Матвей Земсков

Заметки веб-мастера

Воскресенье, 08 июля 2012 17:20

Удаляем вредоносный код на сайте.

Оцените материал
(2 голосов)

Однажды, зайдя на сайт одного из клиентов, вместо главной страницы я увидел следующее предупреждение: «Имеется информация, что эта веб-страница атакует компьютеры!»

уведомление о вредоносном коде на сайте

Сайт работает на CMS «1C-Битрикс. Управление сайтом». Несмотря на то, что разработчики системы уделяют огромное внимание безопасности своего продукта (в системе есть компонент «веб-антивирус»), случаи внедрения вредоносного кода в станицы все равно происходят. В основном заражаются те сайты, которые нерегулярно обновляются.

Увидев такую «картину», я приступил к поиску вредоносного кода. Вредоносный код, по своей сути, - это текст. В блоге руководителя техподдержки «1С-Битрикс» описан способ поиска вредоносного кода. Он заключается в поиске текста в файлах системы. Обычно, вирус, внедренный в файлы системы, выглядит как html-элемент <iframe>, с размерами 1px×1px. Однако, в моем случае, это было не так. Прежде чем искать вирус способом, предложенным техподдержкой, я открыл главную страницу сайта в текстовом редакторе и обнаружил в файле, кроме полезного содержимого, следующий код:

PHP

#32d494#
echo(gzinflate(base64_decode(набор символов - закодированные данные)));
#/32d494#

Вырезав код из файла главной страницы, я присвоил его переменной, а результат из переменной сохранил в файл средствами php. Открыв файл, обнаружил там текст, примерно следующего содержания:

HTML

<iframe src=”адрес заражающего сайта” width=”1” height=”1”></iframe>

Получается, что злоумышленники стали хитрее и тег “<iframe>” в код страницы не внедряют, а генерируется он во время открытия зараженной страницы путем исполнения php-кода. Из этого следует вывод, что способом, предлагаемым в блоге техподдержки «1С-Битрикс», связанным с простым поиском текста “<iframe ”, он бы не нашелся.

Далее я проверил все остальные файлы системы, уже простым текстовым поиском заражающего php-кода, а также поменял пароли на ftp-доступ и пароль администратора.

После всех действий, браузер сайт все равно не показывал, хотя вредоносный код уже был удален. Информация о том, что сайт распространяет вирусы, предоставляется Google.

Поэтому после удаления всего вредоносного кода, нужно зайти на страницу «Инструментов Google для веб-мастеров», добавить адрес сайта, и запросить отзыв Google о Вашем сайте. Если вредоносного ПО на сайте больше нет, через некоторое время предупреждение перестанет появляться, и вы увидите содержимое страниц сайта. У меня это произошло через сутки, после запроса отзыва.

Прочитано 9293 раз
Мои услуги

Предлагаю следующие услуги:

  • Верстка шаблона сайта из дизайн-макета для CMS «1С-Битрикс Управление сайтом» и CMS “Joomla”
  • Создание форм различной сложности (обратная связь, анкеты и тп) для указанных CMS
  • Настройка и кастомизация компонентов и модулей для указанных CMS
  • Доработка модулей и компонентов для указанных CMS, добавление нестандартного функционала
  • Разработка лендингов (landing-pages)

По все вопросам обращайтесь через форму обратной связи

Скачать

Предлагаю вашему вниманию:

Наверх