В последние дни мне "везет" на наличие проблем с вредоносным кодом на моих сайтах. Так уж случилось. Можете также прочитать о том, как Google нашел вредоносный код на сайте в виде скана сертификата. Видимо, звезды так сошлись. Итак, к делу!
Мне пришлось столкнуться с двумя видами вредоносного когда.
Диагноз первого сайта: на сайте был установлен вредоносный код, который продавал ссылки с сайта с помощью одной из ссылочных бирж.
Второй второго сайта: на сайте вредоносный код оперировал непосредственно посетителями на сайте, отправляя их на какие-то сторонние ресурсы с помощью переадресаций.
Своими силами обнаружить код не получилось. А между тем количество ссылок со страниц увеличивалось. Большинство ссылок вели на ресурсы связанные с интимными услугами на Украине и Белоруси. Ничего личного! Ссылки были оформлены с помощью CSS, который с помощью параметра position скрывал их из видимости на экране. Пример ссылки:
<div style="position:absolute;left:-2311px;top:-2794px;"><a href="http://dzerkalo.com.ua/gallery.html">Наращивание ногтей шеллак</a></div>
Стоит отметить, что вредоносные ссылки были обнаружены совершенно случайно. Код был размещен в самом низу перед закрывающим тегом </body>.
Собственные попытки найти вредоносный код на сайте успехом не увенчались, поэтому пришлось обратиться к профессионалу в этом деле.
Через пару дней терминатор вирусов прислал письмо следующего содержания:
Сайт у вас был взломан давно, еще в прошлом году.
Взломан он был посредством SQL-инъекции.
То есть в базу данных добавлен PHP код (а именно в таблицу с плагинами),
который дописывался в файлы:
./assets/cache/siteCache.idx.php
./assets/cache/siteManager.idx.php
и в свою очередь через них можно было делать на сайте все что угодно.
Спасибо ему большое за помощь! За все получилось 1 000 руб.
После этого поменял пароли на FTP, базу данных и перепроверил компьютер на вирусы. Надеюсь такое больше не повториться. Так же поставил значение register_global в значение off, следуя& рекомендациям в интернете и самой системы CMS MODx (официальный сайт). Делается это довольно просто: в файле .htaccess прописывается следующая строчка:
Если у вас возникнет необходимость в услугах терминатора вредоносного ПО, то вот его координаты (это не реклама!):
О вредоносном коде мне сообщил Яндекс сообщением в панель вебмастеров. Сообщение такое:
Здравствуйте!
На страницах сайта ...(поставить свой :-)) обнаружен код, который может быть опасен для посетителей. Выполнение этого кода может привести к заражению компьютера опасными программами, использованию его без ведома пользователя, порче или краже данных.
В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».
Яндекс никак не оценивает содержание сайта и предупреждает пользователей о том, что сайт мог быть заражен без ведома его владельцев.
Пожалуйста, удалите вредоносный код. Если при новой проверке код не будет обнаружен, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта.
Поиск данной проблемы в Google рассказал о большой вероятности нахождения вредоносного кода в файле .htaccess. Заглянув в htaccess обнаружил с десяток строк кода, который делал редирект с моего сайта на другие ресурсы. Убрал вредоносный код, сменил все пароли, перевел register_global в off, установил права на файл htaccess 444 (только чтение).
Ответ Яндекса пришел на следующий день:
Последняя проверка сайта 19 Марта 2013 не выявила страниц, содержащих вредоносный код. В результатах поиска сайт выводится без пометок.
Спасибо Яндекс!
Желаем "здоровья" вашим сайтам!