Удаление вредоносного кода (вирусов) с сайта

WS Support
22 Апреля 2019

Задача

Поисковые системы Yandex и Google обнаружили подмену контента на сайте (https://zcts.ru/). Это значит, что пользователям и поисковым роботам на одной и той же странице выдавалась разная информация, искусственно влияя на ранжирование сайта в поисковой выдаче. За такое грубое нарушение лицензии сайт полностью исключили из индекса.

Подмена содержимого страницы может быть делом рук недобросовестных SEO-специалистов, но часто причиной является вредоносный код.

Решение

Для проверки сайта использовали модуль поиска троянов bitrix.xscan и действующую на сайте систему контроля версий (далее - Git).

Проверив состояние файлов системой Git, мы обнаружили 100 новых файлов, а также изменения в уже существующих. Все они состояли из вредоносного кода типа. Мы немедленно удалили все изменения и лишние файлы с помощью стандартных функций Git.

Помимо этого, требовалось проверить файлы ядра системы, которые не находятся под контролем Git. Для этого установили модуль bitrix.xscan. При проверке он выявил 10 модифицированных файлов ядра, которые мы очистили вручную.

На этом сервере размещался еще один сайт заказчика http://onjet.ru/, который тоже оказался зараженным. С очисткой модифицированных файлов публичной страницы удалось справиться с помощью Git. Но при проверке ядра мы столкнулись с проблемой — из-за количества зараженных файлов было невозможно зайти в административный раздел сайта. Чтобы установить модуль bitrix.xscan, пришлось проделать кропотливую работу и вручную очистить отвечающие за админ.раздел файлы. После установки модуля поиска троянов мы выявили более 400 файлов. Справиться с таким объемом вручную было невозможно, поэтому мы выборочно сравнили десяток файлов и установили, что они содержат одинаковый вредоносный код. Этот код мы использовали в качестве шаблона для поиска и очистки файлов специально разработанным скриптом. Программа поочередно сравнивала с шаблоном каждый файл ядра, находила вредоносный код и удаляла его. Так мы очистили все файлы ядра и восстановили работоспособность сайта.

Чтобы обезопасить сайт от заражений, мы изменили все доступы к сайтам.

Полная ликвидация вредоносного кода на двух сайтах. Оба сайта снова индексируются поисковыми системами.

Сомневаетесь? Оставьте контакты, подробно разберем ваши вопросы

Нажимая на кнопку «Отправить», вы даете согласие на отправку и обработку своих персональных данных
На данном сайте собираются метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта. Если Вы не хотите чтобы эти данные обрабатывались, то должны покинуть сайт