|
|
Сегодня целый день потратила на борьбу с этим кошмаром. Началось все с легких симптомов: опера предупреждает, что сайт небезопасен. Затем продолжилось темой на форуме и выяснением того, что при нажатии на ссылки поисковиков (любых!) человек попадает не сюда, а на какой-то левый сайт, судя по всему вредоносный. Оттого и эта блокировка. |
Начала я смотреть внутри php - файлов. Выяснилось, что там в начале лежал некий подозрительный код. Начинался он со слов "eval(base64_decode". Все бы ничего, если бы он был в одном файле, но нет - он был раскидан по всему сайту, внедряясь в каждый php.
Проблема оказалась серьезнее и сложнее, чем я думала, и я стала обращаться за помощью. Сама бы я ни за что не догадалась, как справиться с этой гадостью! Но меня выручили, подав четкую инструкцию, что надо делать.И вот теперь, когда угроза уже, судя по всему, миновала, я тут подумала, а вдруг эта информация поможет кому-нибудь из вебмастеров. И поэтому напишу, как с этим бороться:
1) Делаем бекап больного сайта к себе на диск.
2) Открываем Notepad ++ и там нажимаем "Поиск- Найти в файлах". Там пишем этот вредоносный код и выбираем папку, где наш бекап. Там есть кнопка "Заменить в файлах". Эта программа должна автоматически заменять все эти участки на пробелы, вам не придется это делать вручную. Ждать придется довольно прилично - файлов дофига.
3) Меняем пароль для входа в ФТП
4) Проверяем все антивирусом, также рекомендуется скачать Anti-Malware и проверить им. И базы антивирусов обновить. Возможно (как в нашем случае), будут попадаться зараженные файлы внутри сайта. Если у них название левые, то удаляем, а если не левые, такие как index.php, то аккуратненько их вручную переправляем, удаляя вредоносный код, но при этом ни в коем случае не открывая в браузере, а тольков текстовом редакторе. В этом я неопытна, и попросила товарища помочь. Если не уверены, будьте осторожны!
Кстати: Простая онлайн-проверка сайта вирусов внутри не выявила, хоть они там и были. Такие онлайн-проверки смотрят только в запускаемых и основных страницах, а вирус злоумышленики прячут куда-то вглубь сайта.
5) Заходим по FTP на сайт. Пароль сохранять не рекомендуется, дабы избежать повторных атак.
6) Загружаем файлы из исправленного бекапа, поставив галочку "Заменить, если отличается размер". Не забываем удалить те файлы, которые были удалены антивирусом.
После этого перенаправлений быть больше не должно, если все прошло гладко.
В заключении хочется еще раз сказать спасибо за помощь отзывчивым и понимающим людям, которые спасли сайт, а также спасибо, что вы все остаетесь здесь несмотря ни на что! И еще хочется добавить пару ласковых в адрес создателей этого вируса - "паразиты вы гадючие, чтоб вам пусто было"! Целое воскресенье коту под хвост - ну ничего, я уверена, им это аукнется! Все зло имеет свойство возвращаться!
Не представляю, что за контент такой там может быть, но у джумлы есть уязвимости- это бесспорно. И под нее наверно специально есть свой вид вирусов.
Слишком сложно для вируса, это уже домыслы из разряда голливудских фильмов. В PHP много дыр, очевидно, нашли и использовали одну из них: http://stackoverflow.com/questions/5922762/eval-base64-decode-php-virus