Як вилікувати заражений сайт

З чого почати?

В першу чергу проаналізуйте всі можливі способи зараження:

Знайдіть браузерні шкідливий код

Проаналізуйте інформацію про зараження в Яндекс.Вебмастере, на вкладці Безпека. Інформація про зараження включає перелік заражених сторінок, дати перевірок та винесені антивірусом вердикти. Перейшовши за посиланням в назві вердикту, ви побачите його опис та приблизний вигляд відповідного вердикту коду (коду, який безпосередньо з'являється на сторінках сайту).

Ви також можете самостійно відтворити проблему за допомогою віртуальної машини.

Знайдіть серверний шкідливий код

Перевірте наявність шкідливого коду:

у всіх серверних скриптах, шаблонах CMS, базах даних;
в конфігураційних файлах веб-сервера або інтерпретатора серверних скриптів;
якщо ви використовуєте shared-хостинг, перевірте інші сайти, розташовані на тому ж сервері - можливо заражений весь сервер.

На що звернути увагу при пошуку коду:

Код сторонній або незнайомий, не відповідає резервної копії або системі контролю версій.
Обфусцірованний (нечитаний, неструктурований) код.
Дата модифікації файлів збігається з часом зараження або пізніша. (Цей параметр ненадійний, тому що дата модифікації файлів може бути змінена вірусом.)

Використання характерних для шкідливого коду функцій. Приклади таких функцій для мови PHP:

динамічну дію коду (eval. assert. create_function);
обфускація (base64_decode. gzuncompress. gzinflate. str_rot13. preg_replace);
завантаження віддалених ресурсів (file_get_contents. curl_exec).

Шкідливий код знаходиться на відстані, що далі?

Позначка про небезпеку сайту в результатах пошуку буде знята, якщо при черговій перевірці робот Яндекса не виявить зараження. Щоб прискорити перевірку, надішліть запит через Яндекс.Вебмайстер: натисніть кнопку перевірити ще раз в розділі Безпека.

Протягом декількох тижнів після зараження слід регулярно перевіряти файли і код сайту на той випадок якщо використана вразливість була усунута, або зловмисники й досі мають доступ до сайту.