Неизвестные файлы на сайте часто выглядят безобидно: короткое имя, случайные буквы, старый архив или PHP-файл в папке с картинками. Иногда это остатки разработки, но иногда именно такие файлы поддерживают редиректы, рассылку спама или повторное заражение.

Коротко: сначала нужно понять назначение файлов, затем удалить опасные и закрыть способ их появления.

Когда это становится заметно

  • в папках появились PHP-файлы со случайными именами
  • в uploads, images или cache есть исполняемые файлы
  • в корне сайта лежат архивы, дампы или неизвестные index-файлы
  • после удаления файлы появляются снова
  • антивирус хостинга ругается на часть файлов

Почему так происходит

Вредоносные файлы часто маскируются под системные: похожие имена, скрытые расширения, вставки в старые каталоги. Но не каждый незнакомый файл опасен, поэтому удаление без проверки может сломать сайт.

  • старые файлы от прошлой разработки или переноса сайта
  • загрузка через уязвимую форму или медиабиблиотеку
  • слабый пароль от FTP, панели или админки
  • старый плагин, позволяющий записывать файлы
  • зараженный файл, который пересоздает другие файлы

Что я проверяю в первую очередь

  • расположение неизвестных файлов и даты изменения
  • наличие исполняемого кода в папках загрузок
  • подозрительные функции и внешние подключения
  • права каталогов и возможность записи туда, где ее быть не должно
  • логи загрузок, обращений и авторизаций

Как привожу сайт в порядок

Работаю аккуратно: сначала сохраняю контекст, затем проверяю файлы и только после этого удаляю или изолирую опасное.

  • собираю список неизвестных файлов и сортирую по риску
  • отделяю системные и рабочие файлы от подозрительных
  • удаляю вредоносные файлы и чистю связанные вставки
  • закрываю запись исполняемого кода в папки загрузок
  • меняю уязвимые доступы и даю рекомендации по мониторингу

Что подготовить перед обращением

  • доступ к файлам сайта
  • пример пути к неизвестному файлу
  • скрин или сообщение от хостинга, если оно есть
  • информацию, когда последний раз сайт обновлялся

Сроки и результат

Если неизвестных файлов мало, диагностика может занять около часа. Если сайт давно не обслуживался и мусора много, лучше делать полную ревизию файлов, CMS и доступов.

Вопрос-ответ

Можно ли удалить файл самому?

Можно, если вы точно знаете, что он лишний. Но если файл связан с заражением, одного удаления может быть недостаточно.

Почему файл появляется снова?

Обычно где-то остался скрипт, уязвимость или доступ, через который файл создается повторно.

Вы проверяете папки с картинками?

Да. Именно там часто прячут исполняемые файлы, потому что владелец редко смотрит эти каталоги вручную.

Нужна похожая задача?

Напишите в Telegram @rabotator_support: пришлите адрес сайта, что именно видит пользователь и когда началась проблема. Я посмотрю ситуацию, объясню план работ и скажу срок до старта.