Wirusy na serwerze – co zrobić gdy strona została zainfekowana?

Jeżeli otrzymałeś od nas wiadomość mailową, że na Twoim serwerze są infekcje wirusowe, to oznacza, że powinieneś odwirusować stronę i zabezpieczyć ją by w przyszłości taka sytuacja nie miała już miejsca.

Odwirusowanie strony możesz wykonać samodzielnie. W pliku tekstowym w głównym katalogu na Twoim serwerze zamieściliśmy skan wirusowy, w którym wskazujemy potencjalnie zainfekowane pliki.

Dowiedz się więcej – Skan wirusowy – jak czytać plik?
Dowiedz się więcej – Jak usunąć wirusa ze strony internetowej?

Jeżeli nie chcesz samodzielnie usuwać infekcji, możesz zlecić nam odwirusowanie strony. Koszt tej operacji to 100 zł netto za każdą odwirusowaną stronę WWW.
Aby zlecić nam odwirusowanie, skontaktuj się mailowo z Biurem Obsługi Klienta: info@lh.pl.

Jak sprawdzić przyczynę infekcji i co KONIECZNIE musisz wykonać po usunięciu wirusów?

Mogą być dwie przyczyny pojawienia się wirusów na serwerze i na stronach na nim hostowanych:

1. Przechwycenie hasła do serwera FTP.
2. Luki w zabezpieczeniach skryptów strony.

Relatywnie łatwo można sprawdzić który przypadek dotyczy Twojego problemu. Zaloguj się do panelu: https://www.lh.pl/panel/login i wejdź w zakładkę w serwery, a następnie konta FTP. Na środku ekranu będą widoczna będzie lista wszystkich użytkowników kont FTP, a na prawo od każdego z nich znajduje się przycisk z lupą – należy go kliknąć.
Po kliknięciu zobaczysz pełną listę ostatnich logowań do tego konta, wraz z datą oraz adresem IP z którego nastąpiły. Jeżeli którykolwiek z adresów IP nie należy do Ciebie – ktoś przechwycił dane do logowania do FTP.
Pamiętaj o sprawdzeniu każdego konta FTP.

Dowiedz się więcej – Sprawdzanie adresów IP.

1# Włamanie za pomocą przechwyconego hasła do FTP

Jeżeli któryś z adresów IP nie należy do Ciebie prawdopodobnie na którymś z komputerów, które łączyły się z serwerem FTP jest wirus, który przechwycił hasło.

W tym przypadku należy wykonać:

  1. Aktualizację skanerów antywirusowych i gruntowny skan każdego z komputerów które łączyły się z serwerem FTP. Sugerujemy także przeskanowanie komputera dodatkowym skanerem, może to być darmowe oprogramowanie firm Avast, Eset, Kaspersky.
  2. Sprawdzenie, czy firewall na którymś z Twoich komputerów nie został wyłączony.
  3. Zmianę haseł – powinieneś zmienić hasła do panelu klienta: https://www.lh.pl/panel/login (opcja znajduje się na głównej stronie panelu) oraz wszystkich kont FTP (zakładka serwery, a następnie konta FTP, po kliknięciu w danego użytkownika można zmienić mu hasło.

WAŻNE – bezpieczne hasło powinno mieć minimalnie 8 znaków, składać się z małych oraz dużych liter i cyfr.

2# Włamanie z powodu luk w zabezpieczeniach skryptów

Jeżeli na wspomnianej wcześniej liście ostatnich logowań nie znalazłeś podejrzanych adresów IP, oznacza to, że włamanie nastąpiło poprzez luki w zabezpieczeniach kodu Twoich stron.

W tym przypadku należy wykonać:

  1. Aktualizację oprogramowania na serwerze – jest to szczególnie ważne w przypadku darmowego oprogramowania typu Joomla!, WordPress, osCommerce etc.
  2. Aktualizację dodatków do wspomnianych silników – stale rośnie liczba wirusów pojawiających się na stronie z powodu niezaktualizowanych addonów, plugionów, modułów oraz tematów graficznych.
  3. Sprawdzenie formularzy znajdujących się na stronie – formularze służące do ankiet, wysyłania maili oraz podobnych zastosowań zazwyczaj najtrudniej jest zabezpieczyć przed niewłaściwym wykorzystaniem. Jeżeli posiadasz formularz, co do którego zabezpieczeń nie jesteś pewien, a nie jest on niezbędny – sugerujemy tymczasowe wyłączenie go do momentu poprawienia jego kodu.
  4. Regularne aktualizacje – niestety w popularnych skryptach każdego dnia znajdowane są nowe luki i wydawane są nowe łatki, które te luki zabezpieczają. Jeśli na Twojej stronie pojawił się wirus właśnie z ich powodu – warto raz na tydzień lub dwa sprawdzić czy nie pojawiły się nowe wersje skryptów wraz z dodatkami.

Co jeszcze możesz zrobić po usunięciu wirusów ze strony?

Zrób backup wszystkich plików strony i bazy danych. Czystą, odwirusowaną kopię strony przechowuj na swoim komputerze. Jeżeli infekcje wrócą, bo nie wszystkie skrypty zostaną prawidłowo zabezpieczone, będziesz miał kopię strony bez wirusów, z której możesz przywrócić treści.