Поиск вируса на сайте — круг сужается

В одной из недавних публикации Что делать, если на сайте «обнаружен вирус»? я сообщал о том, что мой сайт попал под фильтр Гугла по подозрению на распространение вредоносного ПО. После проведения простых действий, описанных в уроке и написания письма сервисе http://www.google.ru/webmasters/ сайт через некоторое время заработал как положено.

Но через примерно пару недель история повторилась и мне пришлось начинать разбираться с самого начала. Читая рекомендации сервиса Гугл, я решил проверить файл .htaccess и обнаружил в нем куски кода с редиректом на посторонние ресурсы, а именно помимо нужной информации был внедрен следующий код:

<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER} ^.*(ladyluck)\.(.*) RewriteRule ^(.*)$ http://ya.ru [R=301,L] </IfModule>

После того, как я сообщил об этом в техподдержку хостинг-провайдера, я получил от них письмо следующего содержания:

Здравствуйте Дмитрий!

Очень распространенное заражение сайта, происходит посредством файла .htaccess.
Поэтому крайне важно защитить ftp хорошим паролем, который не сохранять в ftp менеджере. Поскольку кража, как правило, осуществляется троянами, нацеленными на воровство паролей у популярных ftp менеджеров – filezilla

Прежде, чем начинать лечение сайта, надо удалить вирусную программу с локального компьютера, то есть разобраться с причиной заражения. Уже потом можно начинать лечение самого сайта. Такие последовательные действия помогут избежать возможных проблем. В противном случае вредоносный код может появиться опять.

Для поиска и удаления вируса с самого компьютера можно воспользоваться антивирусной программой или утилитой, возможно потребуется несколько проверок разными средствами. Стоит лишь отметить, что необходимо регулярно обновлять антивирусное программное обеспечение и использовать утилиты последних версий.

Затем необходимо изменить все пароли для FTP-доступа на сайт и панель администратора и не сохранять их, а вводить вручную при каждом входе. Это существенно снизит риск возникновения проблем с вредоносными программами.

Выполнив все их рекомендации и почистив файл .htaccess, я снова написал в Гугл и примерно через неделю красное окно исчезло.

Радоваться пришлось недолго. Вчера при заходе на сайт через несколько секунд после загрузки страницы опять появляется переадресация на ресурс http://singleshoteschewed.cognitiveaddition.info/ihzoz.cgi?7

Это конечно не вирус в том виде, которым заражаются компьютеры и портят на нем файлы, но ничего приятного в этом нет. Ведь я теряю посетителей сайта, да и сам не могу им пользоваться. Я опять повторяю последовательность действий:

1. Захожу в админпанель на хостинге и меняю все пароли — на вход, на фтп, к базам данных

2. подключаюсь с помощью ftp-клиента Filezilla, но все данные ввожу вручную в верхнюю строку клиента и не запоминаю их.

3. Удаляю все битые файлы и меняю их на нормальные из ранее сохраненного архива.

4. Проверяю сайт на наличие вредоносного ПО здесь http://antivirus-alarm.ru/proverka/

Сайт снова работает. Но остается открытым вопрос — откуда берется вирус?

Возможны три варианта. Первый — это атака хостинга. Ведь уже было такое, примерно год назад, когда турецкий хакер заменил все файлы index.html всех нескольких тысяч сайтов на хостинге на свои. Второй — это зараженный компьютер. Но в моем случае это вряд ли возможно: я с параноидальной внимательностью использую максимальную защиту. Так что скорее всего третий вариант — сайт.

Анализируя свои действия, предшествовавшие заражению, я начинаю вспоминать, что обновлял несколько плагинов движка сайта. В этот раз под подозрение попали 4 бесплатных плагина. И ведь действительно, разработчику бесплатных плагинов очень просто зашить в них код, активирующий подмену файла .htaccess или добавление в него новых редиректов.

Итак, что делать в случае, если у вас появился редирект, вы знаете. Нормально файл .htaccess для сайта на WordPress  выглядит так:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ — [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

О результатах своих исследований я обязательно напишу в одном из ближайших постов, как только докопаюсь до сути. А пока главная рекомендация — следить за файлом  .htaccess и воздержаться от обновлений.

Поиск вируса на сайте — круг сужается: 2 комментария

  1. Спасибо за предостережение, не знала, что обновление плагинов может нести угрозу сайту. А как быть с тем, что я слышала, что если не обновлять то сайт будет дольше загружаться или сами плагину будут глючить? Или по вашему мнению это не верное утверждение?

    • Речь идет не о всех плагинах, но я, видимо, поставил один из тех, которые внедряют вредную информацию. Прежде чем ставить плагин, смотрите его рейтинг и читайте отзывы на официальном сайте http://wordpress.org/extend/plugins/

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

одиннадцать − 2 =

*