Вирус на сайте созданном в uCoz

Не пугайтесь, дорогие друзья! Это всего лишь тема новой заметки на моём блоге.

Буквально вчера получил страшное письмо от сервиса Яндекс.Вебмастер, в котором меня оповестили, что яндекс нашёл на моём сайте вредоносный код! Как выяснилось позже это была ложная тревога, но тем не менее она дала мне пищу для размышления и повод написать эту заметку.

Итак ниже мои советы и рекомендации о том как защитить сайт от проникновения вируса и как действовать в случае если вирус всё-таки попал в код ваших страниц.

Как сайты заражаются вирусами?

Вообще говоря заразить сайт на uCoz каким-либо вирусом без взлома системы видится мне довольно сложной задачей. Давайте рассмотрим что вообще из себя представляют вирусы которые заражают сайты.

В основном эти вирусы состоят из двух частей. Первая часть — это троян который загружается на машину жертвы-вебмастера и ищет на ней (или перехватывает) пароли от хостинга и сайта, затем эта программа передаёт эти данные взломщику, но чаще всего отправляет на некий сервис в сети, робота по сути, который используя эти данные в автоматическом режиме взламывает сайт вебмастера и устанавливает на сайт вторую часть вируса — вредоносный код внедрённый в html страницу, которая уже будет распространять трояна дальше, рассаживая его на компьютеры посетителей заражённого сайта используя уязвимость браузера (в основном Internet Explorer). Собственно кроме паролей троян может собирать и более ценную для взломщика информацию или превращать компьютер жертвы в бота для рассылки спама или проведения хакерских атак.

Вирус на сайт представляет из себя скрытый в коде страницы вредоносный html код. Чаще всего это встроенный фрейм выполненный с помощью тэга < iframe> (часто iframe генерируется с помощью javascript) в теле которого загружается страница с сайта распространяющего собственно уже сам вредоносный код. Сам вредоносный код это чаще всего JavaScript код использующий уязвимость браузера для установки трояна на компьютер жертвы, либо выполняющий другие вредоносные действия.

Это в общих чертах, но уже тут видно 3 уязвимых места, которые вы можете защитить

1. это ваш компьютер
2. это ваш браузер
3. ваши пароли

Как защитить сайт от вирусов?

Прежде всего защите свой компьютер! Всегда следите, чтобы на вашем компьютере стояла и работала в режиме реального времени последняя антивирусная программа с последней антивирусной базой, а так же следите за тем, чтобы были установлены все обновления операционной системы и особенно браузера. На сегодняшний день существуют достойные бесплатные антивирусы, например Avast (сам пользуюсь им уже несколько лет — никаких нареканий!) в бесплатной версии Avast имеет встроенный Web-сканер, который проверяет открываемые в браузере странички на наличие вредоносного кода прямо налету. Не рекомендую пользоваться ворованным антивирусом! Если не доверяете бесплатным решениям то лучше купите хороший антивирус например Касперский или Dr. Web.

Не используйте Internet Explorer, либо используйте самую последнюю и самую обновлённую его версию! Но я бы всё же рекомендовал использовать например FireFox, который кроме того что более безопасен сразу после установки, так же имеет в арсенале полезное расширение Noscript позволяющее предотвращать выполнение вредоносного кода.

Теперь давайте разберём вот что: uCoz хостинг не похожий на другие и тут заразить код страницы сайта автоматически немного сложнее, нежели сайт на обычном хостинге, страницы сайта не хранятся в файлах! Изменить содержимое кода страниц можно только через конструктор. Изменить шаблоны сайта — только через панель управления. Но всё таки это сделать можно несколькими способами:

1. Украсть или вычислить пароль от вашего админского аккаунта и\или панели управления.Затем эти данные можно использовать для внедрения вредоносного кода в шаблоны.
2. Добавив материал или комментарий с заражённым кодом. Этот пункт можно делать автоматически, практически без участия пользователя
3. Использовать уязвимость системы управления сайтом. Часто в обычных cms (например WordPress или Joomla) вирус использует уязвимость программного обеспечения исполняемого на стороне сервера чтобы установить свой код. Это может быть реализовано даже без установки трояна намашину вебмастера и похищения пароля. В этом случае вся надежда на разработчиков, которые, как правило, быстро устраняют уязвимость закрывая бреш. uCoz в этом плане не исключение и команда разработчиков постоянно следит и устраняет найденные уязвимости. Этот процесс происходит без вашего участия. В других cms вам будет необходимо устанавливать обновления cms на сервер самостоятельно.

В связи с этим вот вам список превентивных мер:

1. Никогда, не при каких обстоятельствах не делайте пароли от панели управления и администраторского аккаунта простыми и\или одинаковыми!
2. Не храните пароли на компьютере в открытом виде! Если у вас плохая память заведите программу для хранения паролей (например Keepas).
3. Никогда не передавайте пароли от сайта по электронной почте никому! Никакая служба техподдержки не попросит у вас эти пароли!
4. Хорошим решением будет unix подход — заведите 2 учётные записи на сайте, 1. Повседневный 2. Администраторский. Первому ограничте права на уровне «продвинутого пользователя» или модератора который может отвечать на комментарии, писать в форум и т.д., а вторым пользуйтесь только для редактирования\добавления блоков сайта, глобальных блоков, добавления материалов.
5. Установите ограничение группы пользователи и гости в правах. Эти две группы доступны для посетителей вашего сайта без модерации с вашей стороны, в первую попадают пользователи сразу после регистрации, а вторая это все остальные незарегистрированные посетители вашего сайта. Вам нужно запретить этим группам пользователей использовать в комментариях HTML коды категорически! А так же публикацию каких бы то ни было материалов, если всё же по каким то причинам вы хотите оставить возможность публикации материалов для пользователей (каталог сайтов например) то запретите им использовать в материалах HTML так же как и в комментариях. То же самое относится к форуму — никакого html, в форуме впрочем html можно запретить вообще всем! Разрешайте вышеозначенные права только хорошо проверенным пользователям перенося их в группу «Проверенные».
6. Добавьте ваш сайт в панель управления вебмастера Яндекс. Не смотря на то, что в моём случае срабатывание было ложным я настоятельно рекомендую вам добавить ваш сайт в панель управления вебматсера Яндекс. Это позволит не только оперативно быть информированным о том что на вашем сайте обнаружен вредоносный код (с указанием страницы сайта где он обнаружен), но и поможет в продвижении сайта!
7. Не ставьте на сайт никакие коды скрытого сёрфинга (lank.ru и иже с ним), никакие рекламные блоки сомнительных рекламных брокеров (popunder, clickunder и т.п.), не ставьте непонятные коды непонятных рейтинговых систем — все эти сервисы грешат размещением в своих скриптах вредоносного кода (особенно скрытый сёрфинг!) Поскольку Яндекс уже умеет сканировать страницы на вирусы и помечать сайты с вирусами в поисковой выдаче, то вы очень рискуете потерять аудиторию вашего сайта из-за копеечного заработка!

Как лечить сайт от вируса?

Если всё-таки вы получили сообщение о том, что ваш сайт заражён.

1. Проверьте на вирусы все компьютеры с которых вы заходили на сайт! С чистого компьютера скачайте свежие антиврусы (для верности лучше несколько), лучше всего использовать антивирусы в виде LiveCD. Эти инструменты позволяют загрузить ваш компьютер со специально подготовленной флешки или компакт диска и проверить диск компьютера на вирусы без загрузки потенциально заражённой операционной системы. Подобные инструменты есть как у Dr.Web так и у Касперского. У Avast есть специальный режим сканирования «Сканирование во время загрузки» выбрав который и перезагрузив компьютер вы запустите антивирус до загрузки графического ядра Windows, это так же повысит шансы лечения вируса.
2. Идите в панель управления вебмастера Яндекс и посмотрите какие страницы были заражены.
3. Проверьте эти страницы онлайн вирусным сканером, а лучше несколькими (список ниже).
4. Если размещение вредоносного кода подтвердится вам необходимо будет его удалить со страницы.
5. Поменяйте все пароли от сайта!

Удаление вредоносного кода необходимо проводить на «чистой» машине, из правильного браузера Firefox с правильным плагином NoScript! Откройте заражённую страницу в браузере и просмотрите html код страницы. Ищите незнакомые вам <iframe> и JavaScript коды. Проверьте все комментарии на странице, если таковые имеются, затем все блоки сайта открыв их последовательно и проверив на вкладке html, ищите непонятные коды JavaScrip или Iframe, которые вы точно не устанавливали! Удаляйте неизвестный вам код по очереди каждый раз проводя проверку онлайн антивируом после удаления. Проверьте код шаблона страницы, вероятность его заражения не велика, но она всё же есть. Дать универсальное решение по вычищению вируса с сайта я вам не могу, все сайты разные, пользуйтесь этими рекомендациями адаптируя их под ваши условия.

Напоследок список бесплатных онлайн антивирусов позволяющих просканировать отдельные страницы вашего сайта:

1. https://safeweb.norton.com/
2. https://taghosting.ru/online_services/antivirus/
3. https://virusdesk.kaspersky.ru/
4. https://www.virustotal.com/gui/
5. https://rescan.pro/

На этом на сегодня всё! Материал получился достаточно большим, но и тема обширна, поэтому если я что упустил и если вам есть что конструктивно добавить буду рад пообщаться с вами в комментариях!

P.S. Кстати сегодня я стал второй раз отцом