Свежие новости
Статистика

 

Пару дней назад узнал, что антивирус Касперского добавил мой сайт Благинин.нет в списки неблагонадежных. Тут же им написал. Неожиданно быстро пришел ответ – ваш сайт взломан, заменены некоторые файлы, которые перенаправляют посетителей на вредоносный ресурс. Вот как с этим боролся…

Обычно при подобных взломах переписывают файл .htaccess и посетители просто попадают на совершенно другой сайт. Сделали так же и мне.  Быстро исправил, удалив лишнее в файле хтацесс и тут появилась новая проблема. Пользователи мобильных устройств не попадали на сайт, открывалась страница, на которой предлагалось обновить браузер. При нажатии пользователь попадал на ресурс, который раздавал вирусы. Сам зашел с мобильного, вместо сайта, красивая картинка, где написано, обновите свой браузер “Опера”.

Вот тут пришлось повозится. Оказалось во все файлы шаблона моего сайта , например заголовок.php, комменты php, и еще 36 файлов дописали следующий код, который и подменял страницу для мобильных пользователей. Весь код приводить не буду смотрелось примерно так –

<?php рррррррfgsDdphXZgsTKog2c1xmZgszJ+QHcpJ3Yz9CP+Iycq5SMucjLx0SeyVWdxp2Lt92YusmcvdXZtFmcm1SeyVWdxp2Lvo

Dc0RHai0zYyNHI0BXayN2c8cCIvh2YlByegkSKddCVOV0RB9lUFNVVfBFVUh0JbJVRWJVRT9FJABCLnk2cv

UGbn92bnxHelRmbhlHfyVWehxGctwVYpRWZt1CXzd3bk5Wa3xHZh9Gbud3bkxHduFmdhxXYjlmcl1WY8h2cv

RnbpNWYt9yJog2Y0FWbfdWZyBXIgYiJgkSKddiUFJVRGVkUfBFVUh0JbJVRWJVRT9FJABCLnk2cv0Tcппппппппппппп /?>

Похоже на бессмыслицу, не правда ли!? Это зашифрованная функция. При том если просто посмотреть код страницы, её не было видно. Только со стороны админки сайта. Либо через панель управления хостингом, через файл менеджер. На самом деле был  код примерно в два раза больше по объему, сократил в целях безопасности. Мало ли как он браузером будет восприниматься.

Самое интересное, были изменены права доступа, что бы я не мог отредактировать файлы. Что бы не было возможности прямо из админки сайта (в вордпресс есть раздел редактирования, очень удобно) удалить лишний код. Если кто понимает должно быть 644 , а стало 444. То есть, что бы убрать вредоносный код, нужно было довольно неплохо разбираться в сайтостроительстве. Пришлось через хостинг, расширять права на редактирование файлов.

Все сделано было тихо, так бы и не узнал о проблеме, если бы не Касперский. У меня то все отображалось правильно. При том онлайн анализаторы вредоносных кодов и вирусов, писали что сайт чист. Ни Яндекс , ни Гугл никак не среагировали.

Как убрал этот дивный код ото всюду , написал в лабораторию Касперского, только что пришел ответ, что все чисто.

В письме приписка, что нашу переписку нельзя публиковать на форумах, сайтах и тем более СМИ.

Вообще спасибо большое  ребятам из лаборатории Касперского, казалось бы какое им дело до моего сайта, быстро ответили, подсказали, даже удивительно. Вот такая история.

Оставить комментарий

Советуем почитать еще …