Вредоносный код или решаем проблему с GoogleЗдравствуйте, уважаемые читатели! Многие из вас, возможно, заметили, что последние несколько дней при входе на блог «Два миллионера» выдавало сообщение: «Имеется информация, что эта веб-страница атакует компьютеры!». Неприятный случай, и такое может случиться с каждым владельцем блога или сайта, поэтому попробую описать, почему это произошло и как от этого избавиться.

Для тех, кто не читал пост «Warning: Попытка взлома блога», сообщу вкратце, что задача вредоносного кода привести ваш блог или сайт в нерабочее состояние путем иньекции скрипта в движок WordPress. В прошлый раз при попытке взлома блога скрипт не позволял отображать страницы ресурса, выдавая сообщение такого рода: «Warning: Cannot modify header information – headers already sent by (output started at /aaa/bbb/ccc/www/blogname.com/wp-admin/index.php:1) in /aaa/bbb/ccc/www/blogname.com/wp-includes/pluggable.php on line 868». В этот же раз создатели скрипта поступили хитрее: они внесли скрипт вредоносного кода на страницы блога, при этом ничего не сообщая пользователям. Таким образом, если в прошлый раз можно было увидеть, что кто-то атаковал блог посредством непонятных сообщений, то на этот раз вредоносный код разместился на блоге и никак о себе не заявил.

В то время как вредоносный скрипт был на блоге около недели, Google проиндексировал некоторые страницы ресурса и обнаружил этот код. Естественно Google сразу же поместил наш блог в черный список (blacklist) и вы могли видеть сообщение такого вида:

Имеется информация, что эта веб-страница атакует компьютеры

Кликая по кнопке «Почему эта страница была заблокирована?» отображалось такое пояснение:

Страница диагностики

Сообщение указывало на вредоносный код, ссылающийся на ratingstat(точка)ком. В то же мгновение с сервера были перелопачены все файлы и действительно был размещен похожий скрипт, который я описывал в статье о попытке взлома блога. Я избавился от скрипта-паразита, заменил пароль ftp пользователя, но предупреждающее сообщение, к сожалению, не исчезло. Многие популярные браузеры такие как Firefox, Google Chrome, Safari используют гугловскую базу данных вредоносного ПО и предупреждают пользователей о вредоносном сайте, поэтому сообщение отображалось во всех этих браузерах кроме Internet Explorer.

Итак, после того, как код был извлечен, что же делать дальше? Как убрать информационное сообщение, если блог чист? Гугл предлагает проанализировать сайт с помощью Инструментов Google для веб-мастеров. Я последовал этому предложению.

Немного подробнее об этом. Сперва я добавил блог www.2millionera.com (убедитесь, что ресурс указан c www или без www в зависимости от вашего случая). Далее идем во вкладку Dashboard (пишу вкладки на английском, т.к. у меня панель вебмастера англоязычная) и видим на красной строке белыми буквами указано, что сайт распространяет вредоносное ПО.

Предупреждающе сообщение

После того, как нажали на ссылку о детальной информации на появившейся странице жмем на ссылку Request a review (подать заявку на пересмотр сайта), отмечаем чекбокс галочкой, подтверждая, что вредоносный код или ссылки на него удалены.

Заявка на пересмотр сайта

Небольшая заметка: не удаляйте инфицированные страницы, а очищайте их от вирусного кода. Если Гугл отметил конкретные урлы с вредоносным скриптом, он при перепроверке может глянуть именно на эти страницы и если их не окажется, то система подумает, что вы удалили их временно только для просмотра, а после этого вернете обратно. Если вам не нужны эти страницы, вы можете оставить их пустыми, а потом уже удалить после успешного просмотра системой Гугл.

Далее комментариях пишу свой запрос (этот шаг не обязателен, но я решил все же добавить для убедительности):

«Good day, dear site administrators!
My personal blog http://www.2millionera.com got blacklisted. I investigated the matter and discovered that the website was attacked by harmful code. I detected the harmful code and removed it therefore the blog 2millionera.com no longer presents any threat to users. I also changed the ftp user password to prevent any further attack.
Please remove 2millionera.com from the black list.»

Неуверен есть ли панель вебмастера на русском языке, поэтому напишу на всякий случай перевод своего обращения в Гугл, может, кому-то пригодится:

«Добрый день уважаемые администраторы сайта!
Мой личный блог http://www.2millionera.com попал в черный список. Я проверил сайт и обнаружил, что он был атакован вредоносным кодом. Я удалил обнаруженный код и на данный момент блог 2millionera.com больше не представляет никакой угрозы для пользователей. Я также изменил пароль ftp пользователя для предотвращения будущих атак.
Пожалуйста, удалите 2millionera.com из черного списка.»

После отправки запроса в верхней части веб страницы высветилось сообщение: «Ваш запрос на пересмотр сайта был принят. Вы можете проверить результаты по вашему запросу немного позже».

Заявка на пересмотр сайта принята

Я подождал час-полтора и не увидев никакого прогресса, решил попробовать еще раз сделать тоже самое, но получил ответ: «Пересмотр этого сайта все еще в процессе. Пожалуйста, проверьте позже».

Пересмотр сайта в процессе

Спустя около 3-4 часов можно было воскликнуть «О чудо!» :) — блог был исключен из черного списка Гугла.

От себя скажу, жаль, что таланты программистов, которые осуществляют иньекцию вредоносного кода, занимаются такой чушью деятельностью вместо того, чтобы создавать нечто новое и грандиозное. Надеюсь, пост был информативным для вас, желаю, чтобы ваши блоги или сайты паразиты  обходили стороной! До скорых встреч…


16 комментариев : “Вредоносный код или решаем проблему с Google”

  1. А где обычно находится вредоносный скрипт?

  2. Столкнулся с похожей ситуацией. Только предупреждение касалось того, что «возможно, ваш сайт был взломан». Разбирательство привело к тому, что непонятно каким боком проникли чужие скрипты на сайт — фтп ли взломан был, или оплошность необновляющегося хостера, а страдает владелец. Очень грязное место — Интернет

  3. А где обычно находится вредоносный скрипт?

    В основном заражены index.php страницы в разных директориях CMS

  4. Ха что то ты отстал от жизни. Панель вебмастерс на русском уже давно давно существует.

  5. Панель вебмастерс на русском уже давно давно существует.

    похоже, что отстал, буду наверствовать :) , видимо из-за того что моя операционка на англ., поэтому автоматически подтягивается панель вебмастера на английском

  6. Была похожая ситуация на сайте клиента, только вот код распространился по всем файлам php формата. Вычищал часа 2, да и еще несколько лишних файлов на сервере появилось — тоже удалил.

  7. Прочитала всю статью, но не всё поняла. Опишу свою проблему. Сегодня при заходе на свой сайт вышло сообщение об ошибке 404. И ни одна страница не открывается, С хостинга прищло письмо, о том что на сайте обнаружено вредоносное ПО с какими то ссылками, переходя по этим ссылкам требуют что-то загрузить, я не понимаю что. И что мне делать? Помогите пожалуйста советом.

  8. Татьяна, ответил вам на почту.

  9. Здравствуйте, не знаю что делать. мой комп заблокирован требуют отправить СМС на телефон МТС  и чтобы на счету было 500р. Посоветуйте

  10. Светлана, есть предварительное решение данной проблемы, которое зачастую встречается у пользователей. Постараюсь описать в одном из постов эту тему, а пока отправил вам e-mail.

  11. У меня подобная проблема.Сначала всплывали окна о вредоносном ПО.Поменяла логин и пароль от админки сайта.Теперь появляются окна об устаревшем хроме и сообщениях в контакте.Естественно предлагается ввести номер телефона.Может вы подскажите как быть.

  12. Ольга, сначала надо определиться: у вас проблема с сайтом или с вирусом на компьютере? Ввести номер телефона я встречал только при наличии вируса на компьютере. Какие именно окна у вас всплывают в хроме и вконтакте? Пожалуйста, напишите мне e-mail на почту vivo@2millionera.com , желательно со скриншотами, попробуем решить вашу проблему.

  13. А у меня недавно появилась проблема: в коде блога появился символ а8. Он создает ошибки сканирования для Google. Интересно, что поиск по файлам указывает, что есть такой «а8″ в количестве одного элемента, а место его нахождения не указывает. Как мне его удалить?

  14. Ульяна, посмотрел на ваш блог и не нашел символа а8 ни внешне, ни в исходном коде страниц. Вы каким-либо образом видите его проявления (внешне)? С такой ситуацией не сталкивались. Вышлите, пожалуйста, скриншоты с Google Webmaster Tool, чтоб рассмотреть эту проблему.

  15. Спасибо большое за ответ! Долго мучилась сама, пытала других, это было, как заноза, а оказалось, что «ларчик просто открывался»: проблему создавал плагин, после удаления которого все восстановилось! Спасибо еще раз за ответ!

  16. А как вообще находить вредоносный или внедренный скрипт?

Трекбеки/Пинги

  1. История спасения - [...] . Попала я на его сайт совершенно случайно по статье “вредоносный код или решаем проблему с Google” . Если ...

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

*