Вирус js как найти и удалить

Примерно 30% обращений наших клиентов связано с этой проблемой.
В этой статье мы расскажем, как успешно найти и удалить вредоносный js вирус с сайта.

Js вирусы – вредоносный Javascript код внедряемый хакером в файлы вашего сайта.
Как следует из названия изменению и заражению подвергаются файлы с расширением *.js
Антивирусные компании насчитывают тысячи модификаций, еще больше остается незамеченными и появляются каждый день. Разные названия, разные цели.

Содержание:

— Где искать
— Что искать
— Как удалить
— Как защититься

Где искать?

Внедряемый код может быть разный, как правило предварительно шифруется, для усложнения отладки и определения.
Но есть несколько характерных признаков. Как правило js вирус:
1) дописывается в конец существующего кода.
2) дописывается в начало существующего кода.

Нам так же встречались модификации php файлов с внедрением js кода перед закрывающим тэгом body. В основном это шаблоны системы управления сайтом.

Исходя из этого поиск необходимо делать как в js так и php файлах.

Что искать?

Проверку начинаем с просмотра исходного кода страницы на которую есть подозрение.
Ищем “включения” – ссылки ведущие на сторонние сайты.
Если вирусная ссылка находится, проверяем ее наличие во всех файлах вашего сайта.

В .js файлах следует искать конструкции типа:
- eval(function
- window|location
— Наборы букв и цифр, не похожие на код программы.

Часто js вирусы используются для перенаправления посетителей сайта, по заданному типу браузера или операционной системы, поэтому следует проверить наличие слов:
refferer, yandex, google, user-agent

В php файлах возможно добавление кода вида:
eval(base64_decode(...));

Найдя один образец вируса, следует проверить его наличие во всех файлах сайта.

Если ни один из приведенных шаблонов поиска не подходит, можно сравнить любой из js файлов на сайте с оригинальным кодом. Для этих целей подойдут часто используемые библиотеки. К примеру jquery.
Сравнив 2 файла можно найти вставки и модификации, которые необходимо удалить.

Как удалить?

Перед проведением работ, следует поменять все пароли доступа к сайту и сделать резервную копию.

К сожалению зараженных js файлов может быть не один десяток. Иногда счет идет на сотни. Вариантов решения как всегда несколько:
1) Самый простой – восстановить файлы из резервной копии (если она есть).
2) Написать небольшую программу, которая по заданному шаблону проверит все файлы и удалит ненужный код.
3) Воспользоваться программами для автоматического поиска и замены текста.

Как защититься?

Следует помнить, что js вирусы на вашем сайте появились не просто так. Мы устранили следствие взлома, но не причину. Это значит, что ситуация может повториться в любой момент.

Общая рекомендация: установка последних версий используемого программного обеспечения, включая основную систему, используемые плагины и дополнительные компоненты.

Как определить причину, отдельная тема, не укладывающаяся в рамки небольшой заметки. В любом случае, если вы дорожите своим сайтом и своими клиентами (а мы своих очень любим), желательно обратиться к помощи специалистов.
Мы всегда будим рады вам помочь.