Как проверить сайт на вирусы, 100% методы

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов России по профессиональным навыкам траблшутинга. В прошлый раз мы с вами научились использовать все преимущества утилиты командной строки Robocopy и научились делать разные синхронизации в нашем Active Directory. В сегодняшней статье мы с вами разберем ситуацию, когда мне от Яндекса пришло уведомление, что с моего сайта якобы идет обман пользователей мобильного интернета, поэтому мы рассмотрим как проверить сайт на вирусы, 100% методы и проверить, ошибается ли Яндекс, или все же была дыра в безопасности.

Фильтр Яндекса "Обман пользователей мобильного интернета"

2021 год начался с сюрпризов, захожу я в кабинет https://webmaster.yandex.ru/sites/ и вижу, что на сайте висит красное предупреждение, обычно это сигнал, что есть фатальная ошибка, что не есть хорошо.

В проблемах сайта, висит фатальная ошибка.

В подробностях вы видите:

Переходим по ссылке "Подробнее", чтобы получить детали.

В итоге видим "Обман пользователей мобильного интернета", советую сразу нажать кнопку исправить, чтобы не терять время. Далее нужно вступать в переписку с техподдержкой Яндекса, и уточнять у платона, ложное это срабатывание или нет. Для этого перейдите по ссылке "Подробнее о нарушении".

Заполняем форму обращения, в качестве текста я написал вот так:

С большой вероятностью вы получите шаблонный ответ, по типу:

И вот тут начинается целая эпопея.

Я пообщался еще немного с платонами, сказали, ждите когда наша система сама все перепроверит и если все хорошо, так уж и быть снимет с вас фильтр. Так как мой сайт еще не находится на https, то я конечно поинтересовался, поможет ли это быстрее решить вопрос, я тонко намекал на инъекции в трафик со стороны интернет провайдеров, и платоны мне намекнули, что да это так, то есть они в курсе всего этого, но крайний всегда вебмастер. Вот официальный ответ:

Так, что имейте это ввиду, я сам тут тянул и позволял негодяям провайдерам это делать.

Причины фильтра "Обман пользователей мобильного интернета"

Перечислю основные причины данного фильтра:

• Ложное срабатывание системы в Яндекс, даже с учетом того, что они вам напишут, что оно не ложное, вы легко можете найти кучу примеров по ссылкам, что я приведу ниже, где это был косяк Яндекса
• Самая большая вероятность, что это делает мобильные операторы или интернет провайдеры, которые и вставляют данный мошеннический трафик пользователю, а страдают от этого сайты, по версии Яндекса, вот несколько подобных примеров (ворота с GSM реле подписались на платные подписки МТС - https://pikabu.ru/story/kak_vorota_podpisalis_na_platnyie_servisyi_mts_5921880?cid=113723480, на компьютере человека вылез баннер, тут спалился уже Мегафон - https://habr.com/ru/post/448530/, огромная ветка по фильтру "Обман пользователей мобильного интернета" - https://searchengines.guru/ru/forum/1029214). Лично у себя в Яндекс метрике я каждый день видел до перехода на https вот такие переходы в отчетах по внешним ссылкам, на которые вел мой ресурс. Ссылки вида https://t.mail.ru/redir подсовывал в незащищенный трафик http, какой-то оператор сотовой связи и это факт.

Чаще всего эти редиректы вели, как на левые и сомнительные сайты по типу опросников.

Так и вполне нормальные, как Bluestacks

Ну и куда же без кредита от Тинькофф

• Не нужно исключать, что ваш сайт подломали, нужно обязательно, произвести проверку сайта на вирусы. Я покажу вам разные методы.
• Мало вероятно, но может быть проблема из-за плохой рекламы Google Adsense, хотя сами представители Яндекса точно уверяют, что за это точно невозможно словить фильтр "Обман пользователей мобильного интернета".

На всякий случай, я в очередной раз проверил центр рекламных объявлений Google Adsense и по отключал там явно похожие на платные подписки.

Приведу примеры ссылок на такие сайты, сможете у себя их так же забанить, но они растут как грибы:

• promo.vipvidyo.com/redirect/new2steps
• est.bidiotv.com/WUI5Tw
• promo.vodonline4u.pl/pvod4upl/lp_fkstream/?enrichment_count=2&error_code=80&error_desc=Enrichment+failed
• are.mobidatr.com/OUNCYw

Хотя бы раз в недельку заглядывайте в центр объявлений и баньте там откровенный шлак, и очень будет круто, если вы еще и будите в момент блокировки жаловаться на данное объявление, это нужно, чтобы на него обратили внимание модераторы.

Проверка сайта на вирусы онлайн

В начале я бы хотел осветить сервисы онлайн-проверки сайтов на вирусы, потому что это проще и позволяет сразу оценить масштаб проблемы, понять числитесь ли вы уже в каких-нибудь антивирусных базах из которых уж поверьте моему опыту вам придется сложновато исключаться. Преимущество, что вы просто вставляете ссылку на ваш сайт или подгружаете файл, и вам сразу дается результат.

Еще есть несколько нюансов:

1. Когда вы например проверяете адрес главной страницы, и вам показывается чистый результат проверки, это вовсе не говорит, что нет вирусов на других страницах сайта
2. Предположим, что вы другим антивирусом выяснили, что есть проблемы в каком-то php или другом конфигурационном файле, вы его выгрузили, загрузили на сервис онлайн проверки сайта на вирусы, а тот показал, что он чистый, то это не говорит, что нет проблем с безопасностью через данный файл, например он может использоваться как бэкдор, при определенных раскладах, например при устаревшей версии php.
3. В третьи и САМОЕ ГЛАВНОЕ, если сервисы по проверки сайта на наличие вирусов не нашли ничего, а Яндекс все продолжает настаивать на том, что сайт заражен, то это значит, что просто АНТИВИРУСЫ НИЧЕГО НЕ НАШЛИ и нужно искать другими методами.

Сервис VirusTotal

VirusTotal - это комбайн и самый популярный сервис проверки файлов и сайтов на вирусы. Комбайном я я его называю, потому, что данный ресурс объединяет в себя десятки проверок с различных популярных антивирусных решений, например Касперского, BitDefender, Dr.Web, ESET и многое другое.

VirusTotal предлагает вам три варианта поиска вирусов:

• File- данный вариант подойдет если у вас есть файлы которые вы хотели бы проверить на вирусы, это могут быть архивы, скрипты, php-файлы, java и все что угодно. Все, что вам нужно, это выбрать ваш файл через кнопку "Choose file"

В результате будет выполнено 57 проверок файла на наличие в нем вредоносного кода или вируса. В моем примере файл Admin.php был чистым, хотя другой антивирус на него ругался, но обо всем по порядку.

• URL - тут вы можете легко выполнить проверку сайта на вирусы, подчеркиваю только не всего а отдельного адреса, учитывайте это.

В результате проверка сайта на вирусы показала, что есть вредонос Malicious, к сожалению VirusTotal точно не говорит, что именно заражено, но вы можете понять что за сервис проверки сайта на заражение нашел его, скопировать его название и найти его в поисковой выдаче, например в моем примере их было два Quttera и CRDF.

Онлайн проверка через сервис Siteguarding

Проверку на вирусы онлайн можно произвести и через похожий на VirusTotal сервис, я говорю про https://www.siteguarding.com/. Данный инструментарий крупнее российского аналога и там проверка сайта идет уже по сотне базам и черным спискам. Вбиваем ваш адрес сайта и нажимаем кнопку "Scan Website"

Сканирование длится пару минут, в результате которого будут загружены с сайта сотни файлов и проверено много страниц по определенному алгоритму. Вот так выглядит отчет. Первое на что следует обратить внимание, это предупреждения безопасности относительно устаревших или дырявых версий движка, PHP и веб сервиса. Например в моем отчете сервис siteguarding ругается на наличие PHP 7.3.2, которая уже устарела и нужно переходить на версию PHP 7.4.

Далее посмотрите, что отчет говорит про вашу CMS, в моем примере это WordPress версии 5.4, но установлена 5.5, это почти самая свежая версия на текущий момент, тут все в порядке.

Вам покажут какие скрипты были проверены на вирусы в момент сканирования и внутренние страницы сайта.

Ниже будет огромный отчет по нахождению вашего сайта в базах черного списка и вирусов, а так же будет проверка по антивирусным базам вашего ресурса.

Чуть ниже вы получите отчет по внешним ссылкам, которые присутствуют на вашем ресурсе, обратите на них внимание, там могут быть ссылки и на вредоносные сайты.

Онлайн проверка URL Quttera

Quttera -  Это бесплатный онлайн сканер сайтов на наличие вирусов и Malware. Все, что вам нужно это вставить в поисковую форму адрес вашего сайта и нажать поиск.

Сам процесс займет около минуты, за это время сервис Quttera загрузит сотенку файлов и просканирет их.

После окончания сканирования, вы увидите нашлось что-то или нет, в моем примере нашлось. Переходим в детализацию, для этого нажмите "Detailed report".

Переходим в раздел "Scanned files analysis" и видим ссылку "Threat dump", нажмите "View code", чтобы посмотреть вредоносный код. Очень прискорбно, что в бесплатной онлайн версии вам не покажут название файла в котором нашелся данный код, но это логично, сервис хочет, чтобы вы заказали у него полную проверку сайта на вирусы, уж они вам все вылечат.

Я посмотрел код и сразу его узнал, это были коды статистики для mail.ru и Rambler, я их ставил еще в 2015 году, для получения обратных ссылок на свой новый ресурс, сейчас они мне уже были не нужны и я давно искал повод убрать данный код, да и увеличить скорость открытия сайта, как говорится звезды сошлись.

Вам же если вы не можете понять, что за код следует сделать резервную копию вашего сайта в виде архива на хостинге, скачать его подключившись к ftp серверу, далее распаковать архив и через утилиты Notepad++ или Sublime Text 2 начать поиск данного кода в файлах. После всех манипуляций сервис Quttera показывал, что все чисто

Но данные например на VirusTotal показывали, что вирус все есть, я не поленился и написал в компанию Quttera, они ответили, что все в порядке с сайтом и отправят сейчас на VirusTotal.

Проверка сайта на вирусы в Sucuri

Sucuri - Это тоже очень полезный сервис, который по мимо проверки сайта на вирусы, покажет вам еще и фронт возможной атаки, а это очень важно, так как мало вылечить заразу, нужно еще и предотвратить ее повторное появление.

Вбиваете адрес вашего сайта и начинаете его диагностику. Вот результат по моему сайту /.  Первое, что нужно понять находитесь ли вы в черном списке уже или нет, я чист, далее вам укажут:

1. Какая у вас CMS, в моем случае это WordPress, который уже устарел и имеет версию 4.9.6, требуется обновление
2. Далее вам укажут, какие версии ставить уже поздно, это все что идет до версии 5.2.7, так как уже в версии 5.4 были заплатки безопасности
3. Вам покажут потенциальный риск, в моем случае это "High Security Risk", очень высокий, чего допускать не нужно.

Спускаемся дальше и смотрим отчет по вирусам "Website Malware & Security" и "Website Blacklist Status", тут мой ресурс так же оказался чистым с точки зрения Sucuri.

Как проверить сайт на вирусы с помощью Google

У Google так же есть небольшой сервис который может нам дать полезную информацию, если сайт заражен вирусом, хочу отметить, что Google сами ничего не лечат, а лишь ссылаются на известные антивирусные решения, можно ознакомиться вот тут - https://support.google.com/tagmanager/answer/6328489?hl=ru.

Гугл показал, что с его точки зрения все с сайтом хорошо, не то что Яндекс, но как я и писал, это не значит что у вас нет дыры в безопасности.

Проверка кода сайта на вирусы через Яндекс

У Яндекса так же есть не особо популярный сервис по проверке вашего сайта в его базе вредоносных, на него мало кто ссылается, и это обосновано, так как там кроме информации есть вирусы или нет, нет ничего. Перейдите по ссылке:

Вот так выглядит результат проверки, ничего сверхъестественного, по сути сервис мало полезен.

Как проверить сайт на вирусы с помощью cwatch от comodo

Есть великолепный, условно бесплатный сервис cwatch от comodo, это антивирус такой. Cwatch предлагает очень полезный инструментарий, чтобы найти и обезвредить вирус. И так давайте попробуем бесплатный онлайн сканер вирусов и вредоносного ПО.

Нажмите "FIX MY WEBSITE NOW", напоминаю, что это будет бесплатно.

Спускаемся чуть ниже и находим там "TRY 30 DAYS FREE" и щелкаем по ней.

Спускаемся к тарифным планам и находим в самом верху кнопку "FREE MALWARE REMOVAL".

Далее вам нужно пройти простую регистрацию и добавить в панели инструментов cwatch comodo нужный вам ресурс. Обратите внимание, что у вас тут будет несколько ключевых разделов:

• Сканирование вредоносного ПО
• Сканирование уязвимостей
• Проверка черного списка
• Брандмауэр веб-приложений
• Проверка сети и доставки контента
• Резервное копирование

Переходим в раздел сканировать. Нажмите "Начать сканировать". Ваше задание будет поставлено в очередь, через некоторое время вы увидите отчет в котором сможете посмотреть детальную информацию.

Очень полезная вещь, это "Сканирование уязвимостей",  тут вы так же получите отчет.

Как видите, у меня сервис ругался на старую версию WordPress, естественно я это знал и уже все обновил.

ПОлезно понимать, какие плагины у вас могут вызывать потенциальную опасность, хоть они и могут иметь последнюю официальную версию.

Для того, чтобы точно понять есть ли на вашем сайте зараженные файлы, нужно произвести сканирование изнутри, для этого есть раздел "Серверное сканирование". Нажмите "Включить сканер".

Производим более тонкие настройки:

• Укажите тип подключения к вашему серверу, тут либо через ftp, либо ручной вариант, когда вы копируете себе в корень сайта некий php скрипт, а потом к нему обращаетесь.
• Исключите нужные форматы файлов, например нет смысла искать вирус в png файле
• Задайте время запланированного сканирования сайта на вирусы
• Укажите действие по уведомлению

Если все нормально, то вам напишут, что удалось подключиться к серверу.

Запустите принудительное сканирование сайта.

Ваше задание будет поставлено в очередь.

Через некоторое время вы получите отчет, где сможете понять заражен ваш сайт вредоносным ПО или нет. У меня оказалось все чисто.

Как проверить код сайта на вирусы на хостинге

Можно проверить сайт на вирусы и на самом хостинге, не избегайте эту возможность, пока параллельно ищите своими силами. У меня хостинг McHost, где я просто создаю новый тикет, что прошу проверить мой сайт pyatilistnik.org на вирусы. У моего хостинга антивирусное решение от компании ClamAV.

Самое прекрасное, что на хостинге проверка делается по всем файлам на сайте, куда быстрее чем я делаю специальными плагинами, на 93000 файлов всего ушло минут 40. По окончании сканирования мне выслали вот такой отчет.

Вам нужно пройтись по каждой строке, например у меня есть неиспользуемый плагин php-compatibility-checker, он очень часто фигурирует тут, я его удалил сразу, так как он у меня отключен, я с его помощью проверял свой перевод сайта на php 7.3, он уже не актуален. Старайтесь удалять все плагины, что вы уже не используете. Далее ClamAV уведомил, что есть в названии файла ftp.exe и malware-scanner. В результате вы должны довести этот список до минимума. Что самое приятное, все бесплатно, но есть и отдельная услуга по очистке. Так что не забивайте на данный метод, вы от него только приобретете.

Когда может врать сервис по нахождению вируса?

Иногда проверка сайта на вирусы может переходить в острую фазу паранойи и человек уже начинает быть очень мнительным, это приводит к ошибкам, которые могут стоить вашего времени и нервов. Наткнулся я тут на забавный пост на одном сайте, где человек рекламировал сайт, который якобы проверяет код вашего сайта на наличие вирусов и выводит потом отчет, все замечательно, только есть опять же нюансы, у сайта нет https, сервис использует много непонятных, непопулярных антивирусных решений поддержка которых закончилась несколько лет назад и все в этом роде, ладно я посмеялся над этим и ушел, а ведь другой-то может поверить. Я говорю про сервис http://antivirus-alarm.ru/

Я запустил проверку, которая длилась около двух минут

В результате он мне нашел "Jiangmin TrojanDownloader.JS.aude" и "HTML/ScrInject.B", это обнаружили ESET-NOD32 и Jiangmin. Я проверил на самом сервисе ESET-NOD32 свой ресурс, ничего не нашел, проверил локально на компьютере, скачав их решение в пробном режиме на месяц. Тут ко мне закралось большое подозрение в достоверности сигнатур данного ресурса и вообще его назначении.

Почитав форум по теме HTML/ScrInject.B, я понял, что это давнишний  глюк срабатывания на код Рамблера, об этом писали сами представители ESET, видимо на ресурсе http://antivirus-alarm.ru/ сигнатуры давно не обновляются. Через пол часа я запросил новую проверку, и результат был уже просто ужасающим с точки зрения сервиса :).

Чем ресурс только не был заражен, для примера я взял и перешел на онлайн сервис проверки сайта у Dr. Web, который в это же время показал, что мой сайт абсолютно чист и не содержит вредоносного кода, редиректов и различного ПО.

Поэтому будьте бдительны, весь сайт http://antivirus-alarm.ru/ создан для того, чтобы развести вас на деньги, чтобы вы запросили очистку сайта у них, всегда используйте только проверенные сервисы, а лучше только официальные сайты проверки, да это дольше, но зато это безопаснее.

Как проверить сайт на вирусы на своем компьютере

Это называется офлайн проверка, ее смысл заключается в том, что вы делаете текущую резервную копию сайта на своем хостинге, скачиваете его себе на компьютер, распаковываете архив и сканируете все это дело антивирусом, желательно из ТОП 10, я например выбрал ESET, у него есть пробный период на месяц с полным функционалом, Dr.Web CureIt. Саму установку ESET я показывать не буду, скачать его можно с официального сайта https://www.esetnod32.ru/download/home/trial/.

Выбираем пункт "Сканирование компьютера - Выборочное сканирование"

Указываем путь до папки с файлами и нажимаем "Сканировать".

Через какое-то время вы получите результат, если что-то обнаружиться, вы будите точно знать, где удалять код.

Теперь туже самую проверку я проведу еще через утилиту Dr.Web CureIt. Скачать ее можно по адресу https://free.drweb.ru/cureit/ она так же бесплатна.

Соглашаемся с лицензионным соглашением и продолжаем.

Я буду делать выборочную проверку, для этого нажмите на пункт "Выбрать объекты для проверки"

Выбираем нужную папку для сканирования.

Начинается работа Dr.Web CureIt, тут все зависит от размера сайта и количества файлов, что в нем есть, у меня это 95 000 файлов.

Через некоторое время вы получите результат проверки, в моем случае все было хорошо. Если у вас иначе начните изучение файлов и кода.

Хочу отметить, что подобный антивирусных решений очень много, можете взять Касперского или любого другого, чем больше вы сделаете проверок, тем лучше.