Hogyan távolítsunk el vírust weboldalunkról – tippek, ha már megtörtént a baj.
A weboldal kártékony programot tartalmaz.
– látja váratlanul weboldalának főoldala helyett. A nagyobb böngészők észlelik az ismert károkozókat, és nem engedik, hogy a felhasználók meglátogassák a webhelyet.

Szerencsés, hisz a látogató nem lesz áldozat, az üzletünknek viszont nem tesz jót, ha a weblap nem elérhető, hátmég ha fertőzött.
A szolgáltatónk is szankciókat vethet be, felfüggesztheti csomagunkat ha nem távolítjuk el időben a rosszindulatú programot, vagy gyakran előfordul ugyanez az eset.
Mit tegyünk, ha weboldalunk megfertőződött?
Első lépés – A weboldal lezárása
Miért kell lezárnom a weboldalamat?
A weboldal lezárása azért fontos, hogy a felhasználók (és a keresőmotorok!) ne találkozhassanak a kártékony programkóddal. Látogatóinkat védi attól, hogy esetlegesen adatlopás áldozatai legyenek, a keresőmotor pedig annál kisebb valószínőséggel büntet meg minket visszasorolással az eset miatt.
Nem utolsó sorban megakadályozhatjuk a fertőzött kód továbbfutását, amely azokban az esetekben lehet hasznos, ha a program a háttérben fut, spameket továbbít, vagy számolási műveleteket végez.
Hogyan zárhatom le a weboldalamat?
Amennyiben valamilyen tárhelykezelő szoftver (cPanel, Plesk, stb.) áll rendelkezésére, nagy valószínűséggel talál egy Felfüggesztés (Suspend) menüpontot. Ez keresőbarát 503 kóddal tér vissza a látogatóknak, jelezve, hogy az oldal átmenetileg nem elérhető.
Ha nincs ilyen lehetősége, lezárhatja a weboldal mappáját, hogy az csak jelszóval legyen elérhető.
Az alábbi weboldal segít a szükséges fájloknak a létrehozásában:

http://www.htaccesstools.com/htaccess-authentication/
Az itt visszakapott kódrészletet kell bemásolnunk weboldalának .htaccess fájljába, vagy ha az nem létezik, létrehozni azt.
AuthType Basic
AuthName "Az én weboldalam"
AuthUserFile /var/www/vhosts/az-en-weboldalam/.htaccess
Require valid-user
Ezen felül meg kell határoznunk a felhasználókat és azok jelszavait, melyek hozzáférhetnek a laphoz az autentikáció elvégeztével:

http://www.htaccesstools.com/htpasswd-generator/
A create .htpasswd file gombra kattintva a generátor elkészíti nekünk a .htpasswd fájlba beszúrandó tartalmat, jelen esetben a ‘felhasznalo’ felhasználói nevet és a kódolt, ‘jelszó’ jelszavat (sose használjunk ilyen egyszerű jelszavat!):
felhasznalo:$apr1$5Jstld9s$KTCLRjvNY7Q/rHKmuQ.yn1
A fájl elkészítése és mentése után meggyőződhetünk róla, hogy lapunk megnyitásakor előugrik egy jelszóbekérő mező. A generátorban megadott adatokkal beléphetünk a (még mindig fertőzőtt) oldalunkra.
Ha nem tudjuk ezeket a lépéseket elvégezni, szinte az összes CMS-nél (Content Management System – Tartalomkezelő Rendszer) működik a megoldás, ha az index.php fájlt átnevezzük, például index-backup.php -ra. Mivel ez a fájl hívja meg a rendszer betöltéséhez szükséges komponenseket, ezzel is megakadályozzuk, hogy látogatóink sérült állományokat töltsenek be.
Második lépés – hibaoldal készítése
Ha úgy látjuk, hogy a fertőzés elhárítása sok időt (pár óra, akár pár nap) vesz igénybe, lehetőség szerint tájékoztassuk a lapunkra látogatókat a leállásról. Próbáljuk kerülni a vírusfertőzés megnevezését, hogy lapunk reputációját ne rontsuk le. Használjuk a Weboldalunk karbantartás miatt átmenetileg nem elérhető, szíves türelmét kérjük mondatot, vagy ehhez hasonlót.
Természetesen, ha lezártuk az éles weblapunkat, ez a szöveg sem fog megjelenni.
Használjunk teszt-tárhelyet, kérjünk egy karanténozott hosztingot szolgáltatónkról (vagy a PrestaWeb.Space-től), vagy telepítsünk lokális web szervert a számítógépünkre, és másoljuk át ide teljes weboldalunkat (minden fájlt és a teljes adatbázist), az eredeti helyről töröljük, és helyezzük el a hibaoldalt.
Megoldás lehet a teljes weboldal egy mappába helyezése és azon mappának lezárása is. Így tárhelyünk gyökér mappájában elhelyezhetjük a hibaoldalunkat és a fertőzött kód sem jut el látogatóinkhoz.
Harmadik lépés – a károkozók törlése
A tüzet körbekerítettük, de korántsem oltottuk el. Most következik munkánk legfontosabb része: ki kell derítenünk, hogy melyik fájl, mappa lehet fertőzött.
Nyissuk meg a weblap fájljait tartalmazó mappát és vessük össze azokat egy még vírusmentes mentés verziójáéval, vagy emlékezetünkkel. Állítsuk át a megjelenítést a fájl módosításának dátuma szerint, így láthatjuk, hogy milyen fájlok lettek módosítva vagy hozzáadva.
Kereshetünk további nyomokat a tárhely ACCESS és ERROR logfájljai között is.
Ha bármi olyat találunk, ami nem oda való, töröljük! Természetesen készítsünk mentést a beavatkozás előtt!
Győződjünk meg róla, hogy teljesen eltávolítottuk-e a károkozót. Ha nem vagyunk biztosak a munkánkban, vagy nem találtunk semmit, mindenképpen keressünk meg egy szakembert. Mi is szívesen segítünk, írjon nekünk bátran.
Negyedik lépés – a hiba okának felderítése
Miután eltávolítottuk a fertőzést, ki kell derítenünk, hogy hogyan jutottak be weboldalunkra.
Végezzünk el pár keresést fórumokon, kis “szerencsével” más is járt már így, esetlegesen tudja is a hiba okát.
Ha nem találunk semmit, kezdjük a saját számítógépünkkel. Győződjünk meg róla, hogy az nem vírusfertőzött. Ingyenesen segít nekünk ebben az ECO Verband szoftvere: https://www.botfrei.de/de/eucleaner/index.html
Ha vírusos a számítógépünk és jelszavainkat kódolás nélkül tároló programot használunk, elképzelhető, hogy ennyi a megoldás és egyszerűen csak ellopták az FTP azonosítónkat.
Kerüljük a Total Commander használatát főként nyitott számítógépen vagy vírusos környezetben!
Ellenőrizzük a moduljaink és rendszerünk állapotát. Ha elérhetők frissítések, alkalmazzuk őket.
A legtöbb esetben egy ellenőrizetlen, hibás, vagy elavult modulon (pluginen, kiegészítőn) keresztül veszik át hackerek a weblapunk feletti irányítást.
Különösen veszélyesek a sokéve a neten keringő ingyenes, régóta nem frissített modulok és témák.
Változtassuk meg az összes, a weblaphoz köthető jelszavunkat:
- Admin bejelentkezés
- FTP felhasználó
- Adatbázis felhasználó
- E-mail jelszavak
- stb.
Mindig válasszunk megfelelő erősségű jelszót: https://strongpasswordgenerator.com

Ha meggyőződtünk róla, hogy elhárítottuk a problémát, másoljuk vissza weboldalunkat, és engedélyezzük annak elérését.

Futtassunk le egy (online) malware checket, hogy meggyőződjük webhelyünk vírusmentességéről.
Sokszor lehetetlennek és elhanyagolhatónak tartjuk az összes komponens frissítését, pedig ez elengedhetetlen ahhoz, hogy minimalizáljuk a hasonló támadások bekövetkeztét.
Ha már megtörtént a baj, próbáljuk meg minél hamarabb, minél kevesebb károkozással helyrehozni azt. Amennyiben ügyfeleink adatai támadók kezébe kerültek, keressük fel jogi képviselőnket az ügy tisztázása érdekében.