Нет повести печальнее на Свете,
Чем повесть о компьютерном ботнете
Где-то с ноября 2014 года я начал замечать, что мой блог периодически взламывают. Смысл взлома был в том, чтобы пользователи и читатели моего блога, которые заходят ко мне с мобильных устройств автоматически перенаправляются на сторонний адалт-ресурс.
Напомню, что это ресурсы для взрослых, причем большинство из них являются либо мошенническими, либо распространяющими всевозможные вирусы. Впрочем, мой взлом был более изощренный…
Я не посещаю подобные сайты и вам не советую, но зараза может просочиться на ваш компьютер и из безобидных источников. Например, когда хороший и проверенный ресурс взломан, а его владелец даже не знает об этом.
Поэтому для сайтовладельца крайне важно постоянно "держать руку на пульсе", быть подкованным в этом вопросе и в случае чего тут же принимать меры. Это я к тому, что не стоит экспериментировать с различным софтом на компьютере с которого вы администрируете свой сайт (блог).
В преддверии выхода новой операционной системы Windows 10, которая еще находится на стадии тестирования, я наткнулся на заметку, в одной из соц.сетей, где вебмастер (владелец нескольких сайтов) написал, что он обновил свою ОС до "Десятки".
В комментариях к этой заметке я написал, что не стоило этого делать потому как эта Windows предназначается скорее тестировщикам. В ней еще очень много уязвимостей и я рисковать не стал бы.
На что я получил примерно такой ответ: "А я ничего не боюсь".
Странно, правда? Услышать такой ответ от сайтовладельца, ресурс которого посещают люди…
Я пытался сказать, что сайтовладелец должен чувствовать ответственность перед своими читателями и заботиться о том, чтобы его сайт не причинял вреда их компьютерам. А это, вполне, возможно, когда мы используем непроверенный софт, какие-то сырые, нестабильные версии ОС пусть даже и от самого разработчика…
Но это лирика, вернемся к ботнет.
Как я стал ботнетом?
Однажды я хотел начать использовать один скрипт на своем сайте...
Я не буду говорить какой именно и чей он, потому что лично знаю разработчика и мне хочется верить, что это не его вина.
Итак, я установил этот скрипт (скорее даже систему) на блог, но он так у меня и не заработал. Спустя некоторое время я его удалил. Но вот бэкапы (резервные копии) сайта, которые я делал в этот период, содержали в себе, в том числе, и папку с этим самым скриптом.
Разумеется, я все бэки, как обычно, сохранял в нескольких местах: на жестких дисках основного компьютера и ноутбука, на одном из облачных хранилищ и на внешнюю флешку. Это уже привычка...
Так вот в этой папке со скриптом и находилась зараза, которую, кстати, не сразу обнаружил антивирус, а лишь тогда, когда я запустил ручной режим сканирования жестких дисков. Мой Аваст нашел файл, который прямо так и назывался Spambot и активировался в тот момент, когда я открывал на редактирование файл functions.php своего сайта.
Принцип действия был прост: в момент, когда я открываю этот файл сайта и у меня установлено соединение со своим сервером по FTP, активируется зловред и прописывает редиректы (перенаправления) в файле .htaccess, который находится в корневой директории моего сайта.
Причем меня взламывали по мобильному трафику. То есть, люди, которые заходили на мой сайт с Android-устройств и устройств под Windows Phone перенаправлялись на сторонний ресурс. Кстати, iOS–устройства никуда не перенаправлялись, а открывали мой сайт правильно, в мобильной версии.
Другими словами - этот Spambot, автоматически, без моего ведома, прописывает специальные строчки в коде моего сайта, которые сообщают браузеру читателя куда ему следует идти дальше. Разумеется, читатель этого никогда не увидит и даже не догадается об этом. Он намного охотнее выльет всю желчь на меня.
Поймите меня правильно - я не жалуюсь. Просто хочу донести мысль что не каждый владелец сайта стремится непременно наживаться на своих посетителях. Повторюсь, бывают случаи, когда сам сайтовладелец даже и не подозревает о взломе.
Более того, есть вот такие экспериментаторы, которым не терпится попробовать новую ОС, и они забывают о том, что своими же руками, сами того не желая, могут причинить вред.
Есть еще и третья категория блогеров и сайтовладельцев, которые не разбираются в вопросах безопасности, но имеют свои сайты. Им мне хочется сказать: будьте бдительны и следите за своими компьютерами.
Что делать при взломе?
В первую очередь не паниковать. А паника может возникнуть, особенно когда из сервиса Яндекс.Вебмастер приходит письмо о том, что Ваш сайт может нанести вред компьютеру пользователя.
Причем Яндекс «помечает» сниппеты Вашего сайта в выдаче серым цветом и ставит приписку «Этот сайт может нанести вред Вашему компьютеру».
Но и расслабляться тоже не нужно. Принимайте решения оперативно и с холодной головой. Обращайтесь к знакомым (даже мне пишите хоть в комментарии, хоть в личку), пишите Платонам и так далее.
В общем, не сидите «сложа руки», потому как Яндекс уже «пометил сниппет», а что будет дальше с занимаемыми Вами позициями, догадаться легко, я думаю. Скриншот самого сниппета я не сохранил.
Ну а пока вот три простых шага, которые Вы можете сделать самостоятельно:
1. Полностью проверяем свой компьютер антивирусом, а то и несколькими антивирусами. Запускаем режимы самой тщательной проверки.
2. После обнаружения зараженных файлов, беспощадно их удаляем. Неважно насколько это нужный файл. Тут уж сами решите, как сохранить или, может быть, заново создать информацию, которая содержится в зараженном файле.
3. Открываем на редактирование файл .htaccess и удаляем подозрительные редиректы. Если не знаете, как отличить нужный кусок кода от ненужного, то достаньте этот файл из более ранних версий бэкапов Ваших сайтов (надеюсь вы их делаете и сохраняете?) и сравните с заражённым. После этого удаляйте лишние строки кода или просто перезалейте старый файл .htacces в корень сайта через FTP-клиент.