Рано или поздно большинство владельцев сайтов в сети интернет сталкиваются с атаками хакеров и взломом их ресурсов. Как правило, после таких взломов на сайте остаётся вирус, который работает в скрытом режиме и в большинстве случаев приносит владельцу сайта вред. Атаки хакеров бывают целевыми или направленными сразу против некоторой группы сайтов со схожими системами управления контентом. Во втором случае последствия от размещения вируса на сайте сказываются не сразу и, как правило, они менее существенны. Если же атака была направлена против конкретного ресурса, то сайт с большой долей вероятности будет выведен из строя. В этом случае придётся не только удалять потенциальный вредоносный код, но и восстанавливать существенные повреждения сайта.
Не важно откуда владелец сайта узнал о вирусе — от поисковой системы, путём случайных наблюдений или анализа статистики сайта, после того как сайт перестал работать или подсказал кто-то, результат один — необходимо восстановить работу ресурса, удалить вредоносный код с сайта и обезопасить сайт от его повторного размещения. Итак, на сайте есть вирус и его нужно удалить. Самый простой вариант — у вас есть свежая сохранённая копия сайта за тот период, когда вируса ещё не было размещено. Под свежей копией подразумевается то, что после этого вы не размещали слишком много контента и не проводили над сайтом много работ, в противном случае откат до этой копии приведёт к существенным потерям и лучше откат не делать. Таким образом, если вас устраивает сохранённая чистая копия сайта — удаляйте всё текущее содержимое корневой директории сайта и восстанавливайте сайт из копии.
Если откатиться до чистой копии сайта не представляется возможным или попросту не хочется — вирус можно отыскать и удалить. Начните с определения примерной даты взлома сайта. Очень хорошо, если известно примерное время последних изменений своих сайтов и вирус был размещён после этого. В таком случае можно сделать поиск по FTP всех файлов с датой изменения после вашей работы на сайте и таким образом вычислить изменённые хакером сайты. Не забывайте, что популярный CMS сами изменяют некоторые из сайтов и, прежде чем лазить по сайту и удалять всё подряд, необходимо разобраться с работой вашей системы управления контентом. Нужно знать какие директории и какие файлы для чего предназначены. Понадобится также копия файлов сайта без вируса для сравнения изменённых сайтов с оригинальными.
Если предыдущим способом вычислить вирус не удаётся — дату заливки вредоносного кода можно определить внимательно изучая те директории, на которые выставлены права на запись через http (CHMOD: 777). Хакеры имеют возможность залить код вируса только в эти директории. Таким образом, найдя один файл с вредоносным кодом — можно по его дате вычислить все остальные.
Почистив файлы сайта от вируса, не забудьте сменить пароли и удалить подозрительных пользователей с сайта (особенно с повышенными привилегиями). Проверьте настройки CMS. И запомните самое главное правило безопасной работы с сайтом — делайте своевременные копии сайта, для возможности быстро откатиться.