Удаляем вредоносный код на сайте.

Увидев такую «картину», я приступил к поиску вредоносного кода. Вредоносный код, по своей сути, - это текст. В блоге руководителя техподдержки «1С-Битрикс» описан способ поиска вредоносного кода. Он заключается в поиске текста в файлах системы. Обычно, вирус, внедренный в файлы системы, выглядит как html-элемент <iframe>, с размерами 1px×1px. Однако, в моем случае, это было не так. Прежде чем искать вирус способом, предложенным техподдержкой, я открыл главную страницу сайта в текстовом редакторе и обнаружил в файле, кроме полезного содержимого, следующий код:

PHP

#32d494#
echo(gzinflate(base64_decode(набор символов - закодированные данные)));
#/32d494#

Вырезав код из файла главной страницы, я присвоил его переменной, а результат из переменной сохранил в файл средствами php. Открыв файл, обнаружил там текст, примерно следующего содержания:

HTML

<iframe src=”адрес заражающего сайта” width=”1” height=”1”></iframe>

Получается, что злоумышленники стали хитрее и тег “<iframe>” в код страницы не внедряют, а генерируется он во время открытия зараженной страницы путем исполнения php-кода. Из этого следует вывод, что способом, предлагаемым в блоге техподдержки «1С-Битрикс», связанным с простым поиском текста “<iframe ”, он бы не нашелся.

Далее я проверил все остальные файлы системы, уже простым текстовым поиском заражающего php-кода, а также поменял пароли на ftp-доступ и пароль администратора.

После всех действий, браузер сайт все равно не показывал, хотя вредоносный код уже был удален. Информация о том, что сайт распространяет вирусы, предоставляется Google.

Поэтому после удаления всего вредоносного кода, нужно зайти на страницу «Инструментов Google для веб-мастеров», добавить адрес сайта, и запросить отзыв Google о Вашем сайте. Если вредоносного ПО на сайте больше нет, через некоторое время предупреждение перестанет появляться, и вы увидите содержимое страниц сайта. У меня это произошло через сутки, после запроса отзыва.