В первую очередь обратите внимание на файлы .htaccess. В этом нет ничего необычного, так как файлы .htaccess являются одними из наиболее распространенных файлов, которые злоумышленник изменяет, чтобы разрешить доступ к файлам или перенаправить пользователей. Например, файл .htaccess может содержать следующий код:

<FilesMatch'.(php|php5|suspected|py|phtml)$'>

Order allow, deny

Deny from all

На первый взгляд это странно. Он запрещает доступ к файлам, оканчивающимся на php, php5, py и phtml, которые являются стандартными расширениями файлов. Это, конечно, необычно. Имеет смысл запретить доступ к файлам, содержащим PHP (.php, .php5 и .phtml) и Python (.py), в тех местах, куда вы не хотите, чтобы пользователи заходили, например, в папки загрузки. Однако не было соответствующего раздела, который разрешал бы доступ к определенным файлам, таким как index.php, который мог бы обрабатывать попытки доступа к этим местам. Еще одна странная особенность этого файла .htaccess.

Основываясь на коде приведенном выше, можно сказать, что эта директива FilesMatch, конкретно запрещающая доступ к этим расширениям файлов, является подозрительной, поэтому не было никаких сомнений в том, что мы видим внедрение файлов (вирусов) на сайт. Соответственно, первым шагом вам надо убедиться, что вы обнаружили и удалили все измененные файлы .htaccess.

Изучение ваших каталогов может привести к обнаружению файла index.php вместе с другим файлом htaccess:

<FilesMatch".(php|php5|py|phtml)$">

Order allow, deny

Deny from all

<FilesMatch"^(index.php|system_log.php)$">

Order allow, deny

Deny from all

Как и первый файл htaccess, этот блокирует доступ ко всем файлам, оканчивающимся на .php, .php5, .py и .phtml. Однако затем он разрешает доступ к index.php и system_log.php. Файл system_log.php — относительно распространенное название бэкдоров, которые хакеры хотят замаскировать и использовать в качестве точки доступа. Комбинация system_log.php и index.php как единственных файлов, к которым разрешен доступ, является хорошим признаком того, что этот каталог имеет вирусы.

Кроме того, может существовать каталог изображений с одним вредоносным файлом htaccess. В каталоге images может быть только один файл .jpg, кроме файла .htaccess, но на самом деле этого не так уж и мало.

Следующим шагом является просмотр содержимого файла. Вы можете выразить свое сомнение. «Однако это файл JPG. Что там будет?» Файлы JPG, а также файлы PNG и GIF часто используются в качестве контейнеров для вредоносных программ, причем вредоносный код либо непосредственно встраивается в изображение, либо внедряется в метаданные изображения. Есть две команды, доступные почти в каждой системе Linux, которые могут помочь нам в этом: strings и cat.

Команда strings извлекает все печатные строки из файла длиной четыре или более символов и отображает их. Это не обязательно вредоносный код, но он может облегчить обнаружение скрытого кода.

Точно так же команда cat просто выводит содержимое файла на экран. С некоторыми параметрами командной строки (в частности, с параметром -v) также преобразует непечатаемые символы в их представления в виде открытого текста. Например, символ Ctrl-C будет отображаться как ^C.

Если есть вирусы в этом файле, вы можете быть удивлены. Когда весь файл отобразится - изображения может не быть вообще. Этот файл, например, может содержать три поля: хэш MD5, набор знаков препинания и длинная строка букв, цифр, плюс символы и косая черта. Этот набор символов идеально соответствует набору символов base64, но при попытке его расшифровать, вы можете получить тарабарщину.

Вы можете использовать str_rot13 перед декодированием текста. Функция str_rot13 поворачивает буквы на 13 позиций в алфавите. Это означает, что «C» становится «P» и так далее. Используя это при расшифровке строки можно получить вредоносную программу. Это может быть инжектор, извлекающий данные с удаленного сайта и вводящий их в каждый веб-запрос, полученный сайтом.

Какова бы ни была причина, по которой страница сайта не открывается, например вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.