8 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Инструменты проверки сайта на вирусы

Содержание

Инструменты проверки сайта на вирусы

Заражение и взлом сайта — ситуация крайне опасная. Есть огромное количество сценариев, как злоумышленники могут использовать ваш сайт или вычислительные ресурсы:

  • разместить на сайте нелегальный контент;
  • отправить спам-рассылку — и хорошо, если не по вашим же клиентам;
  • организовать с сервера атаку на сторонние ресурсы;
  • разместить своё ПО, например, для майнинга, и др.

Как итог, могут пострадать не только ваш бизнес (заражённые сайты блокируются поисковыми системами) и хостинг-провайдер (IP-адрес скомпрометированного сайта может быть заблокирован, например, РКН), но и просто посетители вашего сайта. Если вы уже столкнулись с этим — нужны срочные меры.

Но перед тем, как приступить к проверке, убедитесь, что у вас есть резервные копии. Часто для решения проблемы с заражением достаточно просто развернуть бэкап с попутной сменой паролей и обновлением всего и вся. Главный плюс — скорость. Главный минус — это не устранит уязвимость, через которую сайт или сервер были заражены изначально — потребуется профилактика.

Лечение вирусов на сайте: чек-лист

Существует множество инструментов для проверки сайтов на наличие вредоносного кода. Большинство из них предназначены только для формирования отчётов со списком файлов сайта или блоков кода, которые опознаны как вирусные или подозрительные (онлайн-сканеры, встраиваемые скрипты). А некоторые могут сразу и найти, и вылечить заражённые файлы (антивирусы для сайтов).

Каждый отчёт, полученный в результате проверки сайта, нужно сохранить — он потребуется при лечении. А теперь к инструментам, которые помогут в проверке:

Как проверить сайт на вирусы

На самом деле заражение происходит не через грязные руки ( хотя мыть их надо ). Все происходит немного сложнее. Вот несколько путей, как можно заразить сайт вирусом:

  • Взлом административной части – « замок входной двери » был взломан или умело подобран ключ. Это значит, что логин и пароль для авторизации в админке был настолько прост, что его смогли подобрать с помощью специальных программ-взломщиков. Теперь нужно думать, как вылечить сайт от вирусов.

  • Данные для аутентификации были похищены с локальной машины – с домашнего ПК владельца сайта были похищены логин и пароль. Скорее всего, на этом компьютере не было установлено антивирусное программное обеспечение. В таком случае нужна не только проверка сайта на вирусы, но и « дезинфекция » компьютера его владельца;
  • Вирус распространился с зараженного компьютера – вирусная программа перекочевала на сайт с инфицированного локального компьютера;
  • Аутентификационные данные были перехвачены через открытую беспроводную сеть ( кафе, вокзал );
  • Повышенная уязвимость CMS ( системы управления контентом ), на которой развернут портал – этим страдают самые популярные движки. Чем больше популярна и растиражирована CMS, тем ее уязвимость выше и тем больше времени займет удаление вирусов с сайта.

Для латания « дыр » в системе безопасности и защиты сайта от вирусов производители движков периодически выпускают пакеты обновлений и новые версии своего продукта.

Но этим дело не ограничивается. Ведь пользователи, заходящие на зараженный сайт, в большинстве случаев также инфицируют свои компьютеры.

Передача вируса на компьютер пользователя происходит через кэш. В нем браузер временно сохраняет наиболее « тяжелые » элементы веб-страницы, чтобы ускорить время загрузки при следующем сеансе.

Если сайт становится источником вирусного заражения, то это равносильно впадению портала в « кому ». Постоянные посетители открестятся от ресурса навсегда, или, по крайней мере, надолго. А поток новых пользователей просто иссякнет. Значит, пришло время провести лечение сайта от вирусов.

Диагностика сайта на наличие вирусов

Перед началом лечения следует провести тщательную диагностику ресурса на наличие « инфекции ». Если объем файлов не сильно большой, то поиск вирусов на сайте можно осуществить самостоятельно. Для этого нужно внимательно просмотреть его код.

Чаще всего заражение сайта происходит тремя видами вирусов:

  • В виде кода JavaScript , подключающего удаленный файл с вирусным скриптом.
  • Фрейма ( ), содержащего в себе ссылку на инфицированный ресурс.
  • Баннерной кнопки, объединяющей в себе оба предыдущих вида:

Если объем портала большой, и просмотреть его визуально невозможно, то лучше применить другой подход. Для таких ресурсов нужно использовать специальные веб-сервисы, которые легко найти через поисковую систему. Они позволяют произвести онлайн проверку сайта на вирусы. Их интерфейс обладает схожим функционалом:

Диагностику ресурса также можно произвести с помощью функционала, предоставляемого владельцам сайтов и вебмастерам несколькими популярными поисковиками.

Чтобы проверить сайт на вирусы Яндексом, сначала нужно зарегистрироваться . Затем на странице « Мои сайты » добавить адрес ресурса и подтвердить права на него. Антивирусная проверка начнется только на третьем шаге:

Лечение сайта от вирусов

К сожалению, проверка сайта на вирусы Яндексом не включает в себя его лечение и восстановление. Она позволяет лишь выявить зараженные файлы и вирусный код в них.

Читать еще:  Пять способов узнать, что меня взломали

Самостоятельный анализ и удаление вирусов со страниц сайта возможно лишь при условии наличия хотя бы минимальных знаний основ html и JavaScript . Иначе такая чистка сайтов от вирусов может привести к плачевным последствиям.

Так что перед тем, как удалить вирус с сайта самостоятельно, убедитесь, что это не программный код самого портала. Если же вы не уверены в своих силах, то лечение и восстановление сайта лучше доверить профессионалам.

Как защитить сайт от вирусов

Вот несколько основных принципов, которые подскажут, как защитить сайт от вирусов:

  • Для авторизации на сайте не используйте слишком простых паролей и логинов;
  • Установите на своем компьютере надежный антивирус;
  • Не забывайте ежедневно обновлять антивирусные базы;
  • Своевременно обновляйте программное обеспечение сайта до актуальной версии – чем новее версия движка, тем выше уровень его безопасности;
  • При авторизации на сайте не стоит вводить логин и пароль с клавиатуры – их можно легко считать с помощью специальных программ-шпионов. Лучше всего вставлять данные простым копированием из текстового файла;
  • При выборе хостинга для сайта убедитесь, что хостер обеспечивает резервное копирование. Это позволит восстановить работу ресурса путем отката его состояния на более ранний срок, предшествующий дате заражения;
  • Если у хостинг-провайдера реализована такая возможность, то следует отключать доступ к FTP, когда он не нужен. Большая часть вирусов на сайт попадает через этот протокол.

Вирусы на сайте обходятся дорого

Восстановление работоспособности сайта после инфицирования может обойтись очень дорого. И все потому, что ранее владелец не вложил достаточно сил и средств в обеспечение безопасности. Так что на безопасности сайта экономить нельзя.

Что делать, если сайт заражен вирусом и откуда они берутся?

Чем отличаются вирусы на сайтах и на компьютерах

Вирусы на сайте и вирусы на домашнем или рабочем компьютере это не одно и то же.

Код сайта состоит из обычных текстовых файлов. Вирусы на сайте это такой же программный код. Причем визуально он может не отличаться от остального кода сайта.

Как вирусы на сайте могут навредить

Сайты с вирусами понижаются в рейтинге поисковых систем. Как следствие трафик на такие сайты падает. А если попасть в базу зараженных сайтов, то в браузере у посетителей будет отображаться предупреждение о зараженном сайте.

Как появляются вирусы на сайте

1. Взлом сайта через уязвимости

В WordPress, Joomla, Drupal и других системах управления содержимым сайта (CMS) периодически находят уязвимости. Чем более популярна CMS, тем выгоднее злоумышленникам найти в ней уязвимость, ведь это открывает доступ сразу к десяткам тысяч сайтов.

Стоит регулярно обновлять CMS до последней версии.

2. Подбор пароля от панели управления сайтом

Проверьте, что для административной части вашего сайта установлен надежный пароль.

3. Перехват доступов от FTP

При подключении по FTP логин и пароль передаются в открытом виде, и их могут перехватить злоумышленники. Рекомендуем подключаться по SFTP.

4. Заражение от другого сайта

Если на одной учетной записи размещаются несколько сайтов, то один зараженный сайт может заразить другие.

Мы предусмотрели защиту от этого на всех тарифах Хостинга — каждый сайт там изолирован. Даже если злоумышленники загрузят вирус на какой-либо из ваших сайтов, то другие сайты не пострадают. Более того — злоумышленники даже не смогут узнать об существовании других сайтов.

Как вручную найти вирус

Можно последовательно открывать файлы сайта и обращать внимание на каждый фрагмент кода, назначение которого вызывает вопросы. Два примера вредоносного кода, который внедрялся на сайт на CMS OpenCart:

Либо код может выглядеть нечитаемым. Это обычная техника для вредоносных программ. Вот пример кода, зашифрованного в base64:

Расшифровать base64 можно, например, на сайте base64.ru.

Очистка зараженного сайта вручную это кропотливая работа, проще будет воспользоваться готовыми антивирусами.

Как автоматически найти и вылечить вирус

На всех тарифах Хостинга возможно запустить проверку на вирусы.

Проверка выполняется антивирусом AI-Bolit от компании Revisium. Это один из самых популярных антивирусов для сайтов в Рунете.

Кроме проверки автоматика попробует провести еще и лечение.

2. Кликните по нужному сайту

3. Кликните «Проверить на вирусы»

4. Отчет придет на вашу электронную почту.

Лечение сайта лишь устранит последствия взлома, но не его причины, и вполне вероятно, что через небольшой промежуток времени сайт вновь подвергнется взлому.

Необходимо выяснить, каким образом было выполнено заражение, и закрыть все найденные уязвимости на сайте. Для этого лучше связаться с разработчиками вашего сайта.

Кроме этого мы рекомендуем:

  • изменить реквизиты подключения FTP в панели управления хостингом, в настройках сайта на вкладке «Файлы»
  • обновить используемую систему управления сайтом (CMS) и все ее плагины-расширения.

Онлайн-сканеры для проверки сайтов на вирусы и взлом

i2p — простой бесплатный русскоязычный сервис для быстрой проверки веб-ресурсов — целиком или отдельных страниц, на вредоносное содержимое. Анализ занимает несколько секунд, но результат, увы, не всегда оказывается достоверным. «Подозрения на вирус», как в примере ниже, могут быть вполне безобидны. Просто они требуют более пристального внимания.

Virustotal

Virustotal — один из самых известных и популярных антивирусных сканеров онлайн. Проверяет интернет-ресурсы (а также любые файлы) движками 65 антивирусов, включая Касперского, Dr.Web, ESET, Avast, BitDefender, Avira и т. д. Отображает репутацию проверенного сайта по данным голосования сообщества Virustotal. Интерфейс сервиса только на английском языке.

Чтобы провести проверку веб-ресурса на Вирустотал, откройте на главной странице вкладку URL, вставьте ссылку в поле «Search or scan URL» и нажмите на иконку лупы.

Antivirus-alarm

Сервис Antivirus-alarm не просто сообщает о чистоте или заражении веб-сайта, а выводит список проверенных файлов с пометками о том, что вызвало подозрение. Анализ основывается на собственных и мировых антивирусных базах.

Читать еще:  Плохо работает wi-fi: удаляем побитые сетевые устройств?

Другие разделы сервиса наполнены статьями о диагностике, самостоятельном ручном удалении вирусов, защите от заражения, резервном копировании и прочими материалами о безопасности Интернет-ресуров.

Dr.Web

Лаборатория Dr Web анализирует состояние веб-сайтов, используя только собственные базы и алгоритмы.

По результатам сканирования формируется отчет:

  • Обнаружено ли на объекте зловредное ПО.
  • Находится ли он в чьих-нибудь базах вредоносных объектов.
  • Перенаправляет ли он посетителей на другие ресурсы.

Ниже отображаются результаты проверки файлов и дополнительные сведения о подозрительных фактах.

Неприглядный на вид веб-сервис Xseo на самом деле информативнее и функциональнее многих. Он проверяет сайты на наличие шести с лишним миллионов известных вирусов, на предмет фишинга, а также выводит оценку их безопасности по версиям MyWOT, Яндекс и Google. Кроме того, Xseo содержит массу других полезных и бесплатных SEO-инструментов. Доступ к некоторым из них требует регистрации.

Sucuri

Sucuri — еще один бесплатный сервис проверки безопасности интернет-ресурсов. Способен выявлять признаки заражения известным вредоносным ПО, находить на сайтах ошибки, «пробивать» их по базам черных списков и определять актуальность версии CMS. Интерфейс сервиса на английском, испанском и португальском языках.

ReScan.pro

ReScan.pro — инструмент комплексной проверки интернет-ресурсов на заражение и взлом. Выявляет следующие виды угроз:

  • Зашифрованные скрипты.
  • Скрытые редиректы.
  • Шпионские закладки, вставки и виджеты с подозрительных сайтов.
  • Атаки Drive-by (загрузка вредоносной программы без ведома пользователя).
  • Спамные ссылки и контент.
  • Ошибки и признаки дефейса.
  • Внесение в блэклисты поисковиков и антивирусов.

После бесплатного сканирования «не отходя от кассы» предлагает заказать услуги лечения вирусов и защиты сайта у своих специалистов. Уже платно.

Kaspersky Virusdesk

Kaspersky Virusdesk проверяет репутацию ссылок — значится ли ресурс в списке зараженных или фишинговых по базам Kaspersky Security Network.

Quttera

Сканер Quttera ищет вредоносное ПО как по базам, так и на основе эвристического анализа, благодаря чему иногда обнаруживает угрозы, о которых еще не знают антивирусы. Помимо сканирования, сервис предлагает платные услуги очистки сайтов от вирусов и последующую профилактику заражения.

Интерфейс Quttera на английском языке.

Secbot

Русскоязычный сервис Secbot проверяет сайты при помощи 20 различных антивирусов. В дополнение к этому предлагает платные услуги очистки от найденных зловредов и установки постоянных средств защиты.

Почему сайт нужно лечить от вирусов

  • Вредоносная программа мешает нормальной работе веб-ресурса.
  • ПК всех пользователей, которые заходят на сайт, автоматически заражаются.
  • Хостинговая компания забанит IP адрес вашего зараженного сайта, если с него будет рассылаться спам.
  • ПС заблокируют зараженный веб-ресурс.

Последний пункт рассмотрим подробнее. Поисковые системы предоставят вашему веб-ресурсу пару дней, для того чтобы вылечить сайт. Если спустя это время он не прошел очистку, пользователи увидят сообщение о том, что страница, на которую они хотят попасть, заражена.

Внимание! Категорически не рекомендуется самостоятельное удаление вредоносного кода с сайта , поскольку неопытный пользователь может по ошибке убрать исполнительный код. Он отвечает за информацию о ресурсе на сервере. Данные после такого удаления невозможно восстановить.

Как происходит заражение веб-сайта?

Самый простой способ — взлом пароля путем перебора или словарной атаки. Эта тактика занимает много времени и является неэффективной, поэтому при массовых заражениях она употребляется крайне редко. Гораздо чаще используются уязвимости системы управления контентом или специальное программное обеспечение для похищения паролей.

Большинство современных CMS-платформ далеко от совершенства, в них содержится множество уязвимостей, благодаря которым сторонние лица могут загружать любую информацию. Разработчики регулярно тестируют собственные продукты на наличие неполадок, но выход обновлений с обнаруженными и исправленными ошибками обычно происходит далеко не сразу, а многие люди пользуются еще более старыми версиями, в которых может быть множество багов. Неудивительно, что уязвимости часто встречаются в распространенных платформах WordPress, Joomla и подобных им.

Квалифицированные киберпреступники предоставляют вебмастерам возможность самостоятельно заразить свой сайт. Такое событие возможно, когда злоумышленники выкладывают в общий доступ полезные CMS-модули с вредоносной начинкой, которые вебмастер скачивает и добавляет на сайт, тем самым инфицируя его.

В некоторых случаях злоумышленники пользовались другим методом. Сначала распространялось программное обеспечение, предназначенное для поиска и несанкционированного копирования данных FTP-аккаунтов посредством внесения изменений в клиентские службы или путем сканирования сетевого трафика. Затем приложения соединялись с командным сервером и загружали заранее подготовленные скрипты или измененные версии оригинального контента. Это приводило к повторному заражению однажды инфицированного компьютера даже после изменения регистрационной информации, отката к предыдущему состоянию или восстановления из заранее созданной резервной копии.

Подводя итог вышесказанному, можно прийти к выводу, что заражение может быть произведено одним из следующих способов:

  • Вредоносный код преднамеренно был размещен владельцем для получения незаконной прибыли или иных целей.
  • Сайт был взломан, и фрагмент с потенциально опасным содержимым был размещен на нем посторонними хакерами; сегодня это — один из самых распространенных вариантов.
  • Нежелательный объект содержится не на самом сайте, а в коде внешнего контента, размещенного на странице. В этом случае атака идет не напрямую, а через баннерную сеть, виджеты или другие подобные компоненты; инфекция распространяется через все сайты, чьи страницы содержат ссылку на зараженный объект.

Решение компании ISPsystem для автоматической проверки и удаления угроз на серверах и сайтах. Включены email оповещения, проверка чёрных списков и запуск по расписанию.

Серверный stand-alone антивирус Virusdie.Server для интеграции в архитектуру Shared-хостинга и разработки программных продуктов для безопасности сайтов и серверов.

Закалка MODX или как защитить сайт от вирусов?

Зачастую, вирусные алгоритмы работают по заезженному принципу. Они пробуют определить движок сайта с помощью прямых или косвенных параметров. Потом, используя свои шаблоны, пытаются взломать сайт. Прямые — это когда движок сайта явно указан в коде сайта:

meta name=»generator» content=»Joomla! 1.5 — Open Source Content Management»

или отправляется в заголовке.

Читать еще:  Pcanywhere описание. Ведение журналов, подготовка отчетов и отправка уведомлений

Косвенные параметрами являются используемые на сайте директории, папки, плагины и прочее. Чтобы обеспечить максимальную безопасность в системе управления MODX, рекомендуется выполнить несколько настроек. Следующие инструкции направлены на защиту от определения CMS сайта.

  1. Первое, что приходит на ум — обновить Модикс, его компоненты (особенно галерею) и использовать максимально высокую версию PHP. Тут думаю все понятно. В новых обновлениях латают дыры прошлых версий (и добавляют новые, но это не точно).
  2. Изменить префикс для базы данных. Префикс генерируется случайным образом из букв и цифр. Например: YTr21x024_. Это мало мальски может помочь при sql-инъекциях. Изменив префикс, сделать запрос к вашей БД для «темных целей» станет сделать сложнее.
  3. Если используется веб-сервер apache:
      Для пущей надежности хорошо прописать в .htaccess пару строк, чтобы скрыть файл конфигурации config.core.php:

    Если на сервере сайта произойдет сбой, а php-файлы перестанут исполняться (будет отображаться их исходный код), то злоумышленнику будет несложно получить доступ к базе данных. Во избежании этого надо добавить в .htaccess файл следующую строку, чтобы не показывать код ошибки PHP:

  • Не забываем чистить кеш в папке /core/cache/.
  • Найти и удалить зловредов

    Когда в заражении нет сомнений, вредоносный код надо найти и удалить. Основная проблема — найти. Я просматриваю файлы сайта вручную, а также использую консоль.

    Проанализировать HTML и JS-скрипты

    Вредоносные скрипты часто добавляют в исходный код сайта (в браузере нажите Сtrl+U). Проверьте его на наличие посторонних JS-скриптов, iframe-вставок и спам-ссылок. Если найдёте — удалите.

    Проверьте все JS-скрипты, которые подключаются во время загрузки страницы, нет ли в них посторонних вставок. Обычно их прописывают в начале и в конце JS-скрипта.

    Все посторонние вставки удалите.

    Бывает, что разобраться в коде сложно или он обфусцирован. Тогда сравните содержимое скрипта на сайте с оригинальным файлом из архива системы управления, плагина или шаблона.

    Действительно, не всегда вредоносный скрипт — это отдельно подключенный файл, часто модифицируют один из существующих файлов. Если код обфусцирован, понять его не удастся. В таком случае стоит выяснить, в каком файле он находится.

    Если это часть CMS, то надо проверить оригинальное содержимое такого файла, выгрузив архив с CMS такой же версии и сравнив содержимое этого файла.

    Если файл самописный, т. е. не относится к компоненту CMS, то лучше обратиться к разработчику. Скорее всего он знает, что писал он, а что мог добавить зловред. В таком случае оригинальное содержимое можно заменить из бекапа.

    Ростислав Воробьёв, сотрудник техподдержки ISPsystem

    Проверить дату изменения файлов и папок

    Если известно, когда взломали сайт, то вредоносный код можно найти по всем файлам, что были изменены с тех пор.

    Например, взлом произошел несколько дней назад, тогда для вывода всех PHP-скриптов, которые были изменены за последние 7 дней, нужно использовать команду: find . –name ‘*.ph*’ –mtime -7

    После выполнения команды нужно проанализировать найденные PHP-скрипты на возможные вредоносные вставки.

    Это действительно помогает уменьшить список подозреваемых PHP-файлов, которые могут содержать зловредов. Однако не всегда зловреды в PHP-файлах. Немного модифицировав .htaccess файл, можно создать файл с разрешением .jpg, в нём разместить PHP-код и веб-сервер будет исполнять его как обычный PHP, но с виду это будет картинка — пример реализации.

    Ростислав Воробьёв

    Проанализировать директории upload/backup/log/image/tmp

    Директории upload/backup/log/image/tmp потенциально опасны, так как обычно они открыты на запись. В большинстве случаев именно в них заливают shell-скрипты, через которые потом заражают файлы сайта и базу данных. Такие директории нужно проверять на возможные вредоносные PHP-скрипты.

    Например, каталог upload можно проверить командой: find /upload/ -type f -name ‘*.ph*’

    Она покажет все PHP-файлы в каталоге upload.

    После анализа заражённые файлы можно удалить вручную или командой: find /upload/ -name ‘*.php*’ -exec rm ‘<>‘ ;

    Найти файлы и папки с нестандартными именами

    Откройте каталог сайта. Найдите файлы и папки с нестандартными именами и подозрительным содержимым, удалите их.

    Тут нужно понимать, что значит нестандартные имена. Если вы уверены, что директория или файл были созданы не вами, а название уж очень не похоже на то, что могла сделать CMS или плагин, то можно удалить. Но лучше сделать копию файлов, удалить, проверить, что на сайте ничего не сломалось. Стоит проверить бекапы за пару дней до заражения, если это зловред, то в вашем бэкапе таких файлов или директорий не будет.

    Ростислав Воробьёв

    Найти много PHP или HTML-файлов в одной директории

    Все папки на хостинге нужно проверить на множественные php и html файлы в одной директории, сделать это можно командой:

    find ./ -mindepth 2 -type f -name ‘*.php’ | cut -d/ -f2 | sort | uniq -c | sort –nr

    После выполнения команды на экране отобразится список каталогов и количество PHP-файлов в каждом из них. Если в каком-то каталоге будет подозрительно много файлов, проверьте их.

    Найти вирусные скрипты по содержимому

    Быстро проверить сайт на вирусные скрипты можно командой:

    find ./ -type f -name «*.php» -exec grep -i -H «wso shell|Backdoor|Shell|base64_decode|str_rot13|gzuncompress|gzinflate|strrev|killall|navigator.userAgent.match|mysql_safe|UdpFlood|40,101,115,110,98,114,105,110|msg=@gzinflate|sql2_safe|NlOThmMjgyODM0NjkyODdiYT|6POkiojiO7iY3ns1rn8|var vst = String.fromCharCode|c999sh|request12.php|auth_pass|shell_exec|FilesMan|passthru|system|passwd|mkdir|chmod|mkdir|md5=|e2aa4e|file_get_contents|eval|stripslashes|fsockopen|pfsockopen|base64_files» <> ;

    Либо можно использовать grep без find.

    grep -R -i -H -E «wso shell|Backdoor|Shell|base64_decode|str_rot13|gzuncompress|gzinflate|strrev|killall|navigator.userAgent.match|mysql_safe|UdpFlood|40,101,115,110,98,114,105,110|msg=@gzinflate|sql2_safe|NlOThmMjgyODM0NjkyODdiYT|6POkiojiO7iY3ns1rn8|var vst = String.fromCharCode|c999sh|request12.php|auth_pass|shell_exec|FilesMan|passthru|system|passwd|mkdir|chmod|md5=|e2aa4e|file_get_contents|eval|stripslashes|fsockopen|pfsockopen|base64_files» ./

    Эти команды выполнят поиск вредоносного кода в файлах текущего каталога. Они ищут файлы рекурсивно, от того каталога, в котором запущены.

    Совпадений будет много, большинство найденных файлов не будут зловредами, так как модули CMS тоже используют эти функции.

    В любом случае, проанализируйте найденные PHP-скрипты на возможные вредоносные вставки. Перед удалением файла обязательно посмотрите его содержимое.

    Проверить базу данных

    Часто во время взлома и заражения сайта вредоносный код добавляют в базу данных. Для быстрой проверки базы данных на вирусы нужно зайти в phpmyadmin и через поиск ввести по очереди запросы

    Ссылка на основную публикацию
    Статьи c упоминанием слов:
    Adblock
    detector