«Как я обнаружил вирус на сайте (история со счастливым концом)»
Здравствуйте, уважаемые читатели блога «Мобильный Дом»! В этом посте я хочу рассказать историю того, как я обнаружил вирус на сайте и как поборол его.
Статья будет интересна прежде всего вебмастерам, имеющим свои сайты или блоги. От вирусной атаки не застрахован никто. Даже именитый сайт KtoNaNovenkogo.ru столкнулся с этой проблемой, о чём его автор Дмитрий поведал в недавней статье «Как проверить сайт на вирусы, проверка онлайн или с помощью скрипта, а также правдивая история одного заражения». Кому интересно — почитайте! Статья очень поучительная и полезная.
Видимо, она меня вдохновила, и я решил рассказать свою историю, которая имела место быть в прошлом году и которая, слава Богу, закончилась хорошо для моего сайта.
Дело было в октябре прошлого года. В тот период я стал замечать, что посещаемость на сайте не только не растёт, а наоборот — падает вниз. И это несмотря на то, что я стабильно публиковал новые статьи, а также проводил целенаправленную работу по раскрутке блога.
В течение прошлого года темп роста посещаемости вообще оставлял желать лучшего. В какой-то месяц (по-моему, в апреле) посещаемость застряла на одной отметке. В дальнейшем ситуация вроде бы наладилась.
Но в октябре показатели пошли вниз, причём произошло это настолько резко, что у меня не осталось никаких сомнений — что-то здесь не так. Но что именно? Сезонный спад? В октябре вряд ли… Проблемы с загрузкой сайта? Были, но очень редко…
Я бы и дальше терзался в догадках. Но в одно прекрасное утро после захода на свой сайт я увидел на экране своего компьютера окошко следующего содержания:
«Ваша система заблокирована. Для того, чтобы разблокировать систему, положите 2000 рублей на телефонный номер +7хххххххххх.»
Об этом вирусе я был наслышан. Мои попытки убить его теми методами, что были предложены в Интернете, не увенчались успехом. Поэтому пришлось действовать радикально: я переустановил Windows. Всё бы ничего, но мне не давала покоя мысль: неужели я заразился со своего сайта?
С помощью плагина AntiVirus мне удалось обнаружить в файле header.php посторонний код eval (base64_decode), попавший туда неведомым мне образом. Интернет подсказал мне, что данный код является вирусом, перенаправляющим посетителей сайта на определённую страницу. Чтобы удалить его, я произвёл откат файлов. Вредоносный код исчез, но тревога в душе осталась… Каким образом оказался вирус на сайте? И не попали ли ко мне какие-нибудь другие вредоносные коды?
За помощью я обратился на free-lance.ru. Привожу текст моего задания:
«У меня возникли небольшие проблемы с моим сайтом. Надеюсь на вашу помощь…
Буквально неделю назад посещаемость моего сайта была на уровне 900 человек в сутки. За последние несколько дней она просела до 600-700 человек в сутки. С чем это связано не знаю. Но вчера я обнаружил на своём сайте вирус. Это был код base64, который каким-то образом встроился в файл header.php. Я произвёл откат файлов, и вирус вроде бы исчез.
Но я всё равно волнуюсь за свой сайт, поскольку не понимаю, откуда пришёл вирус, и не знаю, удалился ли он полностью.(Кстати, Яндекс и Гугл вредоносных кодов на моём сайте не обнаружили).
В связи с этим мои к вам вопросы:
1. Можете ли вы проверить мой сайт на наличие вредоносных и прочих нежелательных скриптов?
2. Можете ли оптимизировать работу сайта, чтобы он загружался и работал быстрее?
3. Можно ли выявить брешь, через которую зашёл вирус и залатать её?
4. Почему серьёзно села посещаемость и что посоветуете для того, чтобы её опять поднять?
Заранее благодарен!»
Работу согласился выполнить фрилансер Михаил Егоров (нашёл его по рекомендации). Стоимость услуги составила 600 рублей. Тогда сумма для меня была не важна — лишь бы с сайтом всё было в порядке.
Каковы же итоги проверки, проведённой Михаилом? В файле .htaccess обнаружился вредоносный редирект, сидящий в нём аж с декабря 2011 года! В то время защита моего блога ещё не находилась на должном уровне. Вот тогда я и подцепил заразу, создавшую дырки в моём сайте. Кроме того, у меня стояла старая версия WordPress, в которой могли быть слабые места…
Михаил мне всё почистил, обновил и порекомендовал следующее:
— Обновлять WordPress и все плагины.
— Следить за содержанием файла .htaccess. Оно должно быть следующим:
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
— Обновить WordPress на всех сайтах, расположенных на этом же хостинге.
После всей этой истории посещаемость пошла вверх. В ноябре сайт получил ТИЦ=20, а в декабре число посетителей достигло 1500 человек в сутки (об этом читайте ЗДЕСЬ).
Какова мораль всей этой истории?
После создания своего сайта сразу же защитите его по максимуму, чтобы никакая дрянь не смогла к вам проникнуть! Следуйте советам, которые я привёл в этой статье! Периодически делайте архивные копии своего сайта, чтобы в случае заражения не потерять все данные! Обновляйте антивирусник на своём компьютере и не заходите на подозрительные сайты!
Вирус на сайте — это штука, которая может погубить всю вашу работу. Поэтому не пренебрегайте этими советами и не откладывайте на потом.
На этом пока всё. Подробнее о том, как настроить защиту своего блога, я расскажу в следующих статьях.
С уважением, автор блога Сергей.