19 січня ми отримали повідомлення від Яндекса: «Яндекс виявив на сайті life-trip.ru шкідливий код». Після чого в Яндекс.Вебмайстер з'явилася позначка: «На даний момент сайт виводиться в результатах пошуку з позначкою «Цей сайт може загрожувати безпеці вашого комп'ютера». Протягом 3-4 днів сайт так і висів поміченим, як небезпечний, хоча все було виправлено пару годин потому. Деякі бразузерах так само використовують інформацію від Яндекса, тому вони теж заблокували наш сайт. Трафік впав в кілька разів і дохід відповідно теж. У ці хвилини розумієш, як погано, коли зав'язка йде на один сайт і на пошукової трафік. Ледь що пошукачам не сподобалося і все ...
Але зараз вже все в порядку!
Зміст статті
Перевірка сайту на віруси онлайн
Трохи посилань на допомогу, хоча жоден з антивірусів нічого не показав. І тільки ті сайти, що перевіряють наявності сайту в базах небезпечних сайтів, показали, що Яндекс нас зазначив.
http://webmaster.yandex.ru - Яндекс.Вебмайстер показує які сторінки заражені
https://www.google.com/webmasters/tools/ - панель вебмастера від Google (в розділі Діагностика / Шкідливі програми
https://www.virustotal.com/ - перевіряє, що говорять пошуковики та інші системи
http://2ip.ru/site-virus-scaner/ - те ж саме, але перевірка тільки по Гуглу і Яндексу
https://www.stopbadware.org/clearinghouse/search - цей сервіс інформує google і mozilla про віруси
http://vms.drweb.com/online/ - антивірус доктор web, онлайн перевірка
http://sitecheck.sucuri.net/scanner/# - перевірка на віруси, на відміну від попереднього вірус показав
http://antivirus-alarm.ru/proverka/ - перевірка по декількох базах анітівірусов
http://virusscan.jotti.org/ru - перевірять тільки файли (можна зберегти сторінку сайту як html і завантажити її) по різним антивірусів
http://www.bertal.ru/ - можна подивитися код сторінки вашого сайту, як він бачиться пошуковими системами, корисна річ
А найкраще написати хостера, у нас це питання саме так зважився. Самостійно знайти шкідливий код не вдалося. Керівництва писати ніякого не буду, ось тут непогано написано про це.
Основний метод - це переглянути код сторінки на наявність там всякої нісенітниці, а після перевірити всі підкачуємі скрипти js і php файли вашої теми, чи не змінилося всередині них чого, найпростіше за розміром файлів дивитися, якщо додався туди код, то розмір буде більше, ніж у оригіналів. В ідеалі, потрібно перевіряти взагалі всі файли на хостингу, на предмет їх зміни, а також появи нових лівих файлів. Як варіант, скачати всі файли вашого хостинг-аккаунта собі на комп і перевірити кількома антивірусами, але не факт, що вони щось знайдуть.
Наша історія з вірусом
Якимось чином було змінено jquery.cycle.js в нашому wordpress шаблоні. Після його видалення і закачування з бекапу, хостер сказав, що шкідливих кодів більше немає. Досить оперативно все сталося. Проблема швидше за все була серйозна, скоріше це не вірус, а просто шкідництво, інакше б довелося б довше возитися. Начитався різних історій, як народ вичищає вірус, а він знову з'являється.
Як це сталося з нашим блогом, залишилося загадкою. Якби я зберігав паролі для ftp Total Commander, було б зрозуміло звідки ноги ростуть, але я знаю, що цього робити не можна.
В той же день я змінив паролі на всіх блогах, на ftp-акаунті і хостингу, у sql- баз сайтів і прогнав ноутбук двома антивірусами. Сподіваюся, що більше не проскочить нічого. Але потрібно буде ще почитати на цю тему.
Цілком може бути, що проблема була і в тому, що у нас в шаблоні завантаження jquery йде з ajax.googleapis.com, навіть на Хабре ця тема спливла, причому майже в той же день, що наводить на роздуми. Скачав на всякий випадок jquery на хостинг, щоб він довантажувати звідти.
Повторна перевірка сайту Яндексом
Подав на повторну перевірку в Яндекс.Вебмайстер: «Залишена заявка (19.03.2012 00:00) на повторну перевірку сайту, вона займе кілька днів.» І тільки на 4-й день відбулася ця довгоочікувана перепровека. У кого-то, судячи по форумах, вона може і через місяць відбутися, а у кого-то і через 2 години.
Що радять для прискорення:
- Написав в техпідтримку в той же день, але відповіли вони тільки через 4 дні, як раз разом зі зняттям блокування.
- Потрібно привернути увагу ботів, тому я випустив дві статті на цьому тижні.
- Ще увагу ботів можна залучити через цей сервіс http://www.imtalk.org/ або з будь-яких соціальних закладок прогнати, але цього зробити не встиг.
От якось так. Сподіваюся щось з написаного допоможе в боротьбі з вірусами. Щось останнім часом атаки стали більш приватними явищами 🙁