С какой стороны подходить к зараженному сайту


Если сайт заражен вирусом, а признаками этого являются, например:
• Автоматический редирект на другой ресурс или блокировка компьютера пользователя вирусом-баннером.
• Сообщение поисковой системы (Яндекс, Google) о том, что на сайте обнаружен вредоносный код.
То подобраться к вирусному коду и буквально «выковырять» его можно только с панели управления сайтом на хосте. Точнее – с той ее части, которая называется FTP-менеджер. Именно такой подход позволит вам не запустить зараженный файл, а увидеть строчку вирусного кода и уничтожить ее.

След, который оставляют злоумышленники


Если вы откроете FTP-менеджер панели управления сайтом на хосте, то увидите список файлов и папок, которые и составляют дистрибутив сайта. Возле каждого из них стоит дата создания и изменения, включая время. Именно она является следом, по которому определяется, что на вашем сайте побывали злодеи. Ну, конечно, если вы точно помните что, когда и зачем меняли на сайте.

Что можно увидеть в измененной не вами папке или файле


Зайдя в папку, дата изменения которой вызывает сомнения, вы можете обнаружить там не ваши файлы с расширениями .exe и .js или измененные, опять же не вами, индексные файлы типа index.html и index.php. Файлов с расширением .exe в дистрибутиве сайта быть не должно, это явный вирус. Исполняемые файлы .js могут быть и вашими «родными», но дополненными, поэтому сразу уничтожать их не следует. В индексных файлах чаще всего встречаются вирусы вида:
• Eval...> признаком вируса является очень длинная неразрывная строка из латинских букв и цифр.
• iframe… признак вируса – размер фрейма 1 на 1 пиксел.

Что делать


Лечение сайта от вируса начинается с генеральной чистки собственного компьютера. Обязательно надо сменить все логины и пароли: FTP, доступа в панель администрирования сайта и доступа к панели управления на хосте.

После этого в FTP-менеджере хоста проверяете каждый файл, который вызывает сомнения. Вам надо не запустить его, а увидеть код, поэтому жмите на кнопку «редактировать». Файлы с расширением .exe сразу уничтожаете, имеющие расширение .js проверяете на наличие лишних строк кода. Чтобы не сомневаться – храните все установленные на сайте скрипты в отдельной папке своего компьютера. В индексных файлах стираете все фреймы размером в пиксел и длиннющие бессмысленные строчки из набора букв и цифр после значка .

Перед входом на FTP-менеджер панели управления сайта обычно есть папки log-файлов. Их надо открыть и посмотреть - кто заходил на сайт в то время, когда предположительно произошло заражение. Вы увидите IP злоумышленника. Создаете (если его нет) файл .htaccess внутри папки с файлами сайта и пишете в нем строку запрета на вход с этого IP.

Через два дня надо провести повторную ревизию, возможно процесс чистки сайта придется повторить еще несколько раз.