Естественно, любой нормальный человек, никогда не перейдет на такой сайт! Он быстренько нажмет на кнопку "Уходим отсюда" и впредь будет внимательнее при выборе сайта. Как обнаруживается наличие вредоносного кода на сайте?
На это может указывать резкое падение посещаемости сайта (при условии, что с хостингом проблем нет) либо сама поисковая система обнаружит вредоносный код и вам сообщат об этом посетители, если вы сами к тому моменту еще его не обнаружили. Найти и обезвредить посторонний код на своем сайте нужно как можно быстрее, иначе если владелец сайта будет бездействовать, то поисковые системы могут расценить ваш ресурс как "заброшенный" или умышленно зараженный.
Что нужно предпринять, чтобы самостоятельно обнаружить и удалить вредоносный код со своего сайта?
Как пишет сам Яндекс, чтобы найти вредоносный код, следует искать любой код, который не добавляли вы сами. Для этого в Яндекс.Вебмастере
проанализируйте информацию о заражении на вкладке Безопасность. Там увидите перечень зараженных страниц, даты проверок и вынесенные антивирусом вердикты.
Перейдя по ссылке в названии вердикта, вы увидите его описание и примерный вид соответствующего вердикту кода (кода, который непосредственно появляется на страницах сайта). Также можно просмотреть код страницы в Гугл вебмастер – «диагностика» — «Просмотреть как Googlebot» — и сравнить его с оригинальным кодом, отметить сторонние коды и выяснить, откуда они и зачем.
При визуальном анализе кода страниц особое внимание следует обратить на следующие вещи:
- теги <script>, содержащие ссылки на неизвестные вам ресурсы (например, такие <script src="h__p://evil.com/1.js">;
- теги <script>, текст которых обфусцирован (то есть, зашифрован или запутан, например, так: <!-- o65 --> <script type="text/javascript"> document.write или ('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072'),(base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);
- скрипты, маскирующиеся под счетчики или баннерные системы, содержащие перед текстом комментарии о том, что это счетчик, но выполняющие непонятные действия или ссылающиеся на неизвестные вам сайты;
- теги <iframe>, <object>, <embed>, ссылающиеся на неизвестные вам страницы; особое внимание нужно обратить на теги, атрибуты которых установлены таким образом, чтобы тег был скрыт при просмотре страницы. Например: маленькие значения атрибутов width/height (0-10 пикселей); невидимость: position:absolute; display:none и т.д.;
- атрибуты expression в стилях страницы, содержащие неизвестный вам текст, наример: <img style="top: expression(....) !important" >;
- недопустимые элементы в контенте, размещенном пользователями (комментариях, статьях, постах на форуме): странные вставки кода, флеш-ролики, скрипты, теги <iframe>, <object>, <embed>;
- динамическое исполнение кода (eval, assert, create_function);
- загрузка удаленных ресурсов (file_get_contents, curl_exec).
После успешного обнаружения вредоносного кода, для избавления от него, первым делом поменяйте пароли для ftp-аккаунта и панели управления. После удаления кода еще раз смените пароли, это во-первых, не займет много времени, а во-вторых, повысит безопасность сайта.
Чтобы в будущем подобная проблема вам не докучала, проанализируйте все возможные способы заражения:
1. Злоумышленник может получить пароли доступа к администраторским панелям CMS, FTP или SSH аккаунтам. Обычно пароли подбирают или крадут с помощью троянских программ, заразивших компьютер веб-мастера.
2. Уязвимости веб-приложения могут позволять посторонним размещать на сайте произвольный код.
3. Из-за заражения внешнего ресурса (партнерской программы, баннерной системы, счётчика) предоставленный вам код может стать опасным для пользователей.
4. От пользователей с расширенными полномочиями и правами на вашем сайте. Как показывает практика, не всем пользователем можно доверять, как самому себе.
5. От заражения всего сервера, такое тоже бывает. Для этого стоит проверить другие сайты, расположенные на этом сервере.
После удаления вредоносного кода обязательно повторите проверку в Яндекс.Вебмастере, нажав на кнопку Перепроверить в разделе Безопасность. Пометка об опасности сайта в результатах поиска будет снята, если при очередной проверке робот не обнаружит зараженных файлов.
В течение нескольких недель после заражения следует регулярно перепроверять файлы и код сайта на тот случай, если использованная уязвимость не была устранена, или злоумышленники по прежнему имеют доступ к сайту.
Если не получается вылечить свой сайт своими руками, обращайтесь за помощью – на форумы, к фрилансерам, на свой хостинг... Только не тяните со временем, помните – Ваш сайт не рекомендован для просмотра и поисковые машины ждут от Вас активных действий!
В следующем материале я продолжу тему и расскажу о некоторых сервисах, где дополнительно можно проверить свой сайт на наличие вирусов и вредоносного кода.
Всем успехов и до новых встреч! С ув. Светлана (SvetLana_TSV)