Tegnap egész nap kapkodva-kapkodva rohangáltam, és úgy adódott, hogy csak most szabadultam teljesen, így a tegnapelőtt ígért jegyzet megjelenése némileg késett.

Két napja röviden beszéltem az elmúlt napokban rám zuhantakról, most pedig az előző jegyzetben megállított helyzetet kívánom leírni - a vírusokról az oldalaimon.

Általában ilyen volt.

November 10-én 17 óra körül kaptam egy értesítést a Yandextől a témával "Potenciálisan veszélyes kódot észleltünk a webhelyen", amelyet az oldal oldalain találtunk. A Yandex szerint ez a kód veszélyes lehet a látogatók számára, és ezzel kapcsolatban a keresési eredmények között az oldalam a jelzéssel jelent meg.

Természetesen ez az állapot nem jött be nekem, és siettem, hogy megnézzem az oldalamat, hogy nincs-e idegen kód és egyéb „szemét”, amely befolyásolhatja a vírusok megjelenését.
Ezzel a levéllel együtt kaptam egy értesítést, hogy pénzt utaltak be a számlámra.

Üzenet szövege:

Az Ön előfizetői fiókja a következő összegben kapott kifizetést: 0 rubel.
fizetési mód: Hostland.ru miatt
és bónuszt írtak jóvá a következő összegben: 1668 rubel.
domain bónuszokat is kapott a következő összegben: 1

Akárhogy is legyen, már tényleg nincs átirányítás a webhelyeimen – a problémát megtalálták és elhárították, de a történtekről, hát kivel nem?

Mindezek ellenére továbbra is elégedett vagyok vendéglátóm munkájával, főleg, hogy végül sikerült mindent rendbe hozni, és megszabadulni az úgynevezett bajoktól. Számomra nem lényegtelen momentum volt a számla feltöltése, és nem titkolom, szerintem ez nagyon helyénvaló volt, mindazok után, amivel szembe kellett néznem.

A jegyzetben még nem említettem sehol, hogy a rosszindulatú kódok keresése során és az ügyfélszolgálati szakemberek tanácsára Ellenőriznem kellett a számítógépemet, hogy nincs-e benne vírus. Mindezeken felül több online szkennerrel ellenőriztem az oldalamat vírusok szempontjából, ami természetesen több időt igényelt, amit szerintem jól eltöltöttek – a túlzott magabiztosság soha senkinek nem ártott.

Nem található rosszindulatú kód az oldalon

Mostanra az összes webhelyem teljesítménye helyreállt, nincsenek vírusok és nincs átirányítás a webhelyeken, a Yandex keresőmotor összes korlátozása eltávolítva a blogról - általában minden rendben van. Még jó, hogy minden jól végződött, de összességében érdekesen alakult a helyzet.

Nos, hogy tetszik ez a történet, amelyben egy szakács végzettségű személy bebizonyította a profi programozóknak, hogy gondot okoz a felszerelése, mi?

Sikerült elszórakoztatni a hangulattal és örömet szerezni a számla feltöltésével, új ismeretekkel, tapasztalatokkal gazdagodott, de ami a legkellemetlenebb, idegesített, de nem szabad idegeskednem - ez rossz hatással van a jó közérzetemet!

Általában ne adj Isten, hogy valaki szembesüljön ugyanezzel a problémával, mert az utolsó pillanatig csak téged tekintenek bolondnak.

Egyetlen webhelytulajdonos sem akarja, hogy a webhelyéről érkező forgalom ismeretlen webhelyekre irányítsa át – ez nem érdekli az ügyfeleket, aláássa a vásárlók bizalmát, és szankciókat von maga után a keresőmotorok és a vírusirtó részéről.

Ebben a cikkben megvizsgálom a vírusátirányítások beágyazásának főbb lehetőségeit.

Figyelem! Az átirányítás törlésével csak a következményt törli, hogy a helyzet ne ismétlődjön meg, keresse a vírusok okát az oldalon!

Ezenkívül a rosszindulatú átirányításokat rosszul észlelik a szkennerek és a vírusirtók, ami gyakran megköveteli a gonosz forrásának kézi keresését.

Mindenekelőtt a kód beszúrását keressük a fájlokba .htaccess, különösen a webhely gyökerében

Minden, amivel kapcsolatos ÚjraírniÉrdemes megnézni, hogy hova irányítja át.

Az alábbiakban adok néhány rosszindulatú beszúrást - amelyek ajtónyílásokat és több ezer oldalt hoznak létre a keresésben, az úgynevezett japán spamet (seo-spam, hieroglifás oldalak - sok név van):

Újraírási szabály ^([^\d\/]+)-(+)-(+)%(.*)+%+%([^\d\/]+)+%(.*)+%+%( [^\d\/]+)+%(.*)+%+%([^\d\/]+)([^\d\/]+)%(.*)+%+%+% (.*)+%+%(.*)F%(.*)+%(.*)+%([^\d\/]+)(+)%(.*)+%+%+% +%(.*)+%(.*)+%([^\d\/]+)+%(.*)+%+%+%(.*)+%+%+%(.*) +%(.*)+%+%(.*)+%([^\d\/]+)(.*)%(.*)+%(.*)+%(.*)(.*) )%([^\d\/]+)F%(.*)+%+%([^\d\/]+)+%(.*)+%+%+(+)%(.*) )+%+%(.*)(.*)%(.*)+%+%([^\d\/]+)+%(.*)+%+%(.*)([^\ d\/]+)%(.*)+%(.*)+%(.*)(+)%(.*)+%(.*)(.*)%+(.*)%(. *)+%+F%(.*)F%(.*)+%+%([^\d\/]+)(+)%(.*)+%+%(.*)([^ \d\/]+)%+\/.*..*$ ?$65$39=$62&%(QUERY_STRING)[L]

^(+)\/([^\d\/]+)(+)(.*)+%+%+.*-S.*-.*-F.*-([^\d\/] ]+).*-+..*$ ?$7$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)(+)+%+([^\d\/]+)+%+(+)+%+([^\d \/]+)+%+(+)+%+([^\d\/]+)+%+(+)+%+([^\d\/]+)(+)%+(+ )+%+%+(+)+%+([^\d\/]+)-.*-+..*$ ?$15$1=$14&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)-+.*+..*$ ?$1$3=$2&%(QUERY_STRING)[L]

^(+)\/([^\d\/]+)(+).*HM+L.*+.*+N.*+YW.*+.*+.*(+)+.* +F.*W+.*+.*F+ZW.*HR.*(.*)--$ ?$2$10=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+).*+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+).*..*$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+).*(+).*L+N.*YXJ.*HJ.*WF.*+.*Y+.*(.* ).*R.*Y.*V.*+Q.*$ ?$2$1=$4&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)\/$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+).*(+).*L+.*+.*+YW.*+.*+.*(+)+-$ ? 2$8=4$&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-.*-.*-.*% +F&.*=.*$ ?$2$1=$3&%(QUERY_STRING)[L]

^(+)\/([^\d\/]+)(+).*HM+L.*+.*F+ZW.*WF.*+.*Y+.*(.*).* ZG+.*ZXN+.*WN.*ZH(.*).*$ ?$2$1=$3&%(QUERY_STRING)[L]

^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%+%(+)+%([ ^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(+)%(+ )+%+([^\d\/]+)%(+)+%([^\d\/]+)+-%(+)+%+%(+)+%([^\d \/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+ )+%+%(+)+%+([^\d\/]+)$ ?$36$1=35$&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*+$ ?$1$3=$4&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-.*-.*-.*- .*%+F$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)(.*)%+F%+F.*..*%+F.*-+-.*-.*-. *-.*-.*%+F&.*=.*$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)_+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/.*-.*-+-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/+.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)(.*)+%+%+-.*+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

^(+)\/([^\d\/]+)(+)-.*-V.*%+(.*)+%+%+.*-S.*+..*$ ? $2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/.*-.*-+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)-+..*$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)..*&.*=.*\:\/.*-+..*\/.*-.*-.* -.*-.*-.*\/&.*=+K([^\d\/]+)&.*=%(+)+%(.*)+%(+)+%([ ^\d\/]+)(.*)%(+)+%+%(+)+%([^\d\/]+)(.*)+%(+)+%([^\ d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%+%(+)+%([^\d\/]+)+ %(+)+%+%(+)+%+(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^ \d\/]+)++%(+)+%++%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+) +%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\ d\/]+)++%(+)+%([^\d\/]+)++%(+)+%([^\d\/]+)F%(+)+%( [^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%+%(+)+% ([^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+) %(+)+%([^\d\/]+)+&.*=+&.*=+&.*=+&.*=.*\:\/.*+..*.. *..*\/.*\?.*=OIP.(.*).*U.*+.*(+).*U.*+.*+V+.*Q(.*).*( +).*&.*=+.+&.*=+&.*=+&.*=+&.*=+&.*=+&.*=%(+)+%(.*) +%(+)+%([^\d\/]+)(.*)%(+)+%+%(+)+%([^\d\/]+)(.*)+% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%+%(+)+%([ ^\d\/]+)+%(+)+%+%(+)+%+(+)%(+)+%([^\d\/]+)+%(+)+%+ %(+)+%([^\d\/]+)++%(+)+%++%(+)+%([^\d\/]+)+%(+)+%( [^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)+%(+)+% ([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+% ([^\d\/]+)(+)%(+)+%([^\d\/]+)++%(+)+%([^\d\/]+)++% (+)+%([^\d\/]+)F%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/] +)+%(+)+%+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/ ]+)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+&.*=+.*+.* &.*=+.*+.*&.*=+.*+.*&.*=+.*+.*+.*&.*=+.*+.*+.*$ ?148 $146 =147 USD&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)%([^\d\/]+)+%(+)+%([^\d\/]+)+% (+)+%([^\d\/]+)+%(+)+%+%(+)+%+([^\d\/]+)&.*=+&.*=+ $ ?$11$1=$10&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)%.*%.*+%+%.*+%.*%.*+%.*+%.*+%. *%.*+%.*+%.*+%+%.*+%.*%.*+%+.*%.*+%.*+-%.*+%+%.*+% .*+%.*+%+%.*+%.*+%.*+%.*%.*+%+%.*+%+.*\/$ ?$2$1=$3&%(QUERY_STRING )[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)%.*%.*+%.*%.*+%.*+%.*+%.*%.*+% +.*\/$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)\/.*-.*\/+\/.*$ ?$2$1=$3&%(QUERY_STRING)[L]

^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%+%(+)+%([ ^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(+)%(+ )+%+([^\d\/]+)%(+)+%([^\d\/]+)+-%(+)+%+%(+)+%([^\d \/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+ )+%+%(+)+%+([^\d\/]+)\/.*\/+\/$ ?$36$1=35$&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*+\/$ ?$1$3=$4&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)%([^\d\/]+)F%(+)+%+%(+)+%([^\d \/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([ ^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/] +)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d \/]+)+%+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+% +%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+ %([^\d\/]+)(+)&.*=-+&.*=-+$ ?$49$38=50$&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/.*-.*-.*-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/.*+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)%([^\d\/]+)F%(+)+%+%(+)+%([^\d \/]+)+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(+)%(+)+%([ ^\d\/]+)(.*)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)% (+)+%([^\d\/]+)+%(+)+%([^\d\/]+)(.*)%(+)+%([^\d\/] +)+%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%([^\d \/]+)++%(+)+%([^\d\/]+)(+)%(+)+%([^\d\/]+)+%(+)+%+ %(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(.*)%(+)+% ([^\d\/]+)(+)&.*=-+&.*=-+$ ?$49$38=50$&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/+.*+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)..*$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)%.*%.*+%+%.*+%.*%.*+%.*+%.*+%. *%.*+%.*+%.*+%+%.*+%.*%.*+%+.*%.*+%.*+-%.*+%+%.*+% .*+%.*+%+%.*+%.*+%.*+%.*%.*+%+%.*+%+.*\/.*\/+\/$ ?2 USD $1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)&.*=-+$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)&.*=+$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/+%(+)+%+.*\/$ ?$1$3=$4&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)(.*)+%+%+.*-S.*..*$ ?$2$1=$3&%(QUERY_STRING)[ L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)..*$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%([^\d\/]+ )([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+)+ %+([^\d\/]+)\/$ ?$15$1=14$&%(QUERY_STRING)[L]

^(+)\/([^\d\/]+)(+)%([^\d\/]+)(.*)%(+)+%+%(+)+%([ ^\d\/]+)([^\d\/]+)%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+ )(+)%(+)+%([^\d\/]+)+%(+)+%+%(+)+%([^\d\/]+)(+)%(+ )+%+([^\d\/]+)%(+)+%([^\d\/]+)+-%(+)+%+%(+)+%([^\d \/]+)+%(+)+%+%(+)+%([^\d\/]+)+%(+)+%([^\d\/]+)F%(+ )+%+%(+)+%+([^\d\/]+)\/$ ?$36$1=35$&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^(+)\/([^\d\/]+)(+)$ ?$2$1=$3&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)+\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)-.*\/\?.*=+$ ?$1$3=$2&%(QUERY_STRING)[L]

Újraírási szabály ^([^\d\/]+)-(+)-(+)-.*\/$ ?$1$3=$2&%(QUERY_STRING)[L]

Ha ilyesmit lát - nyugodtan törölheti, ha kétségei vannak, hogy melyik sorokat hagyja el, akkor vegye be a CMS szabványos fájlját - ott nem lesz vírus!

Általában az átirányításokat írják elő mobilról és táblagépről érkező kérések esetén:

android|plucker|zseb|psp|symbian|treo|vodafone|wapés a mobil fejlécek egyéb változatai

ami a keresőmotorokból való átmenetet illeti:

yandex|google|mail|rambler|vk.com

Ha ez az elem nem segített, akkor figyeljen az oldal kódjára - néha Javascripten keresztül gyakran átirányítást adnak hozzá

A rosszindulatú kódok eltávolításához előfordulhat, hogy az összeset ki kell cserélnie .js fájlokat.

Ügyeljen arra, hogy ellenőrizze az indexfájlokat és a sablon mappát – ezek a hackerek kedvenc helyei a vírusok számára. Különösen óvatosan nézze át a fájlokat. index.php, lábléc.php, fej.php, fejléc.php- az utóbbi időben népszerűvé vált, hogy magukat a vírusokat nem bennük, hanem linkek formájában helyezik el. Ezért gondosan ellenőrizze, hogy mely fájlok töltődnek be parancsokkal tartalmazzaés igényelnek.

A legkifinomultabb betétek már betölthető modulokban, bővítményekben és komponensekben készülnek. Ezek lehetnek külön beágyazott modulok (főleg, ha az adminisztrációs panelt feltörték), vagy egyszerűen titkosított kód beszúrása jól ismert és népszerű kiterjesztésű fájlokhoz.

Például az utóbbi időben több oldallal is találkoztam zűrzavar(főleg a Joomla 2.5), ahol az út mentén include/inc.class.php maga a vírus található, és a következő sor bekerül az alkalmazás.php fájlba ugyanabban a mappában

request_once($_SZERVER["DOKUMENTUM_GYÖKÉR"]."/includes/inc.class.php");

Általában ezzel párhuzamosan könyvtárak/joomla/alkalmazás van egy joomla-app.php nevű átirányító vírus

Mindenesetre, ha egy harmadik fél webhelyére való átirányítást észlel az oldalon, akkor feltétlenül tegye meg a biztonsági intézkedéseket, és ellenőrizze az egész webhelyet. Ha saját maga nem tudja megtenni, mindenképpen vegye fel a kapcsolatot a víruseltávolító és a webhelyvédelem szakembereivel.

Valószínűleg mindenki szembesült a vírusos webhelyekre történő automatikus átirányítással. Elég csak kihagyni a spammel fertőzött e-mailt, és máris ott van az átirányítás. Ebben a bejegyzésben elemezzük, mi ez, és hogyan lehet eltávolítani az átirányítást a Chrome böngészőben, a Yandex böngészőben, az Operában és a Mozillában.

Mi az átirányítás? Valójában az átirányítás automatikus átirányítás az egyik webhelyről a másikra. Tervezés szerint az átirányítást akkor használják, ha egy webhely megváltoztatta a domain nevét. Például egy online áruház vagy egy kereskedelmi oldal elköltözött, és annak érdekében, hogy ne veszítsék el a régi címre érkező ügyfeleket, átirányítás van beállítva. Ha azonban felkeres egy jól ismert, régóta létező oldalt, és hirtelen átkerül a Vulkan virtuális kaszinó oldalára, akkor vírusos átirányítással kell szembenéznie.

Általában köztudott, hogy a Redirect nem veszélyes vírus: nem okoz kárt a számítógépben, de nagyon bosszantó, ráadásul lelassítja a böngészőt. Sőt, ha szeret szabadidőben játékokkal játszani, mint én, akkor azonnal észreveszi annak negatív hatását. A vírus első megnyilvánulásainál a lehető leggyorsabban meg kell szabadulnia tőle.

Hogyan állapítható meg, hogy ez a vírus az átirányítással?

1. A böngészője lelassul.
2. Néha, amikor belép az oldalra, átirányít egy hirdetési oldalra.
3. Egészen váratlanul reklámszalagok jelennek meg a nyitott oldalon.

Az átirányítás eltávolításához először próbálja meg üríteni a gyorsítótárat. Néha a probléma az útválasztóban rejtőzhet. Mivel a vírus gyorsítótárban van az eszközén, felveheti valahonnan valaki más útválasztóján, hazahúzhatja, és megfertőzheti az útválasztóhoz csatlakoztatott összes berendezést. Ezután a routert meg kell tisztítani, jelszavakat változtatni. Ezután törölje az összes eszköz gyorsítótárát. Ha ez nem segít, akkor néhány percet kell szánnia az egész rendszer alapos tisztítására. Rájöttünk, hogy mi az átirányítás, most továbblépünk a következő lépésre - az átirányítások törlésére.

Hogyan lehet eltávolítani az átirányítást

Hogyan távolítottam el az átirányítást a webhelyről? Először biztonsági okokból minden fontos adatot elmentettem a számítógépről egy cserélhető merevlemezre. Ezután távolítsa el a régi víruskeresőt, és telepítse az újat. Telepítheti a hagyományos Dr.Web-et vagy a NOD32-t. Úgy döntöttem, hogy kipróbálom az Avastot, amit egy barátom dicsért meg, aki sikeresen megszabadult ettől a fertőzéstől egy átirányítással. Ha még nincsenek telepítve olyan tisztítóalkalmazások, mint a SpyHunter és a CCleaner, ne legyen lusta. Segítenek megtisztítani a rendszerleíró adatbázist.

1. Tehát először nyissa meg a „Feladatkezelőt”, és zárja be az összes ismeretlen folyamatot.
2. Elindítjuk a vizsgálatot egy víruskereső programmal. 5 perctől fél óráig tarthat.
3. Ellenőrizzük az összes merevlemezt és böngészőt.
4. Minden nem kezelhető rosszindulatú programot kezelünk – egyszerűen töröljük őket. Ebben a szakaszban az újraindítást el kell hagyni.
5. Teljes rendszervizsgálatot végzünk SpyHunter vagy CCleaner segítségével.
6. A szkennelési folyamat során a rendszer ismét felajánlja az újraindítást - elutasítjuk. Minden rosszindulatú objektumot megtisztítunk.

A legtöbb esetben az átirányítás hirdetéseket vagy hamis szolgáltatásokat tartalmazó webhelyekre, például keresőmotorokra irányít. Már több tucat utasítást leírtam az ilyen átirányítások eltávolítására. Ezért el kell végeznie az összes alábbi pontot, és el kell olvasnia az átirányított vírusoldalhoz készült cikket. Hogy még egyszer elkerüljem az ilyesmit.

A legnépszerűbb nyitóoldalak:

A Virusdie lehetővé teszi az átirányító vírus eltávolítását webhelyéről. Az átirányítás a felhasználó átirányítása egy harmadik fél webhelyére, amikor megpróbálja megtekinteni az eredeti webhely oldalait. Az ilyen átirányítások általában olyan webhelyekre irányítják át a felhasználókat, ahol rosszindulatú programokat vagy csaló szoftvereket terjesztenek (például egy webböngésző frissítésének leple alatt). Az ilyen programok letöltése és telepítése megfertőzheti számítógépét vagy mobileszközét.

A legtöbb esetben a rosszindulatú kód a webhelye gyökerében található .htaccess fájlba kerül. A rosszindulatú kód gyakran így néz ki:
Írja újra a motort
RewriteCond %(HTTP_REFERER) .*yandex.*
RewriteCond %(HTTP_REFERER) .*google.*
RewriteCond %(HTTP_REFERER) .*bing.*
RewriteRule ^(.*)$ http://maliciouswebsite.net/index.php?t=6

Az ilyen átirányítási szabályok átirányítják a felhasználókat a Yandex, a Google és a Bing keresőmotorjaiból a maliciouswebsite.net oldalra.
A mobil átirányítások gyakran gyakoriak, és csak azokat a felhasználókat érintik, akik mobileszközökről keresik fel az erőforrást.

A vírus kezelése

Javasoljuk a Virusday szolgáltatás használatát, amely automatikusan észleli és eltávolítja a rosszindulatú átirányításokat. Ha manuálisan szeretné törölni, az utasítások a következők:
1. Hozzon létre kapcsolatot a webhelyével egy FTP fájlkezelőn keresztül
2. Keresse meg a .htaccess fájlt a webhely gyökérkönyvtárában
3. Távolítsa el a rosszindulatú kódot, és mentse a fájlt

Most, hogy az átirányítást törölték, úgy tűnik, nyugodtan fellélegezhet, azonban nem tudja, hogyan és ki helyezte el a fájljába, és biztosan nem tudja, hogy ez megismétlődik-e, azonban egyértelműen gyanítja, hogy így lesz. Már csak egy biztonsági rést kell keresni, amelyen keresztül a támadók behatoltak a webhely fájljaiba. A Virusdie képes megtalálni és megsemmisíteni azokat a parancsértelmezőket, amelyek teljes hozzáférést biztosítanak a támadóknak az Ön fájljaihoz.

A vírus átirányítása PHP-fájlokban

Vannak olyan átirányítások, amelyek nem csak magában a .htaccess fájlban szeretnek regisztrálni, hanem könnyen megengedik magukat számos (több száz vagy több ezer fájl) PHP-fájlban. Nem lesz képes kifejezetten észlelni egy ilyen rosszindulatú sort a fájlokban, azonban a PHP-fájlok bármelyikének futtatásakor újra megtörténik az átirányítás a webhelyén. Az átirányítási vírus teljes eltávolításához javasoljuk a Virusdie szolgáltatás használatát. A Virusdie észleli és eltávolítja az átirányításokat a .htaccess és *.php fájlokban.

A Joomlában kezeljük a keresési átirányítási vírust

A Joomlában kezeljük a keresési átirányítási vírust

28.04.2016

A Joomla webhely adminisztrálásakor rendszeresen kezelnie kell a rendszert minden feltörés után. Az egyik legkellemetlenebb az úgynevezett keresési átirányítási vírus, amikor egy webhelyet feltör egy shell, majd beszúr egy keresési átirányítást, ennek eredményeként az Ön webhelye megjelenik a keresőben, de a felhasználó átirányítja a pornó vagy iszlám oldalak. Ennek eredményeként az átállás után a következő üzenetet kapja:

Ezután egy keresőmotor hasonló üzenetet kezd kiadni, hogy webhelye fertőzött vagy feltört. A Yandexben pedig akár el is repülheti pozícióit. Ennek eredményeként forgalomcsökkenés, vásárlók elvesztése, rendelések hiánya.

Helyreállítási eljárás.

1. Készítsen biztonsági másolatot, töltse le.
2. Ha nincs vírusellenőrzés a tárhelyen, futtassa le a letöltött biztonsági másolatot egy vírusirtóval. Megtaláljuk a shell vírus fájljait, esetemben ez a PHP.Shell.387. Ez egy olyan típusú vírus, amely a vezérlőrendszer biztonságában lévő "lyukat" használja ki.

3. Távolítsa el a vírusfájlokat a tárhelyről.
4. Módosítsa a jelszavakat az adminisztrációs panelen, ftp
5. Mivel a trójaiak keresésének nincs hatása, és manuálisan keresem, hogy a PHP kódot hova fecskendezték be elég sokáig, és nem mindig hatékonyan, készítek egy biztonsági mentési mixet. A mix az oldal bármely fájl biztonsági mentése a vírusok bevezetése előtt, az adatbázis aktuális marad, nem a biztonsági másolatból, majd a mappát a friss biztonsági másolatból vesszük képeket képekkel és mappával Componentscom_jshoppingfilesimg_products hol vannak a képek a termékekről.
Eredmény: Örülünk az eredménnyel.
P.S. Mi a teendő, ha nincs biztonsági mentés? vagy ehhez hívjon fel szakembereket. Talán egy tárhelyről készült biztonsági mentés segít, de ez automatikusan felülíródik, és valószínűleg nem menti, mivel vírust tartalmaz.

Utólagos megelőzés:

1. A megtakarítás nem lehet gazdaságos. Ha lehetséges, változtassa meg a vezérlőrendszert.
2. Határozottan változtassa meg a tárhelyet. Ne spórolj ezen. Az én gyakorlatomban ugyanaz a Joomla kétszer elromlott a timeweben, de ez a baj fele. A kulcs az volt, hogy a tárhely még negyedévente egyszer sem végez vírusellenőrzést a szerverein. Javasoljuk, hogy olyan gazdagépet használjon, amely napi víruskeresőt végez, és ingyenes kézi víruskereső szolgáltatás is elérhető. Például ez a reg.ru
3. Ne mentse el az FTP jelszavakat.