Вот и настал тот скорбный час, когда мой сайт взломали и разместили вредоносный код =). Да, от этого не застрахован никто, а особенно начинающий сайтостроитель. Что делать когда ваш сайт заразили? 
Главное проявить выдержку и не паниковать. Выяснить причину и удалить последствия. Как легко это пишется, когда всё уже позади. На самом деле у меня, как и у многих других все было немного по-другому ....

Как я узнал о заражении.

Просыпаюсь поздним утром и, пока варится кофе, проверяю почту. Среди новых писем - "письмо счастья от Яндекс", точнее от Яндекс.Вебмастер. Собственно само письмо:

"На страницах сайта www.***.ru обнаружен код, который может быть опасен для посетителей. Выполнение этого кода может привести к заражению компьютера опасными программами, использованию его без ведома пользователя, порче или краже данных. В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера». Яндекс никак не оценивает содержание сайта и предупреждает пользователей о том, что сайт мог быть заражен без ведома его владельцев. Пожалуйста, удалите вредоносный код. Если при новой проверке код не будет обнаружен, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта."

Сон сняло как рукой. Захожу на сайт - антивирус выводит страшную красную табличку, мол сайт заражен и может угрожать вашей безопасности или что-то в этом духе. В общем отбивает всякую охоту зайти на эту страничку. В поисковике все ссылки с пометкой "Не влезай. Убьёт!", как и обещал Яша. Посещалка почти на нуле (благо есть на свете Google) да и доходы от рекламы сами понимаете не радуют.

Завтрак забыт, настроение ни к черту. Будильник в сотый раз напоминает, что работу никто не отменял, а начальство будет безумно радо если вы опаздаете на пару часиков. Успеваю проверить он-лайн сервисами сайт на заражение и ни один ничего подозрительного не находит. Только Касперский упрямо твердит, что сайт занесен в базу подозрительных, а что конкретно не так сказать стесняется.

Пробки у нас в городе не московские - списать опоздание на работу больше часа не получится. Поэтому приходится всё бросить и терять драгоценное время.

Яндекс-падла

Как же долго тянулся этот день! В голове только одна мысль: "Яндекс - Падла. Падла-Яндекс". Нашел какую-то хню и убил посещалку, а Каспер подхватил и добил =(
Всё из рук валится. Восстановиться с бекапа не могу. Все бэки на сломанном диске уже месяц пылятся на полке. Умудрился же всё записать на отдельный HDD, который умер через пару дней. На хостинге бэки тоже долго не хранятся и кодировка там немного не та, точнее вообще не та. Да и толку от от него если вирус попал раньше? Блин. "Яндекс - падла! Яндекс - зло!"

К середине дня немного остыл, втянулся в работу. Хорошо хоть коллектив у нас нормальный, в душу не лезут =) К концу дня успокоился и решил, что худа без добра не бывает, что нибудь придумаем в конце концов.

Я был не прав

Вот уж не думал, что когда-то это скажу, но Яндекс-Молодец. Приношу свои искренние...

Теперь по подробнее. Прихожу значит домой и с нордическим хладнокровием сажусь за комп. Да,да тем самым, которого мне так не хватало утром.
Выход только один, раз говорят что есть вредоносный код на сайте, значит будем искать. Захожу в Вебместер, вдумчиво читаю все пояснения про виды этого самого вредоносного кода и пытаюсь обнаружить его у себя. Да, забыл сказать, не забудьте сразу поменять основные пароли (хостинг,FTP,админка можно почту) как-то же эта дрянь к вам попала. Да и свой комп будет не лишним погнать антивирем, может он-то и разносит заразу или сливает пароли.
Не буду долго рассказывать про поиски в интернете и на форумах поддержки. Если вы здесь, значит прошли этот путь как и я когда-то.

Сразу к сути

Решил проанализировать изменения на сайте, точнее в его файлах и папках. Логика простая. Вирус на сайте - в конечном счете всего лишь файлик или скрипт попавший к вам без вашего ведома. Он в свою очередь меняет часть файлов вашего сайта. Дата последнего изменения видна в любом FTP-клиенте. Если конечно вам повезло и ваш вирус не на столько "умный", чтобы и дату изменения менять. В моём случае сразу бросился в глаза файл htaccess в корне сайта. Не припомню, чтобы я его менял в последние пару месяцев, а здесь дата изменения вчерашним днем. Открываем и точно, очень много "лишнего". Жаль, что не сохранил, как пример для остальных - нажал delete с таким наслаждением, аж клава захрустела =)
Постараюсь объяснить на словах. Смысл сводился к следующему: В файле htaccess были прописаны директивы для перенаправления пользователя, зашедшего с мобильного телефона, на другой сайт. Длинный такой список с перечислением всех возможных видов мобильных устройств и соответствующим редиректом. Если у вас такой же - уверяю, пропустить его не возможно. Для верности свертесь с дефолтным htaccess из официальной сборки вашей CMS. В моём случае CMS Joomla.

Дальше - больше

На этом конечно еще не всё. Вирус успел расплодиться и во все папки, с доступом на запись и редактирование, добавил htaccess файл или отредактировал существующий. Их тоже удаляем или подчищаем. Заходим в Яндекс.Вебмастер и заказываем проверку сайта. Теперь при следующей проверке, если вы всё сделали правильно, всё вернётся на круги своя. Мне пришлось ждать три дня. Поэтому рекомендую заказать проверку именно на этом этапе или если вы уверенны в себе и своих силах - сразу же как узнали о заражении сайта вирусом.

И наконец самое интересное. До этого мы удалили последствия, теперь нужно найти саму заразу (вирус). Наверное с этого и надо было начинать, но так хотелось побыстрей вернуться в индекс чистым и румяным, мягким и пушистым. Найти его (вирус) - занятие посложней. Конечно нужно в первую очередь проверить логи сайта и найти проказу, но скажу сразу - мне это не помогло. Моих знаний явно не хватило на подобный поиск. Ну не гений я и не профессионал, а простой пользователь. И что-то мне подсказывает, что я не один такой. Надо приходится признавать свои слабости и стремиться к лучшему другими путями.

На помощь пришел Total Commander. Сделал выборку опять же по дате изменения прямо на сервере по FTP. Нашел две папки со странным содержимым, якобы от google (так указывалось в комментариях), однако функции в этих файлах выполняли совсем другие задачи. Кусок кода был закодирован base64 и при декодировании увидел интересный perl код. Повторюсь, я не считаю себя спецом в этом вопросе, поэтому решил скачать  папки к себе на комп, для дальнейшего рассмотрения. Уже при передаче Касперски жестко указал, что это траян. Так же нашел и архивы этих самых папок в директории tmp. На всякий случай выгрузил весь сайт и прогнал антивирем. Нашел ещё один файл с тем же куском кода. Всё соответственно удаляем. В итоге вместо одного ожидаемого вивусоида нашел два, что объясняет в некоторых из htaccess файлов повторение злополучного кода по несколько раз подряд.

Важный момент: На хостинге у меня ещё три сайта и хотя предупреждений не было - проверил и их. Не пожалел. Тоже и тем же болели,причем движки у всех разные.

Ну вот собственно и всё на что меня хватило в этот нелегкий день. Стыдно перед Яшей и его командой. Они все-таки помогли, а я их по незнанию пол-дня материл. СПАСИБО - ЯША!
Через три дня все вернулось на круги своя, а так же ощутимый прирост пользователей мобильного интернета, которых у меня воровали до этого. Единственное, что так и не смог найти(определить) - уязвимость через которую вся эта хня попала на сайт. Будем искать =)

P.S. Если эта статья вам помогла - искренне за Вас рад. И пусть ваши сайты ничем не болеют.

Теги: вирус | Joomla