Вирус на сайте — что делать и наша история

19 января мы получили сообщение от Яндекса: «Яндекс обнаружил на сайте life-trip.ru вредоносный код». После чего в Яндекс.вебмастер появилась пометка: «В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера». В течении 3-4 дней сайт так и висел помеченным, как опасный, хотя все было исправлено пару часов спустя. Некоторые бразузеры так же используют информацию от Яндекса, поэтому они тоже заблокировали наш сайт. Трафик упал в несколько раз и доход соответственно тоже. В эти минуты понимаешь, как плохо, когда завязка идет на один сайт и на поисковой трафик. Чуть что поисковикам не понравилось и все…

Но сейчас уже все в порядке!

Проверка сайта на вирусы онлайн

Немного ссылок в помощь, хотя ни один из антивирусов ничего не показал. И только те сайты, что проверяют наличия сайта в базах опасных сайтов, показали, что Яндекс нас отметил.

http://webmaster.yandex.ru — Яндекс.вебмастер показывает какие страницы заражены
https://www.google.com/webmasters/tools/ — панель вебмастера от Google (в разделе Диагностика/Вредоносные программы
https://www.virustotal.com/ — проверяет, что говорят поисковики и другие системы
http://2ip.ru/site-virus-scaner/ — тоже самое, но проверка только по Гуглу и Яндексу
http://stopbadware.org/home/reportsearch — этот сервис информирует google и mozilla о вирусах
http://vms.drweb.com/online/ — антивирус доктор web, онлайн проверка
http://sitecheck.sucuri.net/scanner/# — проверка на вирусы, в отличии от предыдущего вирус показал
http://antivirus-alarm.ru/proverka/ — проверка по нескольким базам анитивирусов
http://virusscan.jotti.org/ru — проверят только файлы (можно сохранить страницу сайта как html и загрузить ее) по различным антивирусам
http://www.bertal.ru/ — можно посмотреть код страницы вашего сайта, как он видится поисковиками, полезная вещь

А лучше всего написать хостеру, у нас этот вопрос именно так решился. Самостоятельно найти вредоносный код не удалось. Руководства писать никакого не буду, вот здесь неплохо написано об этом.

Основной метод — это просмотреть код страницы на наличие там всякой ерунды, а после проверить все подгружаемые скрипты js и php файлы вашей темы, не изменилось ли внутри них чего, проще всего по размеру файлов смотреть, если добавился туда код, то размер будет больше ,чем у оригиналов. В идеале, нужно проверять вообще все файлы на хостинге, на предмет их изменения, а также появления новых левых файлов. Как вариант, скачать все файлы вашего хостинг-аккаунта себе на комп и проверить несколькими антивирусами, но не факт, что они что-то найдут.

Вирус на сайте - что делать

Вирус на сайте - что делать

Наша история с вирусом

Каким-то образом был изменен jquery.cycle.js в нашем wordpress шаблоне. После его удаления и закачки из бекапа, хостер сказал, что вредоносных кодов больше нет. Достаточно оперативно все произошло. Проблема скорее всего была не серьезная, скорее это не вирус, а просто вредительство, иначе бы пришлось бы дольше возиться. Начитался разных историй, как народ вычищает вирус, а он опять появляется.

Как это произошло с нашим блогом, осталось загадкой. Если бы я сохранял пароли для ftp Total Commander, было бы понятно откуда ноги растут, но я знаю, что этого делать нельзя.

В тот же день я сменил пароли на всех блогах, на ftp-аккаунте и хостинге, у sql- баз сайтов и прогнал ноутбук двумя антивирусами. Надеюсь, что больше не проскочит ничего. Но нужно будет еще почитать на эту тему.

Вполне может быть, что проблема была и в том, что у нас в шаблоне загрузка jquery идет с ajax.googleapis.com, даже на хабре эта тема всплыла, причем почти в тот же день, что наводит на размышления. Скачал на всякий случай jquery на хостинг, чтобы он подгружался оттуда.

Перепроверка сайта Яндексом

Подал на перепроверку в Яндекс.вебмастер: «Оставлена заявка (19.03.2012 00:00) на перепроверку сайта, она займет несколько дней.» И только на 4-й день произошла эта долгожданная перепровека. У кого-то, судя по форумам, она может и через месяц произойти, а у кого-то и через 2 часа.

Что советуют для ускорения:

— Написал в техподдержку в тот же день, но ответили они только через 4 дня, как раз вместе со снятием блокировки.
— Нужно привлечь внимание ботов, поэтому я выпустил две статьи на этой неделе.
— Еще внимание ботов можно привлечь через этот сервис http://www.imtalk.org/ или по каким-нибудь соц закладкам прогнать, но этого сделать не успел.

Вот как-то так. Надеюсь что-то из написанного поможет в борьбе с вирусами. Что-то в последнее время атаки стали более частными явлениями :(

Поддержи в соцсетях!

Поблагодарить

Сказать спасибо

Комментарии приветствуются! (уже 48)

  • Avatar

    razvoz

    |

    Похожая проблема возникла у друга на сайте.. Решил он ее за 20$ найдя подходящего спеца.

    Не первый раз сталкиваясь с подобными проблемами, поделюсь своими выводами.
    1) Необходимо хотя бы примерно понимать назначения скриптов, которые прописанны у вас на сайте. Тогда будет проще понять, что с какими то из них проблема.
    2) Если вас пометили как «опасного», будет очень полезно узнать, а куда и какие запросы посылает ваш сайт. Нет ли каких то новых и очень странных запросов.
    Для этого необходимо запустить консоль и при перезагрезке страницы посмотреть все обращения вашего сайта. В хроме предустановлен плагин разработчика(вызвать его можно при помощи горячих клавиш shift+ctrl+I) там в закладке Console и будут все обращения вашего сайта. Для других браузеров можно установить плагин FireBug. Вредоносный скрипт скорее всего просветится в консоле.. Но, есть один нюанс! Скорее всего светиться он там будет всего пару перезагрузок сайта, потом спрячется по этому не проморгайте)
    3) Чаще всего местами заражения сайта могут быть встроенные текстовые редакторы. Найдя дырки в редаторе, в нем можно вписать вредоносный код, который после выполнения подгрузит вирус или что то подобное.
    Если у вас на сайте стоит регулярно обновляемый редактор и вы переодически обновляете его, то скорее всего подобной проблемы не будет.
    4) Ну и еще один очень полезный совет — регулярно делайте бекапы своего сайта и базы данных, убедившись, что сайт полностью работоспособен. Имея бекапы вы всегда сможете «откатить» сайт в работоспособное состояние.

    И самый главный момент, который защитит вас от всего ) Помните о карме )))) просто так, даже кошки не родятся ))))))

    Reply

    • Avatar

      Geleosan

      |

      Спасибо за обстоятельный коммент!

      По пунктам спрошу:
      1. Ведь можно просто сравнить размер всех скриптов на хостинге и в рабочем бекапе и так вычислить левак?
      2. Что я не увидел в firebug обращения сайта. Только один get запрос и все…

      Reply

      • Avatar

        razvoz

        |

        1) тоже хороший вариант ;) и мы оба сошлись в том, что бекапы делать НАДО!
        2) про «один get запрос» не совсем понял.. возможно вы имели в виду «однИ».

        В любом случае, «левые» обращения там будут видны.
        У моего друга таким образом выявили скрипт, который сливал трафик с его сайта на другой )

        Reply

        • Avatar

          Geleosan

          |

          1. По любому! Я два года делал и все думал, зачем? И вот теперь понял :)
          2. У меня при загрузке блог много куда обращается, подгружаются виджеты соц сетей, формы поиска билетов и отелей, счетчики всякие. Так вот в консоли только один запрос появляется всего…

          Reply

  • Avatar

    Гиль

    |

    На одном из моих сайтов столкнулся с той же проблемой, вредоносный код чаще всего внедрен в шаблон или плагин и могут пройти месяцы пока злоумышленики нажмут на кнопочку и ваш сайт начнет себя плохо вести а заодно и попадет в бан листы антивирусных компаний.
    После этого случая я всегда проверяю новые плагины и шаблоны которые закачиваю на сайт с помощью virustotal авот еще ссылочка http://sitecheck.sucuri.net/scanner/# которая помогает найти где вредоносный код прописан.
    А так вы правы , нельзя завязываться на одном проэкте, особенно когда это уже не хобби а источник заработка.

    Reply

    • Avatar

      Geleosan

      |

      Спасибо, очень помогла ваша ссылочка, по ходу единственно рабочий антивирус в сети.

      Reply

  • Avatar

    blogveselova.ru

    |

    история неприятная, был у меня тоже заражен один из сайтов, прописался закодированный код, который вызывал окно с подтверждением о заходе на сайт и таким образом я должны была потерять индексацию сайта, выручил саппорт, с тех пор больше не храню пароли в фтп-клиенте и вам никому не советую

    Reply

  • Avatar

    mallet

    |

    Ага, у меня на днях такая же фигня была. Причем вирус объявился на всех сайтах аккаунта, хотя они были на четырех разных движках. Хостер мне ничем не смог помочь, сам я не нашел ничего, двое суток бился без продыху. Изменений в файлах не нашел никаких, анализ логов тоже ничего не дал, все было чисто, но червь откуда-то подгружался и все тут. В результате решил проблему откатом файловой системы всех сайтов, так и не найдя никаких изменений в файлах. Мистика. Поменял все пароли и явки и теперь вот думаю — а так ли чист и надежен мой хостер? Было неприятно, когда техподдержка отказалась мне помочь в поиске вируса, хотя они, собственно, и не обязаны.
    Яндекс прилепил ярлык вредного только одному из восьми сайтов и уже пятый день не снимает.

    Reply

    • Avatar

      Geleosan

      |

      Только ждать остается, пока яндекс перепроверить, и как-то попытаться внимание ботов привлечь, если конечно это помогает. Мне кажется, что откат на резервную копию самый быстрый и безболезненный способ… Главное, чтобы не повторялось.

      Reply

  • Avatar

    natkalin

    |

    После подхваченного вируса в прошлом году узнала, что, оказывается, есть программка для ограничения доступа для динамического ip. Поставила и забыла про вирусы. А бэкапить, конечно, нужно — хостеры тоже не вечные.

    Reply

    • Avatar

      Geleosan

      |

      Что за программа, как называется? И не совсем понял, она ограничивает пользователей, у которых динамический айпи? Просто пол-мира на таких айпи…

      Reply

      • Avatar

        natkalin

        |

        Это примочка моего хостинга. Программа определяет мой личный ip на данный момент и разрешает доступ FTP только для него. Спрашивайте своих хостеров, наверняка у них есть свои способы защиты.

        Reply

        • Avatar

          Geleosan

          |

          А, понял, надо будет узнать :)

          Reply

  • Avatar

    Елена

    |

    Ничего в этом не понимаю, но расстроилась тогда за вас. Раз, другой, третий захожу, и всё ерунда эта — вирус.

    Reply

    • Avatar

      Geleosan

      |

      На самом деле, когда вы заходили вируса уже не было. Теперь то я знаю, что все эти яндексы и браузеры могут говорить, что сайт опасный, хотя все уже давно вылечили :)

      Reply

  • Avatar

    Самостоятельный путешественник

    |

    Олег, поставь себе плагин для WP, который проверяет целостность файлов. То есть если кто-то внедрит тебе вредоносный код на сайте, ты в админке сразу же увидишь в какой файл добавили вирус. Могу тебе скинуть его на почту.

    Reply

    • Avatar

      Geleosan

      |

      О, такой плагин есть оказывается. Да, прям сюда его название напиши, и я скачаю его.

      Reply

    • Avatar

      sputnik1818

      |

      Так озвучь название плагина :)

      Reply

      • Avatar

        Geleosan

        |

        Правда он только php файлы хеширует, а JS нет. Но уже хорошо :)

        Reply

        • Avatar

          mallet

          |

          Вот именно, что проблема чаще всего в джава скриптах, а не в пхп. Но плагин поставлю, попробую.

          Reply

  • Avatar

    Олли

    |

    Мне месяц назад тоже сайт ломали и кучу вирусов посадили. При этом все наши антивирусники молчали, как партизаны, а о вирусе сообщили с другого сайта, который наш стал атаковать :) Потом и Яндекс пометил. Всё вычистили, в Яндекс сообщили и уже в тот же день с нас сняли пометку заражённого. Но у нас с Яндексом отношения немножко другие — мы им постоянно пишем, так что у нас с ними связь, так сказать, налажена :)

    А вообще, я на почве взлома своего сайта (другого взлома, не того, когда вирусы посадили :)) познакомилась с хакером, который этим деньги зарабатывает. Он сайт ломает при помощи специального софта, а сам даже не программер, и потом продаёт уязвимости владельцам, а если владелец не покупает, то продаёт доступ на сайт другим. Так что дело на поток поставлено :) Берегите свои сайты :)

    Reply

    • Avatar

      Самостоятельный путешественник

      |

      И как же их беречь? 100 % гарантии не дает даже страховой полис.

      Reply

      • Avatar

        Олли

        |

        Ага :) Но бдительности лучше не терять :)

        Reply

    • Avatar

      Geleosan

      |

      Ого, какие вещи неприятные происходят… Я боюсь, что обычным блоггерам особо не спастись от вирусов, это надо самому хакером быть. Поэтому самый простой вариант — бекапиться почаще.

      У меня лежит зараженный Js скрипт на компе, так его не один антивирус не распознал, да и сам я не понимаю что в нем написано внутри. Хорошо что есть оригинальная версия, и можно сравнить содержимое на предмет отличия.

      Reply

      • Avatar

        Олли

        |

        Ты понимаешь, дело не в бекапе, а в наличии уязвимости :( Ну, снесёшь заражённый файл, поставишь из бекапа, а уязвимость-то останется :( Он снова ломанёт. Поэтому когда мне хакер написал про взлом и потребовал 200$ за уязвимость, я его по аське разговорами отвлекала, а муж-программер быстро уязвимость нашёл и заделал :)

        Reply

        • Avatar

          Самостоятельный путешественник

          |

          Дело в том, что АБСОЛЮТНО ВСЕ сайты уязвимы. Особенно CMS типа WordPress и другие. Тут вопрос надо ставить по-другому — если именно ваш сайт захотят взломать — его взломают, не смотря ни на какие меры предосторожности. Это как в жизни оффлайн — если профессиональные воры захотят обчистить вашу квартиру, они это обязательно сделают. И никакие хитроумные замки вам не помогут. Дело в мотивации негодяев, которые решили покуситься на ваше имущество. :)

          Reply

        • Avatar

          Geleosan

          |

          Ага, видишь муж программер. Где мне такого взять? )) Жена у меня не программер ни разу, да и я сам тоже. Так что либо платить кому-то, кто будет уязвимости убирать, либо бекапится. К тому же, если сайт ломанут несколько раз по одному и тому же месту, то наверное можно будет попробовать логически прикинуть как и чего…А так то, конечно, верно ты говоришь.

          Reply

          • Avatar

            Олли

            |

            > Ага, видишь муж программер. Где мне такого взять? ))

            Не знаю, своего точно не отдам :) Насчёт того, что ломают в одном и том же месте, нас ломали в разных местах: и через базу данных, и через фавикон, а дос-атаки вообще регулярные, как часы. Хакер тот рассказывал, как подкупал авторов на сайтах, где статьи размещают несколько разных человек, чтобы они в свои статьи заражённые картинки вставляли, а потом делился с ними полученными за выкуп уязвимости деньгами.

            Как правильно заметил Самостоятельный путешественник, если захотят, всё равно взломают :( На мелкие сайты обычно внимания не обращают, ждут когда подрастёшь, а чуть выбиваешься из общей массы, так всё, жди атаки :(

            Reply

            • Avatar

              Самостоятельный путешественник

              |

              А если не секрет ваш сайт с какой суточной посещаемостью взламывали? И на чем он — на самописном движке (все-таки муж программер) или на CMS?

              Reply

              • Avatar

                Олли

                |

                Сайт у нас на переписанном и видоизменённом Ворпрессе :) Уязвимости образовались после того, как мы добавили «Открытую редакцию» — место, где каждый может залогиниться и добавить свою новость с картинкой. Во время тестовой работы нас и ломанули :(
                Посещаемость от 3 до 20 тысяч человек в день, такой разброс из-за того, что сайт сильно зависит от Яндекс.Новостей — если новость топовая, то одновременно её могут читать до 600 человек. Всё тот же хакер говорил, что ломает сайты «от 100 000», только не уточнил, это посещаемость в месяц, просмотры за сутки или что-то другое.

                Reply

  • Avatar

    solt

    |

    В свое время тоже столкнулась с этой проблемой. Жалко не увидела ваш пост раньше…ковыряния в интернете не помогли, пришлось платить деньги тому, кто знает как бороться с вирусами.

    Reply

  • Avatar

    Игорь

    |

    Пользуюсь движком DataLife Engine.
    Посещаемость сайта 10 тысяч в сутки (в среднем).
    Раз в день делаю бэкап базы и скачиваю новые картинки. Однажды мне это помогло восстановить сайт после пожара датацентра.
    Сайт слава богу не взламывали. Однажды было сообщение, что в модуле форума есть уязвимость. Я её быстро исправил. Кстати форум не отдельно, а внедрён в движок. Поэтому юзеры размещают сообщения и также у них есть возможность публиковать статьи.
    Последнее время воспользовался jquery и на отдельные скрипты идет подгрузка с ajax.googleapis.com. Через некоторое время в хтмл-код главный файлов шаблона стал периодически внедряться левый скрипт. Я его подтираю, но как он внедряется не могу понять. В будущем наведу генеральную уборку, а пока буду подтирать.

    Reply

  • Avatar

    Freem

    |

    В текущий момент времени антивирус MSE при заходе на сайте ругается на Exploit:JS/Blacode.AR

    Категория: Эксплойт
    Описание: Эта опасная программа применяется для атаки компьютера, на котором она установлена.
    Рекомендуемое действие: Немедленно удалите это программное обеспечение

    Reply

    • Avatar

      Geleosan

      |

      Сейчас? На нашем сайте?

      Reply

      • Avatar

        Freem

        |

        Да, утром было. Странно, но сейчас уже нет. Почистил кэш браузеров, попробовал ещё разок — тишина. MSE вроде бы не создаёт правила, а просто помечает в журнале…

        Reply

        • Avatar

          Geleosan

          |

          Скорее всего это кеш. Мне уже кто-то писал, что мол показывает, а после обновления страницы или же очистки кеша, все ок. А что это за антивирус? У меня Nod32 и Lavasoft Adware, и оба ничего не показали.

          Reply

  • Avatar

    Geleosan

    |

    Нас сегодня опять взломали. Мда, что-то с кармой не в порядке видимо.

    Reply

    • Avatar

      Олли

      |

      А теперь постоянно будут ломать. В том же месте? Уязвимость зафиксировали?

      Reply

      • Avatar

        Geleosan

        |

        Нет не зафиксировали, куда там. Место другое — были изменены .htaccess на все сайтах. Кароче, изучаю этот вопрос.

        Reply

  • Avatar

    ivvva

    |

    У меня такая фигня была с обычным сайтом на голом html. Тоже какая-то левая строчка прописалась со скриптами. Причина все та же — сохраненные пароли в ФАРе. А может сессия была открыта, не знаю.
    Кругом враги! Кругом!

    Reply

  • Avatar

    Uriy

    |

    Вирус не вирус))А у меня Какие то Пакистанцы разместили свой скриптик маленький так сайт на главной вісвечивал))Свободу Пакистану! Анархия и зеленіе значки под музыку)))
    п.с. Статья интересная)

    Reply

    • Avatar

      Geleosan

      |

      Ого! Но такое хоть сразу заметно. Я же от Яндекса узнал, что что-то не в порядке и потом дни ушли на поиски вредительства :)

      Reply

  • Avatar

    Pan_Hrabio

    |

    Мой сайт пока еще никто не трогал. :)

    Но я столкнулся с немного другой проблемой: на мой сайт появились ссылки с завирусованных мошеннических файлообменников. Как того и следовало ожидать, Яндексу это вовсе не понравилось. Хотя по-настоящему серьезных санкций пока не наблюдаю.

    Reply

    • Avatar

      Anderstender

      |

      Если серьезных санкций пока нет, то по каким признакам стало видно, что Яндексу не нравится? Теоретически поисковику должно быть без разницы, кто на Вас ссылается, лишь бы от Вас не было исходящих неправильных ссылок.

      Reply

Оставить комментарий

Кратко обо мне

Однажды я решил уволиться и начать осуществлять свои мечты. Теперь путешествия - это моя работа.

Все реально! Несмотря ни на что...

Статистика

Вне офиса: 6 лет 9 месяцев

Статей в блоге: 1180
Фотографий: 17093
Комментариев: 49693

Яндекс.Метрика

Нашли ошибку?

Выделите ее мышкой и нажмите:

Система Orphus