→ Проверка файлов на вредоносный код. Ищем и убираем вредоносный код на WordPress. Удаляйте подозрительные коды, если Вы уверены в своих действиях

Проверка файлов на вредоносный код. Ищем и убираем вредоносный код на WordPress. Удаляйте подозрительные коды, если Вы уверены в своих действиях

Сегодня Яндекс.Вебмастер сообщил мне неприятную новость, касающуюся одного из моих ресурсов. Cообщение информировало, что на страницах сайта обнаружен вредоносный код, который может быть опасен для компьютеров посетителей. При открытии страниц сайта вредоносный код на может привести к нежелательным для пользователя последствиям: заражению компьютера вирусами, несанкционированному использованию его ресурсов, порче и даже кражеличных данных.

(N.A. своевременное обновление версии браузера повысит безопасность работы в интернете)

Вопрос, как и откуда появился вредоносный код на сайте, это был основной вопрос, ответ на который мне нужно было получить. Ведь администрированием ресурса я занимаюсь в одиночку, пароль для FTP доступа доступен только мне, да и нет тех людей, которые хотели бы внести изменения на страницы.

Я начал вспоминать, какие изменения и с какого компьютера производились по отношению к этому сайту в последнее время и вспомнил.

Несколько дней назад было обращение через FTP доступ с компьютера у которого была устаревшая антивирусная база. Им был рабочий компьютер, с которого я сейчас пишу этот пост.

Я скачал пробную тридцатидневную версию антивирусной программы и проверил систему. В ней действительно оказалось несколько файлов зараженных трояном. Позже мои выводы были подтверждены службой поддержки хостинг провайдера и разработчиками антивирусных программ.

После того, как была выяснена, локализована и устранена причина заражения, можно было перейти к следующему этапу и удалить вредоносный код с сайта. Я хочу подчеркнуть, что наиболее важным является выяснить источник заражения, а уж потом устранить последствие. Это сократит вероятность повторного появления проблемы, а в некоторых случаях, без устранения источника лечение сайта вообще не является возможным.

Вредоносный код на сайте содержал следующий скрипт:

Этот скрипт был размещен в конце каждой страницы между тэгами и .

Удалить скрипт можно было двумя способами :

  • 1. восстановить сайт из бэкапа на сервере;
  • 2. удалить вредоносный код вручную.

    • По причине небольшого количества страниц и знания их содержимого я выбрал второй вариант. Найти вредоносный код на сайте, удалить его и заменить зараженные страницы сайта на сервере чистыми не заняло много времени, безопасность сайта была восстановлена.

    Более ужасным было последствие, которое в разы снизило численность посетителей и выражалось фразой: «Этот сайт может угрожать безопасности вашего компьютера», но с этим уже не поспоришь, раз уж оплошал, придется за это расплачиваться.

    Как защитить сайт от заражения вредоносным кодом

    Для того, чтобы обезопасить сайт от заражения вредоносным кодом, необходимо:

  • Пользоваться качественным антивирусом . Установить официальную версию лидирующей на данный момент по рейтингу антивирусной программы.
  • Поменять пароль для FTP доступа к сайту и панели управления. Если хостингом поддерживается отключение FTP доступа, отключить его из панели управления и включать по мере необходимости.
  • Обращаться через FTP доступ к сайту только с компьютеров, имеющих хорошую антивирусную защиту с актуальной вирусной базой.
  • Права доступа к файлам и папкам (Chmod) должны строго соответствовать тем, что рекомендует разработчик. В случае изменения прав доступа для редактирования файла, по окончанию работ, обязательно восстанавливать требуемые значения.

    • Выполняя эти четыре основных правила будет значительно сокращена вероятность заражения сайта вредоносным программным обеспечением.

    На этом все, все вопросы и замечания оставляйте пожалуйста в комментариях.

    Приведенные ниже указания применяются к пользовательским приложениям и программам Скайпа. Они не применяются к программному продукту и веб-службе Skype для бизнеса, предоставляемым корпорацией Майкрософт.

    Что вы можете сделать для обеспечения безопасности

    Вам доступно множество разных возможностей для обеспечения безопасности своей учетной записи. Ниже каждая из них описана подробнее.

    А если вы хотите сообщить о каких-либо подозрительных действиях или проблемах в области безопасности, без колебаний обращайтесь к нам .

    При обнаружении уязвимости безопасности в любых приложениях или веб-службах Скайпа следуйте инструкциям, приведенным по данной ссылке: сообщение об уязвимости компьютера .

    Для доступа к учетной записи Скайпа крайне важно выбрать безопасный пароль. Злоумышленники взламывают учетные записи (не только в Скайпе, но и на других веб-сайтах) с помощью списков часто используемых паролей, поэтому вам нужен надежный и уникальный пароль.

    • Используйте сочетание букв, цифр и других символов, например тех, что расположены на многих клавиатурах над цифрами, т. е. %, *, $, £ и!. Повысить надежность пароля можно, включив в него знаки препинания, символы и другие нестандартные знаки.
    • Не следует использовать имена, даты рождения и слова из словаря, так как их легко угадать.
    • Чем длиннее пароль, тем он надежнее, но не забывайте о том, что длинный пароль сложнее запомнить. Выбирайте такой пароль, который можете запомнить, чтобы не пришлось его записывать.

    Выбор надежного и легкого для запоминания пароля может оказаться непростой задачей. Далее приведено несколько методик, способных помочь вам.

    Используйте в качестве пароля предложение.

    Длина паролей ограничена 50 знаками, но вы можете использовать короткое предложение, чтобы затруднить взлом пароля.

    Включите в пароль числа, прописные и строчные буквы, чтобы пароль имел вид не "ответэтомарс", а "От3етЭтоМ4рс*".

    Свяжите пароль с чем-то личным для вас.

    Пароль должны знать только вы, а другие люди не должны иметь о нем никакого представления. Например, имя домашнего питомца или название любимого фильма могут знать и другие люди, ведь в результате распространения социальных сетей доступность ваших личных сведений возросла.

    Попробуйте отвлечься от этого и обратить внимание на то, что видите ("Вот течет река!" или "Желтый автомобиль"), а затем применить наши рекомендации:
    "В0тТ3четРек4*" или "4Ж3лтый автомобиль.$"

    Используйте уникальный пароль на каждом сайте.

    Многие из нас используют несколько учетных записей и веб-сайтов, для которых нужно запоминать имя пользователя и пароль, однако не все веб-сайты одинаковы. Мы в Скайпе заботимся о вашей безопасности и тратим на ее обеспечение значительные средства, но так поступают не все. Поэтому рекомендуем использовать особый пароль для каждого веб-сайта, который вы посещаете: это позволит защитить вашу учетную запись в Скайпе от взлома через веб-сайты с более слабой системой безопасности.

    Типичная стратегия злоумышленников заключается в том, чтобы с помощью учетных данных, украденных с других веб-сайтов, попытаться получить доступ к более ценным учетным записям, включая Скайп, поставщиков почты и социальные сети.

    Регулярно меняйте ваши пароли.

    Даже если вы используете надежный пароль, его нужно регулярно менять.

    Если вам кажется, что ваш пароль стал известен другим, смените его как можно быстрее.

    В случае взлома другого веб-сайта или другой службы, где вы используете такой же или схожий пароль, как можно скорее измените пароль Скайпа , чтобы защитить свою учетную запись.

    Вирусы могут наносить вред вашему компьютеру и собирать ваши личные данные независимо от того, используете ли вы Скайп или нет. Следующие советы помогут вам избежать этого.

    • Не открывай вложения электронной почты, полученные от незнакомых людей, а также подозрительные вложения, даже полученные от известных вам людей. В случае сомнения следует связаться с отправителем и получить от него подтверждение того, что письмо не поддельное, даже если на первый взгляд оно кажется безобидным (например, вам пришла электронная открытка или забавная картинка).
    • Даже если вы знаете отправителя, всегда используйте антивирусную программу для проверки файлов, которые вы получаете от других, как через Скайп, так и другими способами. Антивирусная программа на вашем компьютере должна работать постоянно, и не забывайте регулярно обновлять антивирусные базы.
    • Пользуйтесь персональным брандмауэром.
    • Настройте компьютер для регулярного получения последних обновлений системы безопасности и исправлений для своей операционной системы, например Microsoft Windows или Apple Mac OS X, а также для приложений, таких как Adobe Flash, Microsoft Internet Explorer или Mozilla Firefox.
    • С осторожностью подходите к выбору веб-сайтов, которые вы посещаете и с которых скачиваете контент. Старайтесь всегда использовать официальный сайт соответствующих программ.

    Дополнительную информацию о безопасном пользовании Интернетом см. на веб-сайтах InSafe и Get Safe Online .
    (Скайп не несет ответственности за содержимое сторонних сайтов).

    Мы постоянно совершенствуем Скайп, повышая его качество, надежность и безопасность. Как обновить Скайп до .

    Будьте осторожны с письмами, полученными якобы от Скайпа, в которых сообщается о выходе обновления для системы безопасности, - мы никогда не высылаем подобных писем.

    Для скачивания Скайпа следует использовать только https://www.skype.com (или магазин App Store на мобильной платформе), так как распространение Скайпа через какие-либо другие сайты не осуществляется.

    Перед тем как передавать информацию о своей кредитной карте на веб-сайты, утверждающие, что они перепродают продукты Скайпа, убедитесь, что соответствующий веб-сайт или продавец достоин доверия.

    Фишинг - это попытка злонамеренной третьей стороны получить важную информацию, например имя пользователя, пароль или сведения о кредитной карте, выдавая себя за доверенную организацию или доверенный веб-сайт.

    Например, на ваш адрес электронной почты могут прислать письмо якобы от Скайпа, в котором вам предложат перейти по ссылке для входа в вашу учетную запись. Эта ссылка может вести на поддельный веб-сайт, который выглядит и функционирует точно так же, как и сайт Скайпа, однако введенные на нем личные сведения могут быть сохранены или украдены и впоследствии использованы злоумышленниками.

    Лучшей защитой от фишинга является бдительность. Хотя фильтры нежелательной почты и другие фильтры становятся все эффективнее, они могут пропускать некоторые фишинговые сообщения. Повышая уровень информированности о методиках фишинга и способах противодействия им, вы можете предотвратить подобные попытки с помощью простых мер.

    Уделяйте пристальное внимание сообщениям, имеющим подчеркнуто срочный характер, например "Ваша учетная запись была скомпрометирована. Щелкните здесь для просмотра подробностей", или повелительный характер, например "Подтвердите сведения о вашей учетной записи". При получении сообщения с просьбой выполнить какое-либо действие с учетной записью, не переходите по приведенным в нем ссылкам. Вместо этого введите "skype.com" в браузере и перейдите в свою учетную запись прямо с сайта Скайпа.

    Если вы получили сообщение с вложением якобы от Скайпа, не открывайте это вложение.

    Если вы оказались на каком-либо веб-сайте через ссылку или другой механизм переадресации, убедитесь, что URL-адрес сайта имеет вид skype.com и что в нем отсутствуют другие символы или слова. Например, не стоит доверять веб-сайтам notskype.com и skype1.com.

    Если вам кажется, что ваши учетные данные стали известны другим, смените пароль как можно быстрее.

    Вредоносный код попадает на сайт по неосторожности или злому умыслу. Назначения вредоносного кода различны, но, по сути, он наносит вред или мешает нормальной работы сайта. Чтобы убрать вредоносный код на WordPress его нужно сначала, найти.

    Что такое вредоносный код на сайте WordPress

    По внешнему виду, чаще всего, вредоносный код это набор букв и символов латинского алфавита. На самом деле это зашифрованный код, по которому исполняется, то или иное действие. Действия могут быть самые различные, например, ваши новые посты, сразу публикуются на стороннем ресурсе. По сути это кража вашего контента. Есть у кодов и другие «задачи», например, размещение исходящих ссылок на страницах сайта. Задачи могут самые изощренные, но понятно одно, что за вредоносными кодами нужно охотиться и удалять.

    Как попадают вредоносные коды на сайт

    Лазейки для попадания кодов на сайт, также множество.

  • Чаще всего, это темы и плагины скачанные с «левых» ресурсов. Хотя, такое проникновение характерно для, так называемых, зашифрованных ссылок. Явный код так не попадает на сайт.
  • Проникновение вируса при взломе сайта, самое опасное. Как правило, взлом сайта позволяет разместить не только «одноразовый код», но установить код с элементами malware (вредоносной программы). Например, вы находите код, и удаляет его, а он восстанавливается, через некоторое время. Вариантов, опять — таки множество.

    • Сразу замечу, борьба с такими вирусами трудная, а ручное удаление требует знаний. Есть три решения проблемы: первое решение – использовать плагины анитвирисники, например, плагин под названием BulletProof Security .

    Такое решение дает хорошие результаты, но требует времени, хотя и небольшого. Есть более радикальное решение, избавления от вредоносных кодов, включая сложные вирусы, это восстановить сайт из заранее сделанных резервных копий сайта.

    Так как, хороший веб-мастер делает периодически, то откатиться на не зараженную версию, получится без проблем. Третье решение для богатых и ленивых, просто обращаетесь в специализированную «контору» или специалисту индивидуалу.

    Как искать вредоносный код на WordPress

    Важно понимать, что вредоносный код на WordPress может быть в любом файле сайта, и не обязательно в рабочей теме. Он может занестись с плагином, с темой, с «самодельным» кодом взятого из Интернет. Попробовать найти вредоносный код можно несколькими способами.

    Способ 1. Вручную. Листаете все файлы сайта и сравниваете их с файлами незараженного бэкапа. Находите чужой код – удаляете.

    Способ 2. С помощью плагинов безопасности WordPress. Например, . У этого плагина есть замечательная функция, сканирование файлов сайта на наличие чужого кода и плагин прекрасно справляется с этой задачей.

    Способ 3. Если у вас, разумный support хостинга, и вам кажется, что на сайте «чужой», попросите их просканировать ваш сайт своим антивирусом. В их отчете будет указаны все зараженные файлы. Далее, открываете эти файлы в текстовом редакторе и удаляете вредоносный код.

    Способ 4. Если вы можете работать с SSH доступом к каталогу сайта, то вперед, там своя кухня.

    Важно! Каким бы способом вы не искали вредоносный код, перед поиском и последующим удалением кода, закройте доступ к файлам сайта (включите режим обслуживания). Помните про коды, которые сами восстанавливаются при их удалении.

    Поиск вредоносных кодов по функции eval

    Есть в php такая функция eval . Она позволяет исполнять любой код в ее строке. Причем код может быть закодирован. Именно из-за кодировки вредоносный код выглядит, как набор букв и символов. Популярны две кодировки:

  • Base64;
  • Rot13.

    • Соответственно в этих кодировках функция eval выглядит так:

    • eval (base64_decode (...))
    • eval (str_rot13 (...)) //во внутренних кавычках, длинные не понятные наборы букв и символов..

    Алгоритм поиска вредоносного кода по функции eval следующий (работаем из административной панели):

    • идёте в редактор сайта (Внешний вид→Редактор).
    • копируете файл functions.php .
    • открываете его в текстовом редакторе (например, Notepad++) и по поиску ищите слово: eval .
    • если нашли, не спешите ничего удалять. Нужно понять, что эта функция «просит» исполнить. Чтобы это понять код нужно раскодировать. Для раскодирования есть онлайн инструменты, называемые декодеры.
    Декодеры/Кодеры

    Работают декодеры просто. Копируете код, который нужно расшифровать, вставляете в поле декодера и декодируете.

    На момент написания статьи я не нашел у себя ни одного зашифрованного кода найденного в WordPress. Нашел код с сайта Joomla. В принципе разницы для понимания раскодирования нет. Смотрим фото.

    Как видите на фото, функция eval после раскодирования, вывела не страшный код, угрожающий безопасности сайта, а зашифрованную ссылку копирайта , автора шаблона. Его тоже можно удалить, но он вернется после обновления шаблона, если вы не используете .

    В завершении замечу, чтобы не получить вирус на сайт:

    • Вредоносный код на WordPress чаще приходит с темами и плагинами. Поэтому не ставьте шаблоны и плагины из «левых», не проверенных ресурсов, а если ставите, внимательно их прокачайте, на наличие ссылок и исполнительных функций php. После установки плагинов и тем с «незаконных» ресурсов, проверьте сайт антивирусами.
    • Обязательно делайте периодические бэкапы и выполняйте другие .

    Мы выпустили новую книгу «Контент-маркетинг в социальных сетях: Как засесть в голову подписчиков и влюбить их в свой бренд».

    Вредоносный код - это код, который мешает нормальной работе сайта. Он может встраиваться в темы, базы данных, файлы и плагины.


    Больше видео на нашем канале - изучайте интернет-маркетинг с SEMANTICA

    Результатом работы вредоносного кода может стать удаление части полезного контента, или его публикация на стороннем ресурсе. Таким способом злоумышленники могут организовать кражу контента. Особенно обидно, если этому воздействию подвергся молодой ресурс с авторскими статьями. Может сложиться впечатление что это он своровал контент у более старшего ресурса.

    Также вредоносный код может разместить в бесплатной теме скрытые ссылки на сторонние страницы, доступные для поисковиков. Не всегда эти ссылки будут вредоносны, но вес основного сайта гарантированно пострадает.

    Общее назначение всех вредоносных кодов сводится к нарушению работы веб-страниц.

    Внешне вредоносный код представляет собой хаотичный набор символов. В действительности за этой бессмыслицей скрывается зашифрованный код, содержащий последовательность команд.

    Как вредоносный код попадает на сайт

    Есть два способа, как на сайт может попасть вредоносный код.

    1. Скачивание файлов и плагинов с сомнительных и ненадежных ресурсов. Чаще всего таким способам на сайт проникают зашифрованные ссылки. Явный код редко проникает на сайт этим путем.

    2. с последующим проникновением . Этот способ считается более опасным, ведь взлом веб-страницы дает возможность передать не только "одноразовый" код, но и целые конструкции с элементами вредоносной программы (malware).

    Такой код очень тяжело уничтожить, т.к. он может восстанавливаться после удаления.

    Проверка сайта на вредоносный код

    Следует помнить, что эти коварные конструкции могут появиться не только в активной теме, но и в любом файле ресурса. Существует несколько способов их поиска:

    • Вручную. Для этого нужно сравнить содержимое всех актуальных файлов с незараженными версиями бэкапа. Все что отличается необходимо удалить.
    • С помощью плагинов безопасности. В частности WordPress предлагает плагин Wordfence Security. У него есть опция сканирования файлов страницы на содержание постороннего кода.
    • С помощью саппорта хостинга. Владелец сайта имеет право обратиться к ним с просьбой просканировать ресурс своим антивирусом. В результате они предоставят отчет, отражающий наличие зараженных файлов. Эти файлы можно очистить от посторонних конструкций с помощью обычного текстового редактора.
    • Через SSH-доступ к сайту. Сам поиск осуществляется с помощью команд:

    find /текущий каталог страницы -type f -iname "*" -exek -"eval" {} \; > ./eval.log

    find /текущий каталог страницы -type f -iname "*" -exek-"base64" {} \; > ./base64.log

    find /текущий каталог страницы -type f -iname "*" -exek -"file_get_contents" {} \; > ./file_get_contents.log

    В результате их выполнения будет получена информация о подозрительных файлах. Перечень этих файлов запишется в лог, хранящийся в текущей директории.

    • Проверка сайта на вредоносный код с помощью функции eval. Эта php-функция запускает на выполнение любой, даже зашифрованный код. В качестве одного из аргументов, на вход этой функции подается тип кодировки (как правило это base64_decode или str_rot13). Именно благодаря использованию популярных кодировок вредоносный код выглядит как бессмысленный набор латинских символов.

    Открываете редактор страницы.

    Копируете в буфер содержимое файла functions.php.

    Вставляете его в любой текстовый редактор (блокнот).

    Находите команду eval.

    • Перед тем, как удалить вредоносный код, проанализируйте, какие параметры функция ожидает на вход. Т.к. параметры поступают в зашифрованном виде, их нужно расшифровать с помощью декодеков. Распознав входной параметр, вы можете принять решение о его дальнейшем нахождении в тексте файла functions.php.
    Удаление вредоносного кода

    После обнаружения вредоносного кода его просто необходимо удалить как обычную строку в текстовом файле.

    Защита от вредоносного кода

    Для того, чтобы предупредить появление вредоносного кода на сайте, необходимо соблюдать ряд профилактических мер.

    Используйте только проверенное ПО:
    • Загружайте дистрибутивы только из надежных источников.
    • Во время запускайте обновление серверного ПО.
    • Совершайте регулярный аудит системы безопасности сервера.
    • Удаляйте устаревшие отладочные скрипты.
    Ставьте на серверное ПО надежные пароли:
    • Придумайте конструкцию из 12 символов, включающую цифры и буквы разных регистров.
    • Для каждого из сервисов придумайте свой уникальный пароль.
    • Меняйте свои пароли раз в 3 месяца.
    Осуществляйте контроль данных, вводимых пользователями:
    • Настройте фильтры HTML-разметки в полях ввода, содержимое которых попадет в код страницы.
    • Организуйте серверную проверку входных данных на соответствие допустимому интервалу.
    • Используйте WAF. Web Application Firewall - это мощный инструмент защиты сайта от хакерских атак.
    Разграничивайте права доступа к своему ресурсу.

    Заблокируйте или ограничьте доступ к инструментам администрирования движка вашего сайта и его баз данных. Кроме того, закройте доступ к файлам настроек и резервным копиям рабочего кода.

    Такому проникновению вредоносного кода наиболее подвержены те сайты, на которых реализована возможность загрузки пользовательских файлов.

    1. Организуйте защиту от ботов. Для этих целей многие CMS оснащены специальными плагинами;

    2. Настройте проверку вводимых пользователями данных:

    • Запретите вставку JavaScript-кода внутри конструкции t>.
    • Ведите перечень безопасных HTML-тегов и отсеивайте конструкции, не вошедшие в этот список.
    • Анализируйте ссылки, которые присылают пользователи.
    • Для этого существуют специальные сервисы, например Safe Browsing API. Он позволяет проверить безопасность документа по URL.

    Как предупредить случайное размещение вредоносного кода.

    • Тщательно следите за используемым ПО:

    Загружайте библиотеки и расширения CMS только с проверенных источников, а лучше всего с официальных сайтов.

    Изучайте код нестандартных расширений, которые вы собираетесь поставить на движок своего сайта.

    • Размещайте рекламу очень осторожно:

    Публикуйте на своей площадке объявления, которые предлагают только надежные рекламодатели.

    Старайтесь размещать на своей странице статический контент.

    Остерегайтесь партнерских программ со скрытыми блоками.

    Каждый вебмастер обнаружив вредоносный код на своем сайте , получает массу не очень приятных впечатлений. Владелец сайта сразу же, в панике пытается найти и уничтожить вирус, и понять каким же образом эта гадость могла попасть на его сайт. Но как показывает практика, найти вредоносный код на сайте не так уж и просто. Ведь вирус может прописаться в один или в несколько файлов, из огромного количества которых состоит сайт, будь то движок работающий на вордпрессе или обычный сайт на html .

    Вчера, проверяя свою почту, я обнаружил письмо от Google, о том что посещение определенных страниц моего сайта может привести к заражению компьютеров пользователей вредоносными программами. Теперь пользователям, переходящим на эти страницы по ссылкам в результатах поиска Google.ru, отображается страница с предупреждением. Этот сайт не был добавлен мной в панель вебмастера Google, поэтому я был оповещен по почте. В панели вебмастера у меня находилось еще несколько сайтов, зайдя туда я в ужасе увидел предупреждение о вредоносном коде еще на двух своих сайтах.
    В итоге, на трех моих сайтах поселился вредоносный код , который мне предстояло найти и уничтожить. Один из сайтов работал на вордпрессе, другие два состояли из обычных php страниц.

    Стоит заметить, что Google среагировал гораздо быстрее Яндекса на наличие вредоносного кода. В панели вебмастера Яндекса, предупреждение о наличии вируса на сайте так и не появилось. Благо, в течении нескольких часов я успел найти этот злосчастный вирус.

    Как правило, чаще всего сайты заражает так называемый iframe-вирус . По сути, этот вирус состоит из кода …. . Вирус ворует все пароли с Total Commander или другого ftp-клиента . В моем случае, произошло тоже самое, код iframe прописался в нескольких десятках файлов на моем сайте. На сайте, который работал на вордпрессе, вредоносный код успел обосноваться лишь в footer.php .

    И так, как найти вредоносный код , если Вы обнаружили что Ваш сайт заражен:

    1. Заходим в панель управления хостингом и меняем пароль. Елси у Вас несколько сайтов, то проделываем это со всеми своими сайтами.

    2. Меняем и удаляем пароли в ftp-клиенте . Больше никогда не храним пароли в ftp-клиентах, всегда вводим их вручную.

    3. Можно зайти на хостинг по ftp , и посмотреть что изменилось в Ваших файлах. Отсортируйте файлы по дате последнего изменения. У тех файлов, которые заражены, дата должна быть свежая и одинаковая. Откройте эти файлы и ищите код iframe , как правило этот код располагается в самом конце. В основном, вредоносный код прописывается в файлах: index.php, index.html , в файлах с расширением .js . Нередко, эта зараза проживает между тегами … .
    Для самописных сайтов, очень внимательно просмотрите все файлы и папки скриптов, вирус частенько прописывается именно там. Так же, излюбленное место обитания этого вируса, в кодах счетчиков для сайта, и в рекламных кодах.

    4. Проверьте файл.htaccess на наличие подозрительного кода. Иногда вредоносный код проникает и в этот файл. Обычно в файлах движка существует несколько директорий, в которых может находиться файл .htaccess. Проверьте все эти файлы и убедитесь в «чистоте» кода.

    Что касается файлов вордпресса или другой CMS , как правило любая CMS состоит из множество файлов и папок, и найти в них вредоносный код очень сложно. Например, для вордпресса могу порекомендовать плагин TAC . Этот плагин проверяет файлы во всех темах в папке themes на наличие стороннего кода. Если TAC найдет не желательный код, то покажет путь к этому файлу. Таким образом, можно вычислить и маскирующийся вирус.
    Скачать плагин TAC: wordpress.org

    Вообще, стоит постоянно держать в памяти все действия, которые Вы производили со своими файлами сайта. Помнить, что меняли или добавляли в тот или иной код.

    Когда найдете и удалите вредоносный код, то не помешает проверить свой компьютер на наличие вирусов.
    И если Ваш сайт был помечен Гуглом или Яндксом как зараженный, то через панель вебмастера надо отправить запрос на повторную проверку. Как правило, в течении суток все ограничения с Вашего сайта поисковики должны убрать. Мой запрос на повторную проверку Гугл обрабатывал не долго, и через несколько часов с моих сайтов были сняты все ограничения.

     

     
    Это интересно: