# Как найти и вручную удалить вредоносные вставки с сайта

Вредоносные вставки на вашем сайте могут вызвать огромное количество проблем, включая утечку данных ваших пользователей, перенаправление на другие сайты, ухудшение поисковой оптимизации и даже блокировку вашего сайта поисковыми системами. Если вы подозреваете, что на вашем сайте есть вредоносные вставки, важно как можно скорее найти и удалить их.

# Как выглядят вредоносные вставки?

Вредоносные вставки могут принимать разные формы, но обычно они содержат необычные или непонятные участки кода, которые внедрены в PHP, HTML, JS или другие файлы на вашем сервере. Они могут включать скрытые iframe-ы, вредоносные скрипты, кодированные или закодированные вставки и даже полностью закодированные файлы. Пример вредоносной вставки может выглядеть примерно так:

<?php @eval(base64_decode('ZXJyb3JfcmVwb3J0aW5nKDApOw0KaWYgKGlzc2V0KCRfUE9TVFsnM2Q1ZmJmMD.....

Здесь видно использование функции eval() вместе с base64_decode(), что указывает на попытку скрыть вредоносный код.

Если вы точно знаете, когда был взломан сайт, вы можете проверить, были ли при этом внесены изменения в файлы или папки. Например, это произошло 5 дней назад. Вы можете быстро найти скрипты PHP, изменённые за последние 5 дней, и найти в нём чужеродные вставки. Для этого существует следующая команда:

find . –name '*.ph*' –mtime -5

# Где чаще всего находятся вредоносные вставки?

Вредоносные вставки могут быть внедрены в любые файлы на вашем сервере, но есть несколько мест, которые злоумышленники обычно выбирают:

  • Индексные файлы: index.php, index.html и так далее.
  • Файлы конфигурации: Например, wp-config.php в WordPress.
  • Файлы тем и плагинов: Особенно если они устарели или имеют известные уязвимости.
  • .htaccess файлы: Эти файлы могут быть изменены для перенаправления трафика или изменения других настроек сервера.

Злоумышленникам проще всего внедрять код в каталоги, которые открыты для записи. К ним относятся каталоги upload/backup/log/image/tmp. Проверьте их.

# Как найти вредоносные вставки?

Самый простой способ начать — это вручную проверить файлы в указанных местах на наличие подозрительного кода. Если ваш сайт находится на WordPress, вам стоит также проверить содержимое папки /wp-includes и /wp-content.

Другой способ - использовать специализированные инструменты или плагины. Например, Wordfence для WordPress может автоматически сканировать ваш сайт на наличие вредоносного кода.

Если ваш сайт содержит много файлов, при подключенной услуге SSH либо использовании веб-терминала, можно использовать команды grep или find для поиска определенных участков кода.

Например:

grep -r 'eval(' /path/to/your/website

Можно воспользоваться командой для проверки каталога загрузки:

find /upload/ -type f -name '*.ph*'

В процессе поиска вставок кода обращайте внимание на подозрительные названия файлов и директорий.

Проверьте все папки хоста на наличие нескольких файлов PHP и HTML в каждом каталоге — для этого предусмотрена команда:

find ./ -mindepth 2 -type f -name '*.php' | cut -d/ -f2 | sort | uniq -c | sort –nr

Если в каталоге будет обнаружено много файлов, стоит просмотреть каждый из них отдельно.

Каждый владелец сайта также может просканировать его с целью обнаружения внедрённых PHP-скриптов. Введите запрос:

find ./ -type f -name "*.php" -exec grep -i -H "wso shell\|Backdoor\|Shell\|base64_decode\|str_rot13\|gzuncompress\|gzinflate\|strrev\|killall\|navigator.userAgent.match\|mysql_safe\|UdpFlood\|40,101,115,110,98,114,105,110\|msg=@gzinflate\|sql2_safe\|NlOThmMjgyODM0NjkyODdiYT\|6POkiojiO7iY3ns1rn8\|var vst = String.fromCharCode\|c999sh\|request12.php\|auth_pass\|shell_exec\|FilesMan\|passthru\|system\|passwd\|mkdir\|chmod\|mkdir\|md5=\|e2aa4e\|file_get_contents\|eval\|stripslashes\|fsockopen\|pfsockopen\|base64_files" {} \;

Проверьте обнаруженные скрипты на заражённые участки. Не забудьте и про БД — мошенники также могут изменить её.

Выполните вход в phpmyadmin и поэтапно введите следующие команды в строку поиска:

<script , <? , <?php , <iframe

# Как вручную удалить вредоносные вставки?

Если вы нашли вредоносный код, его можно удалить, вручную отредактировав файл. Убедитесь, что вы полностью понимаете, какой код вы удаляете, чтобы не сломать сайт. Если файл полностью состоит из вредоносного кода, его можно удалить целиком.

После того как вредоносный код был удалён, важно также устранить уязвимость, которая позволила злоумышленнику внедрить вредоносный код в первую очередь. Это может включать обновление устаревшего программного обеспечения, исправление уязвимых скриптов, изменение паролей и усиление безопасности сервера.

Помните, что удаление вредоносного кода — это только часть процесса. Важно также убедиться, что вы приняли меры для предотвращения будущих атак. Регулярно проводите аудит безопасности, обновляйте свое ПО и следите за последними новостями о безопасности в интернете.