Удаление вируса с сайта и восстановление после взлома

Q: Какие сайты можно проверить?

Работаем с WordPress, Bitrix, Tilda с внешними вставками, самописными сайтами, PHP/Node/Python-проектами и интернет-магазинами. Если стек нестандартный, начинаем с доступа к файлам, логам и резервным копиям.

Q: Можно ли просто удалить вредоносный файл?

Иногда этого достаточно, но чаще нужно найти способ входа: уязвимый плагин, старую CMS, скомпрометированный пароль, открытый файловый менеджер или чужой доступ. Иначе сайт могут взломать повторно.

Q: Поможете убрать предупреждение Яндекса, Google или хостинга?

После очистки готовим сайт к повторной проверке: убираем вредоносный код, спам-страницы и редиректы, закрываем явные дыры и объясняем, что отправить в поддержку хостинга или панели вебмастера.

Q: Что нужно от владельца сайта?

Нужны подтвержденные доступы владельца: хостинг или сервер, CMS, домен или DNS при необходимости, панель вебмастера, бэкапы и контакт с хостингом. Без прав владельца не обходим чужие аккаунты.

Q: Можно оставить защиту и поддержку после очистки?

Да. После восстановления можно подключить обновления CMS и плагинов, контроль доступов, резервные копии, мониторинг изменений файлов, проверку форм и регламент действий при повторном инциденте.

Что сломалось

Взлом редко выглядит как одна очевидная ошибка.

Сайт может открываться нормально для владельца, но отдавать редиректы посетителям из поиска, создавать спам-страницы, рассылать мусор или получать предупреждение от хостинга.

Сайт редиректит на чужие страницы

Проверяем шаблоны, JS, .htaccess, плагины, базу данных и условия, при которых вредоносный код срабатывает только для части посетителей.

Яндекс, Google или браузер показывают предупреждение

Ищем вредоносные вставки, зараженные файлы, дорвеи, спам-страницы и внешние скрипты, которые привели к блокировке или метке опасности.

Хостинг отключил сайт или прислал abuse

Разбираем уведомление хостинга, нагрузку, подозрительные процессы, отправку писем, cron-задачи, новые файлы и попытки повторного входа.

После обновления вирус возвращается

Значит, остался способ входа: старый пароль, уязвимый плагин, файловый менеджер, открытая админка, скомпрометированный FTP или чужой аккаунт в CMS.

Первые часы

Сначала сохраняем доказательства и рабочую копию, потом чистим.

В аварийной ситуации легко удалить важные файлы или потерять следы входа. Поэтому начинаем с резервной копии, карты симптомов и аккуратной диагностики.

Диагностика

Фиксируем состояние сайта

Смотрим файлы, базу, логи, CMS, плагины, последние изменения, подозрительные аккаунты, cron-задачи и внешние скрипты.

Список симптомов и вероятных точек входа.
Понимание, что можно чистить сразу.

Очистка

Удаляем вредоносный код

Убираем зараженные вставки, web shell, редиректы, спам-страницы, подозрительные файлы и изменения, которые можно безопасно откатить.

Сначала резервная копия текущего состояния.
После очистки — повторная проверка сценариев.

Закрытие дыр

Снижаем риск повторного взлома

Обновляем уязвимые компоненты, меняем доступы, убираем лишние аккаунты, закрываем открытые панели и настраиваем базовый контроль.

Отдельно фиксируем, что требует поддержки.
Готовим сайт к повторной проверке.

Процесс

Как восстанавливаем сайт после взлома.

Цель не только убрать видимый вирус, но и понять, почему он появился. Иначе через несколько дней сайт может снова попасть под редирект или блокировку.

01
Собираем симптомы

Что видит владелец, что видят клиенты, есть ли предупреждения поисковиков, письма от хостинга, падение трафика или редиректы.
02
Делаем копию и смотрим логи

Сохраняем текущее состояние, проверяем файлы, базу, доступы, последние изменения и подозрительные запросы.
03
Чистим и проверяем

Удаляем вредоносные изменения, проверяем сайт в разных сценариях, ищем скрытые редиректы, спам-страницы и повторные вставки.
04
Закрываем вход и сдаём

Меняем пароли, обновляем компоненты, убираем лишние доступы, фиксируем что было сделано и что нужно мониторить дальше.

Форматы

Можно начать с быстрой проверки или полного восстановления.

Формат зависит от состояния сайта: он ещё работает, уже отключён хостингом, попал под предупреждение поисковиков или заражение возвращается после ручной чистки.

Быстрая проверка

Понять масштаб заражения

Проверяем видимые симптомы, файлы, базу, админку, логи и письмо от хостинга или панель вебмастера.

Нужны доступы к сайту и хостингу.
По итогам — план безопасной очистки.

Аварийная очистка

Убрать вредоносный код

Подходит, когда сайт редиректит, хостинг грозит отключением, рекламные кабинеты отклоняют сайт или поисковики показывают метку.

Сначала делаем копию текущего состояния.
После очистки проверяем основные страницы.

Стабилизация

Очистка плюс защита

Убираем заражение, закрываем очевидные дыры, приводим доступы в порядок, настраиваем бэкапы и базовый мониторинг изменений.

Подходит после повторных взломов.
Можно оставить поддержку после восстановления.

Ограничения

Что важно зафиксировать до старта.

Безопасная очистка требует прав владельца и понимания, где проходит граница ответственности: сайт, хостинг, домен, почта, рекламные кабинеты и внешние сервисы.

Не обходим чужие доступы

Работаем только с подтвержденными правами владельца сайта или компании. Не взламываем админки, хостинги, почту и аккаунты подрядчиков.

Не обещаем снять метку без проверки

Предупреждение поисковика или хостинга снимается после их повторной проверки. Мы готовим сайт к этой проверке и объясняем следующий шаг.

Не считаем чистку финалом

Если не обновить уязвимые компоненты, не сменить пароли и не убрать лишние доступы, проблема может вернуться. Поэтому отдельно фиксируем обязательные действия после очистки.

FAQ

Что обычно спрашивают перед восстановлением сайта.

Как быстро можно начать удаление вируса?

Если есть доступы к хостингу, CMS, домену и логам, первичную диагностику можно начать в день обращения.

Какие сайты можно проверить?

WordPress, Bitrix, Tilda с внешними вставками, самописные сайты, PHP/Node/Python-проекты и интернет-магазины. Если стек редкий, начинаем с файлов, логов и бэкапов.

Можно ли просто удалить вредоносный файл?

Иногда да, но чаще нужно найти способ входа. Иначе сайт могут взломать повторно через тот же плагин, пароль, FTP или админку.

Поможете убрать предупреждение Яндекса, Google или хостинга?

После очистки готовим сайт к повторной проверке и объясняем, что отправить в поддержку хостинга или панели вебмастера.

Что нужно от владельца сайта?

Доступ к хостингу или серверу, CMS, домену или DNS при необходимости, панель вебмастера, бэкапы и контакт с хостингом.

Можно оставить защиту и поддержку после очистки?

Да. Можно подключить обновления CMS и плагинов, контроль доступов, резервные копии, мониторинг изменений файлов и регламент реакции.

Рядом по теме

Если проблема шире заражения сайта.

Иногда взлом сайта тянет за собой платежи, доступы, почту, CRM или переезд от старого подрядчика. Эти задачи лучше связать в один безопасный план.

Починить оплату на сайте

Если после взлома перестали работать заказы, чеки, статусы, webhooks, CRM или 1С.

Настроить защищенный доступ

Если нужно закрыть админки, серверы и внутренние сервисы от прямого доступа извне.

Обсудить ситуацию напрямую

Если неясно, это вирус, проблема хостинга, ошибка CMS или последствия работы прошлого подрядчика.

Заявка

Опишите, что произошло с сайтом.

Можно коротко: адрес сайта, CMS, что видят клиенты, что написал хостинг или поисковик, есть ли доступ к админке и бэкапам.

Восстановление сайта

Короткая заявка на диагностику.

Если сайт сейчас отключен, редиректит клиентов или хостинг дал срок на исправление, укажите это в описании и напишите в Telegram после формы.

Заявка придёт на hi@khaiam.ru. NDA можно согласовать до передачи доступа к хостингу, коду, логам или резервным копиям.

Удалим вирус с сайта и закроем дыру