Как проводится антивирусная очистка сайта?
В ходе очистки проверяются все без исключения файлы сайта, и вирус удаляется из всех файлов, сколько бы сотен или тысяч файлов там не было. В 90% случаев вирус прописывается в файлы с расширениями htm, html, shtml, php, asp, в именах которых присутствуют "index", "main", "default". Таких файлов может быть очень много, может быть всего несколько. Некоторые движки при добавлении вирусного кода продолжают работать и распространяют вирус, а некоторые выходят из строя и сайт перестает открываться. В таблице представлены средние (по разным версиям движков) данные по количеству уязвимых файлов в наиболее часто используемых движках сайтов, блогов и форумов:
| Движок (CMS) | Количество наиболее узявимых файлов | Типичное поведение CMS при заражении |
| Bitrix | 366 | Пропадает футер (реже-хидер). В очень редких случаях - продолжает работать. |
| UMI CMS Pro Commerce | 88 | Сайт перестает открываться. |
| UMI CMS Business | 84 | Сайт перестает открываться. |
| Joomla | 906 | Продолжает работать и распространяет вирус. |
| WebAssist ShopScript 2008 | 36 | Продолжает работать и распространяет вирус. |
| WebAssist ShopScript Premium 2005 | 29 | Продолжает работать и распространяет вирус. |
| WordPress | 8 | Продолжает работать и распространяет вирус. |
| Drupal | 7 | Продолжает работать и распространяет вирус. |
| RunCMS | 1217 | Продолжает работать и распространяет вирус. |
| Invision Power Board, IPB | 120 | Продолжает работать и распространяет вирус. |
| VBulletin | 40 | Продолжает работать и распространяет вирус. |
| phpBB 3 | 87 | Продолжает работать и распространяет вирус. |
В редких случаях вирус при вписывании кода необратимо повреждает файлы сайта. В таких ситуациях сайт перестает открываться вопреки данным приведенной выше таблицы. В таких ситуациях очистка может оказаться невыполнимой. Проблема решается путем воссоздания движка файлами из резервной копии, из дистрибутива движка, либо из локальной копии сайта с идентичной версией CMS. При этом приходится учитывать, что резервные копии сайтов зачастую оказываются неполными.
После проведения очистки на уязвимые файлы ставятся более строгие атрибуты доступа (chmod), чем обычно. Если движок сайта и конфигурация сервера позволяют использовать атрибуты "только чтение для всех" (444), то используется именно такой вариант. Это позволяет перекрыть вирусу доступ к уязвимым файлам.
Обязательным условием предотвращения повторного заражения сайта является соблюдение рекомендаций, которые даются по итогам очистки сайта от вирусов.
Охрана файлов
При соблюдении всех рекомендаций вероятность повторного заражения сайта крайне низка. В тех случаях, когда нужна 100% гарантия, можно установить на сайт систему сохранения уязвимых файлов. По сути это автоматическое восстановление данных файлов из бэкапа в случае из изменения. При этом Вы можете использовать сайт в нормальном режиме, изменять и добавлять контент, и при этом быть спокойным за свой сайт.
Стоимость системы сохранения уязвимых файлов составляет 4500 рублей.
При установке системы предоставляется гарантия от повторного заражения сроком на 1 год.
Особо сложные случаи
Весьма редко случаются особо сложные случаи заражения сайтов. Например, на сайте используется зануленный движок (хакнутая версия платной CMS), и в этот движок искусно интегрирован webshell или оставлено окно, через которое хакер забирает с сайта конфиденциальную информацию. В подобных случаях анализ ситуации может потребовать до 10 дней работы и условия сотрудничества оговариваются отдельно.
