Обратились ко мне за помощью - есть сайт, ему уже больше, чем полгода, но... гугл его не видит и видеть не хочет (забанил), все страницы сайта, кроме первой - не открываются. Вместо них грузятся всяческие левые сайты, реклама и порнуха.
Итак, симптомы заражения: открывая некоторые страницы, происходил редирект на другие сайты; не отображался список пунктов меню.
Внешний антивирус при тестировании ничего не обнаружил.
Сайт сделан студентом на Joomla. Этого движка я не знаю. Да и вообще - противник я CMS, особенно если сайт небольшой.
Первое подозрение - сайт заражен вирусом. Погуглив про вирусы "под Joomla", выяснила во-первых, что информации как-то маловато, вменяемых рекомендаций почти нет. Очень многие используют joomla, даже не зная ни пхп, ни джаваскрипта. Большинство рекомендуют ручками чистить зараженные файлы index.php от открывающихся
iframe (http://www.homepg.ru/index.php?option=com_content&task=view&id=31&Itemid=40 - лечение от джаваскрипта window.onload). Очень похожее описание на мое заражение нашла у http://varankin-blog.ru/?p=64, но в папке libraries ничего из описанного автором не обнаружила.
Поскольку мой комп защищен, то проявления вируса пришлось выслушивать от пользователя - у него-то он и проявлялся во всей своей красе.
Получив с муками доступ к исходникам на сервере, первым делом стала искать эти фреймы и - ... не нашла. Но мне очень повезло - просматривая пхп, увидела странный код. Некоторые базовые php-файлы имели в первой строчке странный код:
eval(base64_decode("ВСЯЧЕСКАЯ-ДЛИННАЯ-АБРАКАДАБРА")).
Выполнив
echo base64_decode этой строки, я и увидела заветный код переброса посетителя на сайт порнухи. Вот и весь вирус оказался.-- (как мне показалось ! - прим. автора позже :))
Как он туда попал - не знаю, хотя интересно было бы на досуге поразмыслить. Конечно, пришлось ручками почистить - поиск с заменой по подстроке
eval(base64_decode. Зараженными были только несколько файлов в корне. Надеюсь, на этом и закончится эта эпопея.
Сменила пароль на ф-типи доступ.
Продолжение.../03-10-2010/
Эпопея не закончилась. Первого числа мне снова позвонили - вирус опять на месте!!!
Поскольку разбираться не было времени - просто залила старую исправленную версию (это о пользе бекапов).
Файлы в корне имели новую дату модификации - первое число. Поскольку подстрока была просто закомментирована - эти файлы не изменились, а вот файл в корне (configuration.php) до этого заражен не был - в него была дописана все та же закодированная строка редиректа.
Поставила запрет на запись на файлы и каталоги (см. http://www.zarabotay-s-nami.info/prava-na-papki-dlya-dzhumly/).
Да, по мере влезания в проблематику интересная ссылка попалась - http://www.joomlaspan.com/webtools/url-cloaking-checker.php -URL Cloaking Checker , проверяет что видит поисковый бот.
Посмотрим дальше...
Пока составляю перечень полезных ссылок для таких случаев и рекомендации.
Рекомендации
1. Перед тем, как лечить сайт необходимо убедиться, что Ваш персональный компьютер здоров. Если лечение производится с чужого компа или на компьютере стоит неизвестный антивирус, рекомендую проверить его свободной версией Доктор Веб:
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Полный набор антивирусных сканеров можно загрузить с официального сайта DrWeb:
DrWeb Official Site
Отдельный файл можно проверить тут, воспользовавшись формой:
2. Проверка сайта Dr Web:
http://www.freedrweb.com/aid_admin/
или воспользовавшись формой:
Проверить сайт на безопасность по Google и по Яндексу, и на фишинг, можно тут:
http://xseo.in/viruscan
3. На будущее - можно подключить к броузеру плагин, сканирующий веб-страницы:
http://www.freedrweb.com/linkchecker/
4. Ну и можно использовать мой любимый плагин
Web Of Trust -
Читать подробнее про WOT - Web Of Trust... Очень рекомендую установить и пользоваться, а также самим активно проставлять рейтинги неблагонадежным сайтам. Одним кликом устанавливается плагин к броузеру - и вы всегда будете предупреждены про качество сайтов, а на красные - вас и не пустит.
5. Простейший способ - хранить бекапы, и залить по новой из архива. Сложнее - взять исходники на машину и искать вирус самому.
6. Обязательно сменить пароль на ф-типи, входа в админку. Проверить права доступа - к админке, фтипи, проверить htaccess. Проверить права на создание-запись файлов и каталогов.
7. Некоторые вирусы блокируются автоматически. Если скопировать зараженный сайт на диск - вируса там может не оказаться. Так, например, Нортон антивирус блокирует запись файлов на диск, которые содержат в себе вирус. Об этом надо помнить.
8. Антивирусник NOD (первый раз про такой услышала в связи с этой задачей) - фигня полная. Об этом свидетельствует море отзывов, особенно на форумах по Joomla в разделах "заразился вирусом". Практически все авторы, писавшие про заражение, имели у себя этот NOD (и мои знакомые тоже :().
9. А вообще лучше брать исходные коды только из проверенных источников. Многие рекомендуют не гнаться за шарой - и пользоваться покупными версиями. Версии joomla я пока в продаже не нашла, а вот разработчики плагинов, официально продающие через интернет, - есть:
- Joomla Extensions Club фирмы СomponentsLab. Часть плагинов бесплатна.
- RSJoomla предлагает платформу для блогов, расширения календаря и событий, SEO Suite - RSSeo! (Search engine optimization suite for Joomla! 1.5), почты, Download Manager и много других. Важно - есть расширения по безопасности - Joomla Security - RSFirewall!. RSFirewall! предоставляет защиту от SQL-инъекций, сканирование и исправления дырок в защите и проч.
Dr.Web anti-virus
Posts
