hello
Воскресенье, 03 Марта 2013 23:38

Борьба с перенаправляющим вирусом.

Автор
Оцените материал
(1 Голосовать)

tre

Сегодня целый день потратила на борьбу с этим кошмаром. Началось все с легких симптомов: опера предупреждает, что сайт небезопасен.  Затем продолжилось темой на форуме и выяснением того, что при нажатии на ссылки поисковиков (любых!) человек попадает не сюда, а на какой-то левый сайт, судя по всему вредоносный. Оттого и эта блокировка.


Начала я смотреть внутри php - файлов. Выяснилось, что там в начале лежал некий подозрительный код. Начинался он со слов "eval(base64_decode". Все бы ничего, если бы он был в одном файле, но нет - он был раскидан по всему сайту, внедряясь в каждый php.

Проблема оказалась серьезнее и сложнее, чем я думала, и я стала обращаться за помощью. Сама бы я ни за что не догадалась, как справиться с этой гадостью! Но меня выручили, подав четкую инструкцию, что надо делать.

И вот теперь, когда угроза уже, судя по всему, миновала,  я тут подумала, а вдруг эта информация поможет кому-нибудь из вебмастеров. И поэтому напишу, как с этим бороться:

1) Делаем бекап больного сайта к себе на диск.

2) Открываем Notepad ++ и там нажимаем "Поиск- Найти в файлах". Там пишем этот вредоносный код и выбираем папку, где наш бекап. Там есть кнопка "Заменить в файлах". Эта программа должна автоматически заменять все эти участки на пробелы, вам не придется это делать вручную. Ждать придется довольно прилично - файлов дофига.

3) Меняем пароль для входа в ФТП

4) Проверяем все антивирусом, также рекомендуется скачать Anti-Malware и проверить им. И базы антивирусов обновить. Возможно (как в нашем случае), будут попадаться зараженные файлы внутри сайта. Если у них название левые, то удаляем, а если не левые, такие как index.php, то аккуратненько их вручную переправляем, удаляя вредоносный код, но при этом ни в коем случае не открывая в браузере, а тольков текстовом редакторе. В этом я неопытна, и попросила товарища помочь.  Если не уверены, будьте осторожны!

Кстати: Простая онлайн-проверка сайта вирусов внутри не выявила, хоть они там и были. Такие онлайн-проверки смотрят только в запускаемых и основных страницах, а вирус злоумышленики прячут куда-то вглубь сайта.

5)  Заходим по FTP на сайт. Пароль сохранять не рекомендуется, дабы избежать повторных атак. 

6) Загружаем файлы из исправленного бекапа, поставив галочку "Заменить, если отличается размер". Не забываем удалить те файлы, которые были удалены антивирусом.

После этого перенаправлений быть больше не должно, если все прошло гладко.

В заключении хочется еще раз сказать спасибо за помощь отзывчивым и понимающим людям, которые спасли сайт, а также спасибо, что вы все остаетесь здесь несмотря ни на что! И еще хочется добавить пару ласковых в адрес создателей этого вируса - "паразиты вы гадючие, чтоб вам пусто было"! Целое воскресенье коту под хвост - ну ничего, я уверена, им это аукнется! Все зло имеет свойство возвращаться!

Прочитано 15652 раз Последнее изменение Понедельник, 04 Марта 2013 00:32
AnnTenna

Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
Другие материалы в этой категории: « Перевод статьи "Slippery Slope and Perpetual Comeback" Еще одна атака. »

12 комментарии

  • Комментировать Skyblade Понедельник, 18 Марта 2013 08:44 написал Skyblade

    Очень странно, ссылка чистая, без подмены (только что проверил), может stackoverflow взломали за это время? А как именно ругается?

    Пожаловаться
  • Комментировать AnnTenna Вторник, 19 Марта 2013 14:32 написал AnnTenna

    Я думаю, он ругается на саму строчку кода вируса, она ж там приведена, и не понимает, что здесь она не исполняемая, а для наглядности.

    Пожаловаться
Авторизуйтесь, чтобы получить возможность оставлять комментарии

Панель входа

Добро пожаловать!

Заходите. Чувствуйте себя как дома.

Мы в контакте

(скорее всего это пойдёт на хостинг)

Опрос о новых играх.

Какого жанра хотите нашу новую игру?
 

Это из галереи!

  • Sm_4
  • Описание: Эволюция смайликов

В разработке находится новая RPG под рабочим названием "Перерождение", все новости о публикуются в блоге проекта.

А знаете ли вы...

ste2

сайт другаСветлая зона и Академия РПГ Мейкераkn4kn5Плагины для RPG MakerДневник одной нэкоknНовая Реальность Топ Разработка игр