Як перевірити веб-сайт на наявність шкідливого програмного забезпечення та вірусів

Якщо ваш сайт перенаправляє відвідувачів, показує спам-спливающие вікна, потрапляє до чорного списку або завантажує підозрілі скрипти — вам потрібна комплексна перевірка на наявність шкідливого програмного забезпечення. Цей посібник охоплює зовнішні перевірки (те, що бачать відвідувачі та пошукові системи) та внутрішні перевірки (файли, бази даних, користувачі, журнали).

Це особливо важливо для веб-сайтів на віртуальному хостингу. Якщо вам потрібно більше контролю над скануванням та зміцненням безпеки на рівні сервера, VPS на базі Linux або Windows на надійному VPS-хостингу може спростити операції з безпеки.

Типові ознаки зараження

• Перенаправлення на невідомі домени (особливо з мобільних пристроїв).
• Вставлені рекламні оголошення, спам-сторінки казино/фармацевтичних компаній або приховані посилання.
• Попередження Google / сповіщення браузера про «оманливий сайт».
• Невідомі адміністратори в CMS.
• Раптові сплески трафіку або спам у вихідній пошті.
• Нові файли PHP у каталогах uploads/media.

Крок 1 — Зовнішня перевірка (що бачить Інтернет)

Зовнішні перевірки допоможуть вам підтвердити, чи проблема помітна відвідувачам/пошуковим системам і чи ваш домен потрапив у чорний список. Використовуйте авторитетні онлайн-сканери (за назвою) для перевірки:

• Репутацію URL-адреси / статус у чорному списку (інструменти прозорості пошукових систем).
• Вставлений JavaScript, підозрілі iframe, приховані перенаправлення.
• Завантажені сторонні ресурси (невідомі домени у вихідному коді сторінки).

Порада: перевірте свій сайт у вікні інкогніто, а також через мобільну мережу — деякі інфекції використовують умовні перенаправлення.

Крок 2 — Створіть безпечний знімок перед очищенням

Перш ніж видаляти що-небудь, створіть знімок для відкату/криміналістичного аналізу:

• Завантажте повну копію файлів сайту.
• Експортуйте базу даних.
• Збережіть список облікових записів адміністраторів та встановлених плагінів/тем/модулів.

На віртуальному хостингу це зазвичай можна зробити за допомогою файлового менеджера або інструменту експорту бази даних у панелі управління. Якщо у вас є доступ до SSH, скористайтеся наведеними нижче методами командного рядка.

Крок 3 — Сканування файлів сайту (два практичних шляхи)

Спосіб А: Без SSH (типовий спільний хостинг)

• Завантажте файли сайту на свій комп’ютер і проскануйте архів за допомогою надійного антивіруса.
• Перегляньте нещодавно змінені файли у файловому менеджері хостингу (відсортуйте за «датою модифікації»).
• Перевірте .htaccess (або web.config) на наявність підозрілих перенаправлень.
• Перегляньте папки uploads/media на наявність несподіваних .php файлів.

Варіант Б: За допомогою SSH (швидше та надійніше)

Ці команди типові для хостингових середовищ на базі Linux:

# 1) Find recently modified files (last 7 days)
find . -type f -mtime -7 -not -path "./cache/*" -not -path "./tmp/*" | head -n 200

# 2) Look for common obfuscation patterns in PHP
grep -R --line-number --binary-files=without-match -E "base64_decode(|gzinflate(|str_rot13(|eval(|preg_replace(.*/e" . | head -n 200

# 3) Suspicious PHP files in uploads (WordPress example)
find ./wp-content/uploads -type f -name "*.php" | head -n 200

На що звертати увагу: довгі нечитабельні рядки, приховані iframe, дивні require/include виклики невідомих шляхів та файли PHP у папках з медіафайлами.

Крок 4 — Перевірте базу даних (ін’єкції часто знаходяться саме там)

Навіть якщо файли виглядають чистими, ін’єктований спам або код перенаправлення може зберігатися у полях БД (posts/options/settings). Типові цілі:

• таблиці «options/settings» CMS (перезапис URL-адреси сайту, вставлений JS).
• Таблиці контенту (приховані посилання всередині публікацій/сторінок).
• Таблиці користувачів (нові адміністратори).

Приклад підходу: шукайте підозрілі домени або