Вирус подменяет кеш страниц на vip-base.ws | Евгений Степанов - SEO блог EvgeniyStepanov.ru

Вирус подменяет кеш страниц на vip-base.ws

За последнюю неделю ко мне обратились несколько человек по поводу заражения сайтов различными вирусами. Лично я не беру такие заказы, в избежания заражения собственных и клиентских сайтов. Но на днях позиции одного клиенского сайта сильно просели. Как выяснилось сайт тоже был заражен.

Первым отреагировал гугл, так как он намного быстрее яндекса индексирует рунет. Когда я начал разбираться с проблемой сразу же наткнулся на интересную ситуацию. В сохраненной копии любой страницы открывался какой-то непонятный сайт vip-base.ws. Т.е. при заходе на сайт пользователь видит нужный контент, а поисковым роботам подсовывается абсолютно левая сохраненная копия с другого сайта.

Первым делом я написал в техподдержку с просьбой помочь разобраться с проблемой. На что получил ответ — у нас все нормально, проверяйте свой сайт. Ну чтож, нужно было срочно решать подобную проблему и удалять вирус. Как всегда дело оставалось за малым — найти где он прописался. Но на этот раз все оказалось гораздо сложнее.

Ниже выкладываю скриншот сохраненной копии главной страницы сайта. Сам сайт палить не буду, скажу лишь, что работает он на движке DLE.

Вирус заражает файлы и подменяет сохраненную копию страниц на vip-base.ws

Скриншот главной страницы сохраненной копии зараженного сайта.

Роботам подсовывается другая страница вместо оригинальной. А теперь представим, что для робота одновременно пропал контент со всех страниц сайта. Если вовремя не удалить данный вирус сайт может попасть под фильтр.

Как удалить вирус vip-base.ws

Итак, что было сделано: в тотал коммандере есть возможность поиска нужного фрагмента текста в содержимом файлов. Я начал искать запись vip-base. Несмотря на то, что на фтп очень много файлов и фотографий через какое-то время поиск принес первые результаты.

Я обнаружил подозрительные скрипты с подобной записью. Разобраться что делает скрипт мне не получилось, но нужную запись я нашел. Для всех поисковых роботов (шло перечисление yandex bot, google bot и т.д) подгружалась сохраненка другого сайта. Точнее поисковым роботам отдавалась другая страница, которая потом и оказывалась в сохраненной копии. Яндекс понял что страница стала нерелевантна определенным запросам и не дает ответ на запрос пользователя. Как результат позиции значительно просели.

Я быстро удалил весь вредоносный код и стал ждать переиндексации. Через пару апдейтов все стало на свои места. Позиции восстановились сначала в гугле, затем и в яндексе. Я был очень рад! Но через две недели (а именно вчера 26.04.2012) я обнаружил на некоторых страницах опять левый кеш.

Целые сутки я искал где же еще могли остаться записи и откуда подгружается вирус. И сегодня с ура нашел! Это был файл .htaccess в папке images моего шаблона. Для DLE путь такой /templates/адрес_шаблона/images/.htaccess. Открыв данный файл я увидел подозрительную запись. Подгружается файл-картинка rss_taib.png. Скриншот ниже.

Далее обнаружил сам файл rss_taib.png в папке images.

Открывать его я не стал и сразу удалил. Скорее всего там был прописал php код. Затем через фпт просканил все папки на наличие файла rss_taib. Плюс ко всему проверил все текстовые файлы на наличие записи rss_taib. Все найденное, разумеется, удалил. О результатах отпишу через пару недель. Этого времени должно быть достаточно для того, чтобы яндекс переиндексировал страницы и обновил сохраненную копию.

Друзья! Буду очень рад, если моя статья поможет Вам в решении подобной проблемы! В знак благодарности вы можете оставить отзыв внизу статьи и кликнуть лайк! С уважением, Евгений Степанов.

Вы можете оставить комментарий, или Трекбэк с вашего сайта.

Оставить комментарий