Смогут ли пользователи попасть на мой сайт с Яндекса, если он помечен как опасный?
Яндекс предупреждает своих пользователей о том, что посещение сайта
может быть опасно, но не блокирует доступ к нему. Пользователь сам
решает, переходить на сайт или нет.
Как вредоносный код попал на мой сайт?
Очень часто вредоносный код добавляется на сайты без ведома их
владельцев в результате действий злоумышленников. Это становится
возможным, если доступ к серверам или системе управления сайтом
получают посторонние лица, как по злому умыслу, так и в результате
неосторожности администратора системы.Кроме того, источником заражения могут быть баннерные системы, счетчики и другой сторонний
код, который вы сами установили на свои страницы. Это не всегда говорит
о злостных намерениях владельцев такого кода. Баннерные системы, также
как и отдельные сайты, могут быть взломаны злоумышленниками.Если ваш сайт позволяет пользователям размещать на нем свой контент,
возможно, что вредоносный код был размещен в одном из пользовательских
сообщений.
Что мне теперь делать?
Пожалуйста, удалите вредоносный код. Если при новой проверке код не обнаружится, пометка в результатах поиска будет снята.В некоторых случаях содержимое сайта может быть повреждено достаточно
сильно. В этом случае часто бывает проще восстановить данные из
резервной копии, чем заниматься лечением каждого файла вручную.
Как искать код?
Следует искать любой код, который не добавляли вы сами.
Особое внимание обратите на следующие вещи:
- теги
<script>
, содержащие ссылки на неизвестные вам ресурсы (например, такие
<script src="h__p://evil.com/1.js">;
-
теги <script>,
текст которых обфусцирован (то есть, зашифрован или запутан, например, так:
<!-- o65 --><script
type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d');
- скрипты, маскирующиеся под счетчики или баннерные системы,
содержащие перед текстом комментарии о том, что это счетчик, но
выполняющие непонятные действия или ссылающиеся на неизвестные вам
сайты; - теги
<iframe>, <object>, <embed>
, ссылающиеся на неизвестные вам страницы; особое внимание нужно
обратить на теги, атрибуты которых установлены таким образом, чтобы тег
был скрыт при просмотре страницы. Например: маленькие значения
атрибутов width/height
(0-10 пикселей); невидимость: position:absolute; display:none
и т.д.; - атрибуты expression
в стилях страницы, содержащие неизвестный вам текст, наример: <img style="top: expression(....) !important" >
; - недопустимые
элементы в контенте, размещенном пользователями (комментариях, статьях,
постах на форуме): странные вставки кода, флеш-ролики, скрипты, теги <iframe>, <object>, <embed>
.
Часто страница может содержать несколько подобных элементов, в том числе различных и ссылающихся на разные источники.
Что такое "вирусы на сайте”? Как правило, это банальный фрейм,
который либо накручивает показы какой-нибудь порно-странички,или, что
чаще, пытается подгрузить через дыры в браузерах копию трояна для вашей
операционной системы.В основном, это вирусы семейства Downloader.JS.*.
Трояны же могут выполнять самые разнообразные функции, от воровства
различных электронных кошельков и средств на них, до воровства паролей
к ftp и ssh от хостингов, для заражения новых сайтов.
Пароли, как бы они хорошо не шифровались, можно вытащить практически
из любой программы, к примеру из Far Commander или Mozilla Firefox
вытащить их проще некуда. И список таких программ достаточно обширен,
по факту – все популярные браузеры и ftp-клиенты.
Вытащенные пароли от ftp троян отправляет на сервер-матку, которая
их определённым образом обрабатывает, и ставит в очередь на заражение.
Звучит немного бредово, но на самом деле это до смешного просто
реализовать. Единственная сложность, которую я вижу прямо сейчас – это
обеспечить большую скорость работы вредоносного скрипта.
Эти самые скрипты, логинясь на фтп, проходятся по всем каталогам
рекурсивно, внедряя свой код в определённые файлы. Как правило их можно
назвать двумя масками: index.* и *.js. Обычно эти скрипты внедряют код
разными способами, к примеру обычный фрейм, или вызов удалённого JS,
который рисует тот-же самый фрейм. Способов достаточно много.
Часто зловредный код маскируется под популярные сервисы, к примеру под Аналитику от Google или счётчик от LiveInternet.
Если с прямой угрозой заражения компьютера мы, как грамотные
пользователи, справится можем, то с угрозой самим сайтам справится
сложнее.
Во-первых, с момента заражения ваш сайт, а то и сайты – это
разносчик заразы, и если ваша аудитория девушки-школьницы – то есть
большой шанс того, что заражённых машин будет довольно много.
Во-вторых, все современные браузеры блокирует заражённые сайты,
основываясь на статистике от специализированных поисковых роботов
Google. Выглядит это как на картинке сверху. Естественно, что к вашему
Е-магазину, сайту-визитке или просто к блогу – отношение будет резко
негативное. Клиента или читателя так потерять недолго.
В-третьих, если заражённый сайт достаточно долго висит без
устранения зловредного кода, он начинает скатываться с позиций в
поисковых системах. Точно скатывается в Яндексе и в Google. По поводу
остальных – я не уверен. Плюс, в выдачи Google напротив заражённого
сайта стоит пометка, мол опасен сайт, остерегайтесь.
Так же часто падение идёт и по вину владельца сайта, так как многие
перекрывают через htaccess индексный файл какой-нибудь страничкой, с
лаконичным "Технические работы”. Но в данном случае, лучше временно
потерять позиции, чем позволить сайту и дальше заражать людей, в то
время, пока вы исправляете последствия заражения.
Кстати, вот что говорит Google на предмет страницы google-analistyc.net:
В итоге, от заразы можно избавится, по сути, двумя способами. К
примеру, если ваши сайты включают в себя зловредный код, который ведёт
на google-analistyc.net, то вам поможет вот такой код:
grep -R google-analistyc.net . | awk ‘{print $1}’ | cut -d ":” -f 1
| xargs -n1 sed -i ” ‘s|<\!– ~ –><iframe
src=\”http:\/\/google-analistyc.net\/in.cgi?12\” width=\”0\”
height=\”0\” style=\”display:none\”><\/iframe><\!– ~
–>||g’
Соответственно, если вы обнаружили, что видов зловредного кода
два-три – то вот таким нехитрым способом можно вычистить достаточно
быстро.
Второй способ – это руками. Иногда мне приходилось править файлы
руками, потому что весь зловредный код был абсолютно разным, и я не
смог написать под него регулярное выражение.
После того, как вы удалите весь зловредный код, внимательно следите
за тем, что подгружается на страницу, к примеру с помощью firebug для
firefox. Возможно, вы что-то пропустили.
Ну а про смену паролей на ftp, я и вовсе, промолчу – думаю вы сами дагадались, что его-то менять надо в первую очередь.
Для того, что бы избавится от красного ярма на сайте (см. вторую
картинку), необходимо будет провернуть пару незамысловатых мероприятий
и подождать примерно около недели. Хотя русская поддержка Google бьёт
себя пяткой в грудь и настаивает, что меньше месяца ну никак не выйдет.
Выходит, и только в путь.
Всё просто, вам необходимо зайти в панель Вебмастера Google (а если
её нет, то зарегистрироваться и провалидировать сайт), и отправить
заявку на рассмотрение. Рассматривает разумеется роботами, потому
почистить надо хорошо. Если при рассмотрении, о котором вы сами и
попросили, ваш сайт снова будет признан опасным, время его "обеления”
резко увеличивается.
Способы есть и их как видите много.
Какие именно страницы сайта заражены?
Сайт помечается как опасный, если на нем обнаружена как минимум одна страница, содержащая вредоносный код.
Перелопатить все страницы?? нуу нет! лучше достать все из бекапа, да возможно...НО!
Действенные легкие способы:
1. Регистрируем ак. в поисковике который вас включил в список, к примеру Яндекс.
2. Выбираем сервис вебмастер, туда добавляете свой сайт
3. Заходите в раздел "безопасность" и к вашему удивлению там будет уже лежать адрес на вашу страницу которую яндекс отнес к зараженным
4. Когда разберетесь с проблемой и будете уверенны что все вылечено, зайдите снова в "безопасность" и отправьте запрос на перепроверку сайта
Точно так же делать и с Google, но Яндекс на много чаще запускает своих роботов для индексирования, потому всегда следите за сайтом со строны поиска вашего контента.
И вот пожалуйста, результат не заставил себя ждать:
