Блог Алексея Гончарова
Не пропустите новые статьи!

Новые статьи блога на Ваш e-mail:

Канал блога на YouTube
Где в мире читают блог
Архивы
Волшебная кнопка

Как я нашел вирус на сайте

вирус на сайтеЗдравствуйте! Возможно, в последнее время, когда вы заходили сюда, то видели предупреждение в браузере о потенциальной опасности от сайта. Поделюсь историей, как я нашел вирус на сайте и победил его! Так что, рекомендую дочитать пост до конца, может пригодиться! ;)

Как вы уже знаете, я некоторое время назад «выпал» из Интернета и блог забросил. А пока игрался с «тазиком», сваркой и болгаркой, он жил своей жизнью, но не сам, как оказалось. Естественно, все это время мне было не до почты и не до писем, поэтому почтовые ящики тоже остались без внимания.

Когда я «вернулся» и проверил почту (одну из :) ), то с удивлением обнаружил несколько писем от своих постоянных читателей о том, что у меня вирус на сайте?! Караул! Полез проверять, но ничего подозрительного на тот момент не нашел…

Сразу хочу выразить благодарность всем читателям, кому не безразлична судьба моего сайта и моих постов, всем, кто откликнулся и просигнализировал о «заразе». Большое спасибо за вашу поддержку – это самое ценное! И сразу же прошу прощения, за то, что долго не отвечал на ваши письма и за угрозу, исходившую от сайта.

Как я нашел вирус на сайте и обезвредил его.

Но вчера, я полез проверить свой второй сайт-визитку, на котором я оказываю услуги инструктора по вождению, наверное, подсознание, зная всё, дало такой посыл. Просто решил посмотреть на индексацию сайта. С ужасом обнаружил, что Яндекс уже присвоил ему категорию потенциально опасных, о чем предупреждал сразу в результатах поиска. Гуглу, же все нравилось и никаких предупреждений не было. В итоге, такая картина:

предупрежение о вирусе на сайте от яндекса

Но тот сайт не был добавлен в панель Яндекс-вебмастера, чтобы узнать причину угрозы подробнее. Пришлось подтвердить права и добавить сайт в панель. В итоге выяснилось, что сайт заражен дрянью, под названием Mal/Badsrc-K, которую Яндекс описывал, как вредоносный JavaScript-код от партнерской сети traffbiz.ru и которая выглядела примерно так:

вид вируса от яндекса

Уже легче – есть что искать! Но ведь я сам-то ничего такого на сайт не вешал, доступа никому не давал ни к админке сайта, ни к тем более, хостингу – вот в чем прикол!

Первым делом проверил сайт на вирусы, как описывал ранее, но самый продвинутый «проверятель» приказал долго жить, а остальные ничего вредного не видели, а если и видели, то где именно не показывали   :-(  Скорее всего потому, что просто брали данные от поисковиков.

Оставалось только «лопатить» код, что я и сделал. После подтверждения прав на сайт, панель вебмастера Яши выдала, что заражены все страницы сайта, благо их там всего ничего. Вывод – код сидит в «голове» сайта, так как она постоянна для всех страниц и записей сайта. Начал всматриваться в тело кода сайта и увидел такую «конструкцию»:

как я нашел вирус на сайте

Всего ничего – 3 строки коротенького html-кода, аккуратно вписанные перед закрывающим тегом </head>. Как вы уже догадались, этот код отличался от описываемого Яндексом, но чем-то был очень похож.

Яндекс считает подобные скрипты вредоносными в любом случае и помечает сайты, как опасные, если найдет их на страницах.

Осталось его найти уже внутри «кишок» сайта или самого хостинга. Попутно искал информацию в Сети о подобных заражениях – оказалось, что я далеко не первый!

Влез в админку, в редактор темы и начал просматривать коды php сайта.

Чтобы легче было искать, пользовался поиском по странице – функция любого браузера, программы и пр. – сочетание CTRL+F. Появляется окошечко со строкой поиска, куда надо вставить искомый фрагмент, после чего поиск покажет, сколько таких совпадений есть на странице, если они есть, или если нет, как на картинке ниже:

как искать код вируса

В заголовке шаблона, в header.php нашел уже такую конструкцию (обведена рамкой), которая кардинально отличалась от той, что была в html-е:

код вируса в php коде сайта

Потом дошло: что, то html, скрипт, а то php – вот они и выглядят иначе. Но самое интересное было в том, что при просматривании html-кода сайта, при каждом обновлении страницы код менялся! Как живой, гад!

По ходу дела наткнулся на этот сайт, где автор тоже решал подобную проблему, но только собственноручно созданную от traffbiz.ru (там надо было установить их счетчик с вирусом, за показ которого обещали выплачивать денежку), попутно описывая «предназначение» такого кода.

«Мой» код был не таким, но его суть оставалась та же: при загрузка страницы сайта, код подгружал стороннее содержимое с другого адреса.

Цель такого заражения – банальная нажива. Собрать, данные платежных карт, если она вводятся на сайте (благо такого у меня нет), собрать данные с пользователей, чтобы потом, например, завалить всех тоннами спама. Пофантазировав, можно ещё что-то загрузить постороннее и попутно «притормозить» сайт и его загрузку. Последнее ощущалось очень заметно – сайт ощутимо тормозил при открытии.

Оставалось только вырезать живьем эту заразу из тела сайта. Предварительно сохранил весь файл на компьютер в текстовый редактор, на тот случай, если что-то пойдет не так и сайт рухнет. Потом подумал и сделал, как я это подробно описывал и показывал уже, вообще ещё один бекап сайта и баз данных с сохранением на компьютере – ознакомьтесь, пригодится! Всё сохранил, на случай, если что-то «ляжет».

Аккуратно отметил код, как показано на картинке

вирус на сайте к удалению

и удалил его из сайта. Если вдруг, при выделении кода, вы ошиблись, то не нажимайте кнопку Обновить файл в админке, а просто обновите страницу в браузере и начните всё сначала – так изменения не вступят в силу.

После того, как вырезал вирус, нажал кнопку Обновить файл, проверил сайт – всё работает, кода нет, ура! Проверил в html-е сайта – тоже нет! И сайт сразу заметно «ожил» – стал грузиться гораздо бодрее! Но это был ещё не конец…

Оказалось, что в другой моей почте валялось непрочитанным письмо от Яндекс-вебмастера, которое гласило, что и этот сайт, где вы читаете эту статью, тоже заражен!

письмо от яндекса о вирусе на сайте

Каким-то чудом Яша не присвоил ему отметку об угрозе и предупреждения в поиске не было – уже легче! Хотя, был момент, когда посещаемость сильно упала, возможно, что-то и было, только меня тогда тут не было…По вышеописанному алгоритму нашел код уже в теле dengi-vseti.ru, а потом и в хедере темы сайта.

Вырезал, удалил, сохранил – результат, вы читаете эту статью   :)  Сайт тоже стал «летать».

Заодно сменил все пароли от сайтов и панели управления хостингом с их попутным усложнением – если вдруг столкнетесь с подобным, то это нужно сделать, как можно скорее.

После «чистки» заново сделал бекап уже «вылеченных» сайтов и их баз данных и сохранил в компьютере, ведь предыдущие были заражены, а значит, не нужны.

Но самое интересное в том, как этот вирус проник на сайт, откуда он взялся? Позже в другой почте нашел письмо от хостинга, где он сообщал о DDoS-атаке, о профилактике на сервере и все собралось примерно воедино. Кому-то не дает покоя армада сайтов, работающих и вещающих свою информацию в Сеть и этот кто-то нашел уязвимость в системе хостинга и подсадил этот код. Остается только вопрос как?

Попытался продолжить поиски и подсунул Гоше (кто не в курсе, он же Гугл, он же Google) сам кусок кода. Вот  результаты такого поиска – полюбопытствуйте, не бойтесь. Оказывается, есть такой сайт govnokod.com, стоящий первым в той выдаче Гоши, уж не знаю для кого и каких «благих» целей создан, но на котором тоже была описана почти «моя» конструкция, как невидимый счетчик с оплатой за показы. То есть, кто-то получал деньгу за то, что показывался мой сайт, м-да-а…

Но, самое интересное в другом: 14 первых страниц выдачи Гоши по результатам поиска фрагмента кода заняты каким-то магазином снегоходов, что явно указывает на то, что тот сайт тоже заражен (на момент написания статьи). Если всмотреться в результаты дальше, то есть там и чья-то стена из Вконтакте и масса других сайтов. А что, Гуглу, ведь, по-барабану, что искать – хоть код, хоть запрос «человеческий» – всё найдёт! Так что проверьте свой сайт на предмет вышеописанной заразы, мало ли – от этого никто не застрахован!

Вроде, все вылечил, но теперь надо снять отметку с сайта об угрозе. Для этого в панели Яндекс-вебмастера есть кнопка, которую надо нажать для повторной перепроверки сайта роботом Яндекса. Нажал, теперь там красуется такая надпись:

заявка на проверку сайта

Но, самое неприятное в том, что когда она исчезнет, не знает никто, кроме самого робота Яндекса :-(  Так что не пренебрегайте безопасностью! А то так можно запросто лишиться посещаемости…

Попутно, в ходе поиска вируса, нашёл еще один сервис, для проверки как файлов с компьютера, так и сайтов на вирусы – www.virustotal.com, думаю, пригодится. И ещё один, похожий, но более информативный – sitecheck.sucuri.net. Но оба этих сервиса берут данные из поисковиков, так что пока отметка не снята, то они будут выдавать сообщения о заражении, хоть сайт и чист.

И ещё нашел сайт автора одного бесплатного(!) полезного скрипта AI-Bolit по поиску вирусов не только на сайте, но и на самом хостинге – рекомендую, если что. Мне не давал покоя описанный выше инцидент, поэтому я решил испытать этот скрипт. Но, к сожалению, он у меня не заработал – то ли хостинг не тот, то ли я где-то ошибся в запуске, не знаю. Но, если не дай Бог, что-то подобное повторится, то буду знать, к кому обратиться, особенно, если учитывать отзывы о скрипте и его авторе.

На этом буду закругляться с повествованием  ;)

Добавлю только пожелание следить за выходом новых статей и несколько советов по уменьшению вероятности подобного происшествия:

  • Не передавайте никому постороннему (даже родственникам и близким!) доступ к админпанели сайта и тем более хостинга. О последнем писал отдельный пост.
  • Не передавайте в открытом виде пароли логины к вашим аккаунтам – их могут перехватить.
  • Не храните эти данные в открытом виде в легкодоступных источниках на вашем или, тем более, общедоступном компьютере.
  • Периодически выполняйте резервное копирование ваших сайтов и баз данных. Не храните эти копии только на хостинге – скачайте и сохраните их на надежном носителе, а лучше двух!
  • Периодически выполняйте проверку сайта на вирусы, особенно если вы что-то на него устанавливали и это что-то чем-то подозрительно.
  • Добавьте ваши сайты в панель вебмастера Яндекса и Гугла – это вам даст большую информированность о работе сайта и его продвижении.
  • Регулярно проверяйте почту на предмет сообщений от поисковых систем (подойдет и мне, каюсь).
  • Если так случилось, что вам пришлось дать кому-то доступ к сайту и/или хостингу для работы над ним, то сразу же смените все пароли к вашим учетным данным – лучше перестраховаться!
  • Если увидели подозрительное поведение сайта, то не затягивайте с решением проблемы! Последствия при затягивании могут быть гораздо серьезнее!

Вот как я нашел вирус на сайте и так его потом обезвредил. Вот такая поучилась катавасия. Кстати, вот статья Яндекса, которая всё подробно разъясняет.

Напоследок это для поднятия настроения. Я конечно тоже умею ездить на велике, но чтобы так!..

Пройдись по кнопочкам, расскажи о статье друзьям - это к деньгам!

Новые статьи блога на Ваш e-mail:

6 комментариев: Как я нашел вирус на сайте

  • Здравствуйте, Алексей. Спасибо за статью. У меня, к сожалению, тоже случилась такая беда – на сайт попала какая-то зараза. Я тоже на какое-то время перестала уделять сайту должное внимание, и вот, пожалуйста! Яндекс считает мой сайт опасным. Разобравшись в вашей статье и посмотрев, какие коды Яндекс предлагает для примера как опасные, я нашла у себя на сайте такие! Но, проблема в том, что я не знаю, где точно они начинаются и заканчиваются. Очень боюсь удалить что-то лишнее.

    • Здравствуйте, Любовь! Посмотрите в статье – там есть картинка в выделенным кодом из хедера, который начинается символами “< ?php" и заканчивается символами "?>“, который зачастую прописывается перед закрывающим тегом “/head “. Чтобы сайт не пострадал после удаления кода, сделайте резервную копию зараженного файла сайта или всего сайта целиком – поищите мою статью с видео о том как это делать. Если сайт “рухнет” *scare* , то вы всегда сможете восстановить “поломанный” файл из резервной копии. :good:

  • Боже, ну прямо триллер какой-то, Но, если честно, за раз все шаги не усекла. Но, если, НЕ ДАЙ БОГ!!, тенкнет – пойду твоими шагами. Блог нельзя оставлять без присмотра. :lol:

    • Лидия, это не триллер – это правда жизни в Интернете… Хотя да, согласен, не дай Бог! Лучше обойтись без таких “приключений”.

  • Рад, что вы разобрались с проблемой:)

Оставить комментарий

Ваш email не будет опубликован. Обязательные поля отмечены *

:) 
*hi* 
;) 
:-( 
:good: 
:aga: 
*blush* 
:negative: 
:yahoo: 
B-) 
*bravo* 
*klass* 
:shock: 
:-)) 
Больше смайлов!..
 
Обменник.ws » Автоматический обмен Webmoney