Вирус на сайте — что делать и моя история

Скидка 25% на тур страховку!

Медицина заграницей очень дорогая, спасает только тур страховка. Работающие и недорогие - на этом сайте, там есть скидка и оплата российской картой.

Подороже и получше оформить страховку этой компании, есть оплата росс картой.

Страховки со скидкой →

19 января я получил сообщение от Яндекса: «Яндекс обнаружил на сайте life-trip.ru вредоносный код». После чего в Яндекс.вебмастер появилась пометка: «В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера». В течении 3-4 дней сайт так и висел помеченным, как опасный, хотя все было исправлено пару часов спустя. Некоторые бразузеры так же используют информацию от Яндекса, поэтому они тоже заблокировали мой сайт. Трафик упал в несколько раз и доход соответственно тоже. В эти минуты понимаешь, как плохо, когда завязка идет на один сайт и на поисковой трафик. Чуть что поисковикам не понравилось и все…

Но сейчас уже все в порядке!

Проверка сайта на вирусы онлайн

Немного ссылок в помощь, хотя ни один из антивирусов ничего не показал. И только те сайты, что проверяют наличия сайта в базах опасных сайтов, показали, что Яндекс меня отметил.

http://webmaster.yandex.ru — Яндекс.вебмастер показывает какие страницы заражены
https://www.google.com/webmasters/tools/ — панель вебмастера от Google (в разделе Диагностика/Вредоносные программы
https://www.virustotal.com/ — проверяет, что говорят поисковики и другие системы
http://2ip.ru/site-virus-scaner/ — тоже самое, но проверка только по Гуглу и Яндексу
https://www.stopbadware.org/clearinghouse/search — этот сервис информирует google и mozilla о вирусах
http://vms.drweb.com/online/ — антивирус доктор web, онлайн проверка
http://sitecheck.sucuri.net/scanner/# — проверка на вирусы, в отличии от предыдущего вирус показал
http://antivirus-alarm.ru/proverka/ — проверка по нескольким базам анитивирусов
http://virusscan.jotti.org/ru — проверят только файлы (можно сохранить страницу сайта как html и загрузить ее) по различным антивирусам
http://www.bertal.ru/ — можно посмотреть код страницы вашего сайта, как он видится поисковиками, полезная вещь

А лучше всего написать хостеру, у меня этот вопрос именно так решился. Самостоятельно найти вредоносный код не удалось. Руководства писать никакого не буду, вот здесь неплохо написано об этом.

Основной метод — это просмотреть код страницы на наличие там всякой ерунды, а после проверить все подгружаемые скрипты js и php файлы вашей темы, не изменилось ли внутри них чего, проще всего по размеру файлов смотреть, если добавился туда код, то размер будет больше ,чем у оригиналов. В идеале, нужно проверять вообще все файлы на хостинге, на предмет их изменения, а также появления новых левых файлов. Как вариант, скачать все файлы вашего хостинг-аккаунта себе на комп и проверить несколькими антивирусами, но не факт, что они что-то найдут.

Вирус на сайте - что делать
Вирус на сайте — что делать

Моя история с вирусом

Каким-то образом был изменен jquery.cycle.js в моем wordpress шаблоне. После его удаления и закачки из бекапа, хостер сказал, что вредоносных кодов больше нет. Достаточно оперативно все произошло. Проблема скорее всего была не серьезная, скорее это не вирус, а просто вредительство, иначе бы пришлось бы дольше возиться. Начитался разных историй, как народ вычищает вирус, а он опять появляется.

Бронь отелей на российских сайтах:

Из-за санкций отели придется бронировать на российских сайтах. Этот сайт с самой большой зарубежной базой отелей. Сервис принимает российские карты, по сути аналог Booking.

Как это произошло с моим блогом, осталось загадкой. Если бы я сохранял пароли для ftp Total Commander, было бы понятно откуда ноги растут, но я знаю, что этого делать нельзя.

В тот же день я сменил пароли на всех блогах, на ftp-аккаунте и хостинге, у sql- баз сайтов и прогнал ноутбук двумя антивирусами. Надеюсь, что больше не проскочит ничего. Но нужно будет еще почитать на эту тему.

Вполне может быть, что проблема была и в том, что у меня в шаблоне загрузка jquery идет с ajax.googleapis.com, даже на хабре эта тема всплыла, причем почти в тот же день, что наводит на размышления. Скачал на всякий случай jquery на хостинг, чтобы он подгружался оттуда.

Перепроверка сайта Яндексом

Подал на перепроверку в Яндекс.вебмастер: «Оставлена заявка (19.03.2012 00:00) на перепроверку сайта, она займет несколько дней.» И только на 4-й день произошла эта долгожданная перепровека. У кого-то, судя по форумам, она может и через месяц произойти, а у кого-то и через 2 часа.

Что советуют для ускорения:

— Написал в техподдержку в тот же день, но ответили они только через 4 дня, как раз вместе со снятием блокировки.
— Нужно привлечь внимание ботов, поэтому я выпустил две статьи на этой неделе.

Вот как-то так. Надеюсь что-то из написанного поможет в борьбе с вирусами. Что-то в последнее время атаки стали более частными явлениями :(

Рейтинг тур страховок!

Выбрать работающую страховку в Таиланде сейчас очень сложно, поэтому я сделал выжимку с форумов и отзывов - ТОП страховок.

ТОП страховок →
Отдых в Таиланде и Сочи
Добавить комментарий

  1. Pan_Hrabio

    Мой сайт пока еще никто не трогал. :)

    Но я столкнулся с немного другой проблемой: на мой сайт появились ссылки с завирусованных мошеннических файлообменников. Как того и следовало ожидать, Яндексу это вовсе не понравилось. Хотя по-настоящему серьезных санкций пока не наблюдаю.

    Ответить
    1. Anderstender

      Если серьезных санкций пока нет, то по каким признакам стало видно, что Яндексу не нравится? Теоретически поисковику должно быть без разницы, кто на Вас ссылается, лишь бы от Вас не было исходящих неправильных ссылок.

      Ответить
  2. Uriy

    Вирус не вирус))А у меня Какие то Пакистанцы разместили свой скриптик маленький так сайт на главной вісвечивал))Свободу Пакистану! Анархия и зеленіе значки под музыку)))
    п.с. Статья интересная)

    Ответить
    1. Олег Лажечников автор

      Ого! Но такое хоть сразу заметно. Я же от Яндекса узнал, что что-то не в порядке и потом дни ушли на поиски вредительства :)

      Ответить
  3. ivvva

    У меня такая фигня была с обычным сайтом на голом html. Тоже какая-то левая строчка прописалась со скриптами. Причина все та же — сохраненные пароли в ФАРе. А может сессия была открыта, не знаю.
    Кругом враги! Кругом!

    Ответить
  4. Олег Лажечников автор

    Нас сегодня опять взломали. Мда, что-то с кармой не в порядке видимо.

    Ответить
    1. Олли

      А теперь постоянно будут ломать. В том же месте? Уязвимость зафиксировали?

      Ответить
      1. Олег Лажечников автор

        Нет не зафиксировали, куда там. Место другое — были изменены .htaccess на все сайтах. Кароче, изучаю этот вопрос.

        Ответить
  5. Freem

    В текущий момент времени антивирус MSE при заходе на сайте ругается на Exploit:JS/Blacode.AR

    Категория: Эксплойт
    Описание: Эта опасная программа применяется для атаки компьютера, на котором она установлена.
    Рекомендуемое действие: Немедленно удалите это программное обеспечение

    Ответить
    1. Олег Лажечников автор

      Сейчас? На нашем сайте?

      Ответить
      1. Freem

        Да, утром было. Странно, но сейчас уже нет. Почистил кэш браузеров, попробовал ещё разок — тишина. MSE вроде бы не создаёт правила, а просто помечает в журнале…

        Ответить
        1. Олег Лажечников автор

          Скорее всего это кеш. Мне уже кто-то писал, что мол показывает, а после обновления страницы или же очистки кеша, все ок. А что это за антивирус? У меня Nod32 и Lavasoft Adware, и оба ничего не показали.

          Ответить
          1. Freem

            Может быть. Microsoft Security Essentials — бесплатный «малыш» от MS, который будет интегрирован в Win8, заменив собой Windows Defender :)

          2. razvoz

            Microsoft Security Essentials

            Тоже поймал предупреждения…
            Вот что нашлось:

            P>S> Заметил странный косяк, не сабмитятся коментарии с первого раза..

          3. Олег Лажечников автор

            Попробую им потестить. И это не косяк, это модерация комментов, если они содержат ссылку. А то блин, иногда могут наоствлять фигню какую-нибудь.

  6. Игорь

    Пользуюсь движком DataLife Engine.
    Посещаемость сайта 10 тысяч в сутки (в среднем).
    Раз в день делаю бэкап базы и скачиваю новые картинки. Однажды мне это помогло восстановить сайт после пожара датацентра.
    Сайт слава богу не взламывали. Однажды было сообщение, что в модуле форума есть уязвимость. Я её быстро исправил. Кстати форум не отдельно, а внедрён в движок. Поэтому юзеры размещают сообщения и также у них есть возможность публиковать статьи.
    Последнее время воспользовался jquery и на отдельные скрипты идет подгрузка с ajax.googleapis.com. Через некоторое время в хтмл-код главный файлов шаблона стал периодически внедряться левый скрипт. Я его подтираю, но как он внедряется не могу понять. В будущем наведу генеральную уборку, а пока буду подтирать.

    Ответить
  7. solt

    В свое время тоже столкнулась с этой проблемой. Жалко не увидела ваш пост раньше…ковыряния в интернете не помогли, пришлось платить деньги тому, кто знает как бороться с вирусами.

    Ответить
  8. Олли

    Мне месяц назад тоже сайт ломали и кучу вирусов посадили. При этом все наши антивирусники молчали, как партизаны, а о вирусе сообщили с другого сайта, который наш стал атаковать :) Потом и Яндекс пометил. Всё вычистили, в Яндекс сообщили и уже в тот же день с нас сняли пометку заражённого. Но у нас с Яндексом отношения немножко другие — мы им постоянно пишем, так что у нас с ними связь, так сказать, налажена :)

    А вообще, я на почве взлома своего сайта (другого взлома, не того, когда вирусы посадили :)) познакомилась с хакером, который этим деньги зарабатывает. Он сайт ломает при помощи специального софта, а сам даже не программер, и потом продаёт уязвимости владельцам, а если владелец не покупает, то продаёт доступ на сайт другим. Так что дело на поток поставлено :) Берегите свои сайты :)

    Ответить
    1. Самостоятельный путешественник

      И как же их беречь? 100 % гарантии не дает даже страховой полис.

      Ответить
      1. Олли

        Ага :) Но бдительности лучше не терять :)

        Ответить
    2. Олег Лажечников автор

      Ого, какие вещи неприятные происходят… Я боюсь, что обычным блоггерам особо не спастись от вирусов, это надо самому хакером быть. Поэтому самый простой вариант — бекапиться почаще.

      У меня лежит зараженный Js скрипт на компе, так его не один антивирус не распознал, да и сам я не понимаю что в нем написано внутри. Хорошо что есть оригинальная версия, и можно сравнить содержимое на предмет отличия.

      Ответить
      1. Олли

        Ты понимаешь, дело не в бекапе, а в наличии уязвимости :( Ну, снесёшь заражённый файл, поставишь из бекапа, а уязвимость-то останется :( Он снова ломанёт. Поэтому когда мне хакер написал про взлом и потребовал 200$ за уязвимость, я его по аське разговорами отвлекала, а муж-программер быстро уязвимость нашёл и заделал :)

        Ответить
        1. Самостоятельный путешественник

          Дело в том, что АБСОЛЮТНО ВСЕ сайты уязвимы. Особенно CMS типа WordPress и другие. Тут вопрос надо ставить по-другому — если именно ваш сайт захотят взломать — его взломают, не смотря ни на какие меры предосторожности. Это как в жизни оффлайн — если профессиональные воры захотят обчистить вашу квартиру, они это обязательно сделают. И никакие хитроумные замки вам не помогут. Дело в мотивации негодяев, которые решили покуситься на ваше имущество. :)

          Ответить
        2. Олег Лажечников автор

          Ага, видишь муж программер. Где мне такого взять? )) Жена у меня не программер ни разу, да и я сам тоже. Так что либо платить кому-то, кто будет уязвимости убирать, либо бекапится. К тому же, если сайт ломанут несколько раз по одному и тому же месту, то наверное можно будет попробовать логически прикинуть как и чего…А так то, конечно, верно ты говоришь.

          Ответить
          1. Олли

            > Ага, видишь муж программер. Где мне такого взять? ))

            Не знаю, своего точно не отдам :) Насчёт того, что ломают в одном и том же месте, нас ломали в разных местах: и через базу данных, и через фавикон, а дос-атаки вообще регулярные, как часы. Хакер тот рассказывал, как подкупал авторов на сайтах, где статьи размещают несколько разных человек, чтобы они в свои статьи заражённые картинки вставляли, а потом делился с ними полученными за выкуп уязвимости деньгами.

            Как правильно заметил Самостоятельный путешественник, если захотят, всё равно взломают :( На мелкие сайты обычно внимания не обращают, ждут когда подрастёшь, а чуть выбиваешься из общей массы, так всё, жди атаки :(

          2. Самостоятельный путешественник

            А если не секрет ваш сайт с какой суточной посещаемостью взламывали? И на чем он — на самописном движке (все-таки муж программер) или на CMS?

          3. Олли

            Сайт у нас на переписанном и видоизменённом Ворпрессе :) Уязвимости образовались после того, как мы добавили «Открытую редакцию» — место, где каждый может залогиниться и добавить свою новость с картинкой. Во время тестовой работы нас и ломанули :(
            Посещаемость от 3 до 20 тысяч человек в день, такой разброс из-за того, что сайт сильно зависит от Яндекс.Новостей — если новость топовая, то одновременно её могут читать до 600 человек. Всё тот же хакер говорил, что ломает сайты «от 100 000», только не уточнил, это посещаемость в месяц, просмотры за сутки или что-то другое.

  9. Самостоятельный путешественник

    Олег, поставь себе плагин для WP, который проверяет целостность файлов. То есть если кто-то внедрит тебе вредоносный код на сайте, ты в админке сразу же увидишь в какой файл добавили вирус. Могу тебе скинуть его на почту.

    Ответить
    1. Олег Лажечников автор

      О, такой плагин есть оказывается. Да, прям сюда его название напиши, и я скачаю его.

      Ответить
    2. sputnik1818

      Так озвучь название плагина :)

      Ответить
      1. Олег Лажечников автор

        belavir называется, вот тут можно скачать:

        http://blog.portal.kharkov.ua/2008/06/27/belavir/

        Ответить
      2. Олег Лажечников автор

        Правда он только php файлы хеширует, а JS нет. Но уже хорошо :)

        Ответить
        1. mallet

          Вот именно, что проблема чаще всего в джава скриптах, а не в пхп. Но плагин поставлю, попробую.

          Ответить
  10. Елена

    Ничего в этом не понимаю, но расстроилась тогда за вас. Раз, другой, третий захожу, и всё ерунда эта — вирус.

    Ответить
    1. Олег Лажечников автор

      На самом деле, когда вы заходили вируса уже не было. Теперь то я знаю, что все эти яндексы и браузеры могут говорить, что сайт опасный, хотя все уже давно вылечили :)

      Ответить
  11. natkalin

    После подхваченного вируса в прошлом году узнала, что, оказывается, есть программка для ограничения доступа для динамического ip. Поставила и забыла про вирусы. А бэкапить, конечно, нужно — хостеры тоже не вечные.

    Ответить
    1. Олег Лажечников автор

      Что за программа, как называется? И не совсем понял, она ограничивает пользователей, у которых динамический айпи? Просто пол-мира на таких айпи…

      Ответить
      1. natkalin

        Это примочка моего хостинга. Программа определяет мой личный ip на данный момент и разрешает доступ FTP только для него. Спрашивайте своих хостеров, наверняка у них есть свои способы защиты.

        Ответить
        1. Олег Лажечников автор

          А, понял, надо будет узнать :)

          Ответить
  12. mallet

    Ага, у меня на днях такая же фигня была. Причем вирус объявился на всех сайтах аккаунта, хотя они были на четырех разных движках. Хостер мне ничем не смог помочь, сам я не нашел ничего, двое суток бился без продыху. Изменений в файлах не нашел никаких, анализ логов тоже ничего не дал, все было чисто, но червь откуда-то подгружался и все тут. В результате решил проблему откатом файловой системы всех сайтов, так и не найдя никаких изменений в файлах. Мистика. Поменял все пароли и явки и теперь вот думаю — а так ли чист и надежен мой хостер? Было неприятно, когда техподдержка отказалась мне помочь в поиске вируса, хотя они, собственно, и не обязаны.
    Яндекс прилепил ярлык вредного только одному из восьми сайтов и уже пятый день не снимает.

    Ответить
    1. Олег Лажечников автор

      Только ждать остается, пока яндекс перепроверить, и как-то попытаться внимание ботов привлечь, если конечно это помогает. Мне кажется, что откат на резервную копию самый быстрый и безболезненный способ… Главное, чтобы не повторялось.

      Ответить
  13. blogveselova.ru

    история неприятная, был у меня тоже заражен один из сайтов, прописался закодированный код, который вызывал окно с подтверждением о заходе на сайт и таким образом я должны была потерять индексацию сайта, выручил саппорт, с тех пор больше не храню пароли в фтп-клиенте и вам никому не советую

    Ответить
  14. Гиль

    На одном из моих сайтов столкнулся с той же проблемой, вредоносный код чаще всего внедрен в шаблон или плагин и могут пройти месяцы пока злоумышленики нажмут на кнопочку и ваш сайт начнет себя плохо вести а заодно и попадет в бан листы антивирусных компаний.
    После этого случая я всегда проверяю новые плагины и шаблоны которые закачиваю на сайт с помощью virustotal авот еще ссылочка http://sitecheck.sucuri.net/scanner/# которая помогает найти где вредоносный код прописан.
    А так вы правы , нельзя завязываться на одном проэкте, особенно когда это уже не хобби а источник заработка.

    Ответить
    1. Олег Лажечников автор

      Спасибо, очень помогла ваша ссылочка, по ходу единственно рабочий антивирус в сети.

      Ответить
  15. razvoz

    Похожая проблема возникла у друга на сайте.. Решил он ее за 20$ найдя подходящего спеца.

    Не первый раз сталкиваясь с подобными проблемами, поделюсь своими выводами.
    1) Необходимо хотя бы примерно понимать назначения скриптов, которые прописанны у вас на сайте. Тогда будет проще понять, что с какими то из них проблема.
    2) Если вас пометили как «опасного», будет очень полезно узнать, а куда и какие запросы посылает ваш сайт. Нет ли каких то новых и очень странных запросов.
    Для этого необходимо запустить консоль и при перезагрезке страницы посмотреть все обращения вашего сайта. В хроме предустановлен плагин разработчика(вызвать его можно при помощи горячих клавиш shift+ctrl+I) там в закладке Console и будут все обращения вашего сайта. Для других браузеров можно установить плагин FireBug. Вредоносный скрипт скорее всего просветится в консоле.. Но, есть один нюанс! Скорее всего светиться он там будет всего пару перезагрузок сайта, потом спрячется по этому не проморгайте)
    3) Чаще всего местами заражения сайта могут быть встроенные текстовые редакторы. Найдя дырки в редаторе, в нем можно вписать вредоносный код, который после выполнения подгрузит вирус или что то подобное.
    Если у вас на сайте стоит регулярно обновляемый редактор и вы переодически обновляете его, то скорее всего подобной проблемы не будет.
    4) Ну и еще один очень полезный совет — регулярно делайте бекапы своего сайта и базы данных, убедившись, что сайт полностью работоспособен. Имея бекапы вы всегда сможете «откатить» сайт в работоспособное состояние.

    И самый главный момент, который защитит вас от всего ) Помните о карме )))) просто так, даже кошки не родятся ))))))

    Ответить
    1. Олег Лажечников автор

      Спасибо за обстоятельный коммент!

      По пунктам спрошу:
      1. Ведь можно просто сравнить размер всех скриптов на хостинге и в рабочем бекапе и так вычислить левак?
      2. Что я не увидел в firebug обращения сайта. Только один get запрос и все…

      Ответить
      1. razvoz

        1) тоже хороший вариант ;) и мы оба сошлись в том, что бекапы делать НАДО!
        2) про «один get запрос» не совсем понял.. возможно вы имели в виду «однИ».

        В любом случае, «левые» обращения там будут видны.
        У моего друга таким образом выявили скрипт, который сливал трафик с его сайта на другой )

        Ответить
        1. Олег Лажечников автор

          1. По любому! Я два года делал и все думал, зачем? И вот теперь понял :)
          2. У меня при загрузке блог много куда обращается, подгружаются виджеты соц сетей, формы поиска билетов и отелей, счетчики всякие. Так вот в консоли только один запрос появляется всего…

          Ответить