Как удалить вирусы: лечим "Содержимое сайта заблокировано" и скрытую продажу ссылок

В последние дни мне "везет" на наличие проблем с вредоносным кодом на моих сайтах. Так уж случилось. Можете также прочитать о том, как Google нашел вредоносный код на сайте в виде скана сертификата. Видимо, звезды так сошлись. Итак, к делу!

Мне пришлось столкнуться с двумя видами вредоносного когда.

Диагноз первого сайта: на сайте был установлен вредоносный код, который продавал ссылки с сайта с помощью одной из ссылочных бирж.

Второй второго сайта: на сайте вредоносный код оперировал непосредственно посетителями на сайте, отправляя их на какие-то сторонние ресурсы с помощью переадресаций. 

Первый сайт. Удаляем вредоносный код, который продает ссылки с нашего сайта через биржи

Своими силами обнаружить код не получилось. А между тем количество ссылок со страниц увеличивалось. Большинство ссылок вели на ресурсы связанные с интимными услугами на Украине и Белоруси. Ничего личного! Ссылки были оформлены с помощью CSS, который с помощью параметра position скрывал их из видимости на экране. Пример ссылки:

Стоит отметить, что вредоносные ссылки были обнаружены совершенно случайно. Код был размещен в самом низу перед закрывающим тегом </body>.  

Собственные попытки найти вредоносный код на сайте успехом не увенчались, поэтому пришлось обратиться к профессионалу в этом деле.

Через пару дней терминатор вирусов прислал письмо следующего содержания:

Сайт у вас был взломан давно, еще в прошлом году.
Взломан он был посредством SQL-инъекции.

 То есть в базу данных добавлен PHP код (а именно в таблицу с плагинами),
 который дописывался в файлы:
 ./assets/cache/siteCache.idx.php
 ./assets/cache/siteManager.idx.php
 и в свою очередь через них можно было делать на сайте все что угодно.

Спасибо ему большое за помощь! За все получилось 1 000 руб.

После этого поменял пароли на FTP, базу данных и перепроверил компьютер на вирусы. Надеюсь такое больше не повториться. Так же поставил значение register_global в значение off, следуя& рекомендациям в интернете и самой системы CMS MODx (официальный сайт). Делается это довольно просто: в файле .htaccess прописывается следующая строчка:

Если у вас возникнет необходимость в услугах терминатора вредоносного ПО, то вот его координаты (это не реклама!):

• e-mail: root@corp.1gb.ru
• jabber: renton@1gb.ru
• ICQ: 5128664
• Личная страница Алексея Власова на 1gb.

Второй сайт. Удаление вредоносного кода в htaccess и вывод сайта из статуса "Содержимое вашего сайта заблокировано"

О вредоносном коде мне сообщил Яндекс сообщением в панель вебмастеров. Сообщение такое:

Здравствуйте!

На страницах сайта ...(поставить свой :-)) обнаружен код, который может быть опасен для посетителей. Выполнение этого кода может привести к заражению компьютера опасными программами, использованию его без ведома пользователя, порче или краже данных.

В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».

Яндекс никак не оценивает содержание сайта и предупреждает пользователей о том, что сайт мог быть заражен без ведома его владельцев.

Пожалуйста, удалите вредоносный код. Если при новой проверке код не будет обнаружен, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта.

Поиск данной проблемы в Google рассказал о большой вероятности нахождения вредоносного кода в файле .htaccess. Заглянув в htaccess обнаружил с десяток строк кода, который делал редирект с моего сайта на другие ресурсы. Убрал вредоносный код, сменил все пароли, перевел register_global в off, установил права на файл htaccess 444 (только чтение).

Ответ Яндекса пришел на следующий день:

Последняя проверка сайта 19 Марта 2013 не выявила страниц, содержащих вредоносный код. В результатах поиска сайт выводится без пометок.

Спасибо Яндекс!

Желаем "здоровья" вашим сайтам!