воскресенье, 24 ноября 2013 г.

Как удалить вредоносный код с сайта

Вначале Яндекс, а потом и Гугл огорошили сообщениями в панели вебмастера о вредоносном коде на одном из моих сайтов. Сайт, надо сказать, полумертвый. Пытался я когда-то делать интернет магазин. Идея провалилась на тот момент, а был это 2008 год, а сайт остался. Собирает какой-то остаточный поисковый трафик, и приносит три копейки с контекста - хостинг окупает.
Первоначальные поиски к успеху не привели. Я не большой специалист во всех этих кодировках и работе с файлами под линуск.

Выражалось наличие кода в том, что на сайте появились адреса и страницы, которых на самом деле не существует. Ну, чтобы как-то потушить пожар с поисковиками - создал такие же папки и файлы, на которые указывал яндекс. То есть вредоносный код показывает адреса, которых на самом деле нет, а если адрес физически существует - то выведется именно он. Потому я сымытировал эти реальные адреса, на которые ругался яндекс, удалил оттуда все ссылки и повесил контекст - если вдруг там есть поисковый трафик, пусть хоть денег соберет, пока я разбираюсь с проблемой.

Но адресов было больше. И на эту фигню стал ругаться и гугл.

Прошерстив первично интернет, ничего хорошего не находилось. Везде пишут общие фразы, проверьте пароли, смените пароли - кому это интересно, если сайт уже заражен. Известные онлайн проверялки ничего не показывали. Мол, нет у вас ничего на сайте.

Но кто хочет, тот всегда найдет.

Нашлись методы, с помощью которых хакеры маскируют свой код. Если просто поискать, например, любую фразу со страницы, которой на сайте как бы нет - вы естественно ничего не найдете. В коде вашего сайта это все вставлено в виде непонятного калямаля, а при выводе перекодируется в божеский вид. И вот перекодируется оно чаще всего с помощью одной из функций - base64_decode, gzuncopmress, json_decode, eval с переменными "referer" и "user_agent". Также часто код подгружается в iframe.

Поэтому - копируем все исходные файлы вашего сайта с фтп к себе на сайт. Лучше в отдельную папку. И делаем поиск по этой папке, с поиском по содержимому файлов - по вышеуказанным словам. Если боитесь удалять - не будучи уверенными, что это именно вредоносный код - закомментируйте эти строки - как "//" - двойной слеш. Я удалял. Вы не перепутаете - там будет после функции куча цифр, бессмысленных букв, символов. Вот это оно самое.

Естественно, найдя вредоносный код - удалите его же из файлов на фтп и радуйтесь жизни.

0 коммент.:

Отправить комментарий