Анализ сайта на вирусы

Добрый день. Нужно проанализировать сайт http://lk.itprovide.ru/ на содержание в исходном коде вирусных файлов.
Суть проблемы: Периодически, раз в неделю, в директории, в которой находятся файлы сайта, появляются различные скрипты в корне, а также создаются папки со скриптами в корневой и других директориях. Простое удаление всех вирусных файлов не помогает, они создаются каждый раз заново. Делается это, насколько я понял для рассылки спама по email от имени домена, в связи с чем, mail.ru постоянно блокирует доменную почту. Пароль для аккаунта на хостинге, для аккаунта FTP уже менял несколько раз, не помогает. Судя по всему уязвимость содержалась в исходном коде изначально, которая и позволяет получать доступ к хранилищу файлов. Сайт купили в магазине https://codecanyon.net/.

Обращался в техподдержку хостинга beget. Вот их ответ: 

Здравствуйте!

Примененный к вашему сайту ограничивающий шаблон блокирует запуск части известных вредоносных скриптов и шеллов, а также препятствует повторному заражению сайта. Обращения блокируются ТОЛЬКО к вредоносным скриптам. Наша система среагировала на эти

/home/i/itprov97/lk.itprovide.ru/public_html/vendor/phpunit/phpunit/src/Util/PHP/AROn0.php

Вероятно, Ваш сайт, был взломан. Вам необходимо проверить файлы сайтов на наличие стороннего кода, не характерного для Вашей CMS, а также наличие посторонних файлов среди файлов сайта. Для проверки рекомендуем утилиту AI-Bolit. С её помощью вы можете провести проверку и получить отчет, с указанием фалов на которые необходимо обратить внимание. Заказать диагностику и лечение у компании Revisium, на сегодняшний день, нельзя, но полученную информацию вы можете передать профильным специалистам для анализа вашего сайта.

Особенно часто вредоносный код попадает через уязвимые темы, шаблоны или плагины, установленные со сторонних ресурсов. Обязательно проверьте файл .htaccess - в нем могут быть добавлены перенаправления на другие сайты, распространяющие вирус. При этом файл .htaccess может быть размещен как в корне сайта, так и выше, поэтому необходимо просмотреть все директории вашего аккаунта.

$ find ~ -name "*htaccess*"

Чаще всего вирусы пишут на php (так называемые шеллы). В коде таких вирусов на php распространены конструкции:

eval()

preg_replace()

gzuncompress()

base64_decode()

Подобные файлы скорее всего находятся в папках, куда разрешена загрузка файлов, например папки cache/upload/template/themes/etc.. Также файлы с вирусами могут маскироваться под другие типы файлов, например, картинки/скрипты.js/текстовые файлы.

Можно включить ведение логов WEB сервера и FTP в разделе Журналы. Возможно, они помогут выяснить причину появления вредоносного кода.

После определения причины взлома не ограничивайтесь удалением найденных скриптов - добавленные злоумышленником точки проникновения могут быть хорошо спрятаны. Лучшая схема восстановления сайта после взлома - это закрыть к нему доступ посетителей, найти причину взлома, восстановить сайт из резервной копии (этим мы исключаем любые изменения сайта, которые мог произвести злоумышленник), обновить CMS, убедившись, что уязвимый компонент также обновился, после чего снова открыть доступ к сайту. Потому просто восстановление сайта на дату, когда он был заражен, не исправит ситуацию. На Вашем сайте останутся точки проникновения и сами вирусы.

Чтобы это не повторялось в будущем настоятельно рекомендуется поменять пароли:

- на электронную почту (которая указывалась при регистрации)

- на административный доступ Вашей CMS

- на все аккаунты FTP

- на аккаунт beget

- проверить компьютер на вирусы

Также не рекомендуется сохранять пароли в FTP менеджерах. Не используйте устаревшие версии CMS и плагинов к ним. Следите за обновлениями!

В качестве дополнительной меры можно “запаролить” все административные панели дополнительным паролем как это описано в этой статье. Если решить проблему своими силами не удается, рекомендуем обратиться к профильным организациям или фрилансерам.

После предпринятых Вами мер, сообщите, пожалуйста, о них в этот тикет, мы снимем ограничения. Важно понимать, что если причина будет не устранена, то ограничения будут наложены нашей системой вновь.


Во вложении приложу отчет сканирования антивирусом проведенного техподдержкой хостинга.