Примерно 30% обращений наших клиентов связано с этой проблемой.
В этой статье мы расскажем, как успешно найти и удалить вредоносный js вирус с сайта.
Js вирусы – вредоносный Javascript код внедряемый хакером в файлы вашего сайта.
Как следует из названия изменению и заражению подвергаются файлы с расширением *.js
Антивирусные компании насчитывают тысячи модификаций, еще больше остается незамеченными и появляются каждый день. Разные названия, разные цели.
Содержание:
— Где искать
— Что искать
— Как удалить
— Как защититься
Где искать?
Внедряемый код может быть разный, как правило предварительно шифруется, для усложнения отладки и определения.
Но есть несколько характерных признаков. Как правило js вирус:
1) дописывается в конец существующего кода.
2) дописывается в начало существующего кода.
Нам так же встречались модификации php файлов с внедрением js кода перед закрывающим тэгом body
. В основном это шаблоны системы управления сайтом.
Исходя из этого поиск необходимо делать как в js так и php файлах.
Что искать?
Проверку начинаем с просмотра исходного кода страницы на которую есть подозрение.
Ищем “включения” – ссылки ведущие на сторонние сайты.
Если вирусная ссылка находится, проверяем ее наличие во всех файлах вашего сайта.
В .js файлах следует искать конструкции типа:
- eval(function
- window|location
— Наборы букв и цифр, не похожие на код программы.
Часто js вирусы используются для перенаправления посетителей сайта, по заданному типу браузера или операционной системы, поэтому следует проверить наличие слов:
refferer, yandex, google, user-agent
В php файлах возможно добавление кода вида:
eval(base64_decode(...));
Найдя один образец вируса, следует проверить его наличие во всех файлах сайта.
Если ни один из приведенных шаблонов поиска не подходит, можно сравнить любой из js файлов на сайте с оригинальным кодом. Для этих целей подойдут часто используемые библиотеки. К примеру jquery.
Сравнив 2 файла можно найти вставки и модификации, которые необходимо удалить.
Как удалить?
Перед проведением работ, следует поменять все пароли доступа к сайту и сделать резервную копию.
К сожалению зараженных js файлов может быть не один десяток. Иногда счет идет на сотни. Вариантов решения как всегда несколько:
1) Самый простой – восстановить файлы из резервной копии (если она есть).
2) Написать небольшую программу, которая по заданному шаблону проверит все файлы и удалит ненужный код.
3) Воспользоваться программами для автоматического поиска и замены текста.
Как защититься?
Следует помнить, что js вирусы на вашем сайте появились не просто так. Мы устранили следствие взлома, но не причину. Это значит, что ситуация может повториться в любой момент.
Общая рекомендация: установка последних версий используемого программного обеспечения, включая основную систему, используемые плагины и дополнительные компоненты.
Как определить причину, отдельная тема, не укладывающаяся в рамки небольшой заметки. В любом случае, если вы дорожите своим сайтом и своими клиентами (а мы своих очень любим), желательно обратиться к помощи специалистов.
Мы всегда будим рады вам помочь.