Как вылечить сайт от вирусов

Если Вы обнаружили что php-скрипты Вашего сайта содержат вредоносный код вида "eval(base64_decode("DQp........))", который Вы не размещали в сериптах, вылечитьсайт от данного кода можно следующим образом. Подключаетесь к серверу хостинга по SSH, переходите в директорию домена и выполняете следующие команды:

 

cd www/domain_directory/ - перейти в директорию домена
find . -type f -name '*.php' -exec perl -pi -e 's/eval(base64_decode("DQp.*"));//g' '{}' ; - найти и удалить  в php-скриптах строки
 содержащие "eval(base64_decode("DQp...."));"

 

Обычно данный код при заражении сайта  прописывается в начале файла, также встречались случаи когда данный код был содержался в середине и конце скрипта. Перед выполнением очистки скриптов от данного кода проведите анализ php-скриптов. 

Если Вы обнаружили что *.js скрипты содержат закодированые строки "try{q=document.createElement("d"+"i"+"v")......" для их устранения также подключаемся к серверу хостинга по SHH и выполняем команды:

 

grep -lR "try{q=document.createElement("d"+"i"+"v")" * - показать все файлы содержащие данную строку
grep -Rl "try{q=document.createElement("d"+"i"+"v")" . |xargs -I @ sed -i -e "s/^try{q=document.createElement("d"+"i"+"v").*$//g" "@"
- показать файлы содержащие код "try{q=document.createElement("d"+"i"+"v")" и удалить их

 

После очистки js-скриптов от данного кода рекомендуется сныть с них права на запись. 

Ниже приведено несколько online-сервисов проверки:

 

Dr.Web:  https://vms.drweb.com/online/?lng=en

 

StopBadware: https://www.stopbadware.org/home/reportsearch

 

По данному адресу приведены примеры из-за чего Ваш сайт может определяться как зараженный и распространяющий вирусы https://www.stopbadware.org/home/security