Вирус JS/Agent. NEK на сайте или как удалить троян

Вирус JS/Agent. NEK на сайте или как удалить троян

При работе с информацией нужно делать копии и своевременно делать резервные копии — бэкапы. Мало ли что с ней может случиться: случайно удалите документ; случайно внесете ненужные строчки, которые затем будет сложно отыскать; вирус подкорректирует или вовсе удалит данные с диска. Я никогда не делал копии, да и безопасностью постоянно пренебрегал — максимум ставил антивирус на домашний ПК, ничего более. И вот, буквально на днях, почувствовал что может из этого выйти. А вышло так: все мои сайты (на данный момент их 5) были заражены трояном Agent. NEK, внедряющим свой код в JS файлы на хостинге. Скорее всего вирус проник на хостинг через Total Commander и получил доступ к сайтам по FTP — все пароли были сохранены в программе. Расскажу Вам как я боролся с заразой.

Первым делом обновил базы антивируса (у меня стоит NOD 32, неплохой вариант для защиты ПК дома, если его правильно настроить) и проверил компьютер на вирусы — не хотелось чтобы инцидент повторился. Конечно, были найдены подозрительные файлы, с которыми сам NOD 32 и расправился. Затем удалил из Total Commander пароль от хостинга, и двинулся в сторону Jino. ru (мой хостинг-провайдер) — нужно закрыть доступ по FTP, тогда канал проникновения будет недоступен, тем более я очень редко подключаюсь по FTP. Делается это очень просто, достаточно перетащить ползунок в состояние «Доступ запрещен» (в панели управления):

Итак, компьютер теперь чистый ; щель, по которой вирус проник на него — ликвидирована. Теперь удаляю последствия работы трояна. Первым встает вопрос — как удалить вирус с сайта? Так как поражаются JS-скрипты, нужно отыскать в них посторонний код: обычно он выбивается из общего строения документа (например, содержит множество бессмысленных символов) и виден сразу. В моем случае во всех зараженных файлах находился такой код (цифры и символы были разные, но структура кода оставалась постоянной) в каждом файле в самом низу документа:

Ничего не оставалось кроме как чистить скрипты вручную. Заняла данная операция ужасно много времени, зато все 5 сайтов были полностью очищены от заразы. Видел на форумах различные скрипты, удаляющие ненужные строки самостоятельно, но не решился попробовать — вдруг что-то пойдет не так, придется вылазить из еще более глубокой ямы.

Но на этом приключения не закончились: в панели Яндекс. Вебмастер напротив данного блога красовался знак заражения — Яндекс увидел на сайте код, и теперь отнес его в категорию потенциально опасных ресурсов. Да, код был, но ведь я удалил его очень оперативно. Отправил сайт на пересмотр, не помогло. Лишь на третий раз упертая поисковая система поняла, что кода давным-давно нет.

Данный случай заставил меня задуматься о безопасности сайтов и своих документов в целом. На первый раз мне повезло, троян напортачил не сильно, удалось справиться и за один день, тем более без каких-либо потерь. Но если бы попалась тварь серьезнее, возможно всех моих проектов уже бы не существовало. Знаете, даже полезно было получить такой урок — теперь буду аккуратнее относиться к защите сайтов и информации.


Карта сайта


Информационный сайт Webavtocat.ru