламывают простым брутфорсом по словарю)
2. Обновляем движок до самой последней версии (это необходимо, так как ПО с открытым исходным кодом ломают очень часто, и дыры заделываются регулярно в обновлениях). Делаем это регулярно впоследствии.
3.  Ставим защитные плагины. поищите их в гугле. Не буду советовать конкретные, для каждого движка есть свои. Они помогут обезопасить Ваш сайт.

Послесловие
Помните, что раз Ваш сайт был взломан однажды - теперь он в группе риска, так что не пренебрегайте ничем, чтобы его защитить. Если Вы все сделаете правильно - проблемы оставят Вас надолго.

Если у Вас возникли какие-либо проблемы или вопросы - вы всегда можете обратится в нашу техническую поддержку. Также мы можем порекомендовать Вам специалистов по лечению сайтов от вирусов.
С уважением, администрация Шнайдер-хост.