Чем сайту грозят вирусы? Не только изменением информации или файлов. В большинстве случаев страдает бизнес. Компания МастерКласс узнала о проблемах с сайтом в первую очередь потому, что в 3 раза снизилось количество заявок на ремонтные услуги! Вместо 10 звонков в день поступали 1 - 3. Трафик на сайт снизился до минимума.
Если на вашем сайте проявляется подозрительная активность, описанная в статье, рекомендуем немедленно обратиться в отдел сопровождения сайтов к специалистам для проведения исследования.
Введение — Рекогносцировка
15 марта — начало истории. Клиент заметил падение трафика и через несколько дней обратился к нам.
Проблема видна невооруженным взглядом по Метрике. С начала марта посещаемость сайта поползла вниз.
Мы нашли подтверждение проблемы в вебмастере — снижение числа проиндексированных страниц в 4 раза. Трафик просел.
Внимательно посмотрев на сайт, обнаружили, что файл настроек адресов страниц urlrewrite.php и конфигурационный файл .htaccess изменились. Из-за этого все страницы каталога поменяли адреса. Поисковик не успел их проиндексировать, а старые удалил.
Тревожным звонком было то, то при первой попытке изменить файл .htaccess, он через несколько минут вернулся в прежнее состояние. Напоминаю, мы грешили на хостинг, и эту проблему устранили настройкой прав доступа к .htaccess.
На тот момент решили, что, возможно, клиент или хостинг случайно поменяли настройки. Мы починили файлы и отчитались клиенту о результате.
Через несколько дней файл сломался вновь, равно как и адреса страниц.
Первая попытка — Разговор дипломатов
Причина падения трафика и выпадения страниц из индекса.
В недрах сайта был специальный php-файл, который делал 2 вещи:
Внутри этот феномен мы назвали «суровое китайское SEO».
Так как сайт был открыт для индексации, эти ссылки попали в поиск. Собственно, так и удалось найти этот файл — из отчета «Внешние ссылки» Яндекс.Вебмастера. Яндекс посчитал эти ссылки спамом, начал понижать позиции сайта. Это вторая причина падения трафика.
Дополнительно, провели несколько «реанимирующих» SEO работ:
17 мая — продолжение истории. Сайт превратился в «абракадабру» — не применялась верная кодировка, все кириллические символы отображались “?”. Одновременно техподдержка хостинга сообщила о подозрительных рассылках с нашего сайта и заблокировала отправку почты через php.
Решили отделаться «малой кровью».
Если есть подозрение на вирус на сайте, рекомендуем обратиться в наш отдел сопровождения за услугой Технический аудит сайта .
Прошло несколько дней, проблема повторилась. В этот раз решили провести тщательное исследование.
Артподготовка — Применили тяжелую артиллерию
После сканирования файлов сайта антивирусом AVG было обнаружено 4 файла вирусов-троянов.
Один из файлов отличался размером, после проверки выяснили, что этот файл попал на сайт в то же время, что и не заражённые файлы сайта. Вероятно, этот файл был добавлен ещё в старую версию сайта. Остальные 3 файла были созданы позже. То есть, сайт долгое время был заражен, но это никак не проявлялось.
Отчет антивирусной программы
Содержимое зараженного файла
Далее выполнили ручной анализ в папке /bitrix/admin и найдено еще несколько файлов с вредоносным кодом.
Выполнили поиск по сайту по подстрокам из вирусных файлов, но больше ничего не нашли.
Зараженные файлы находились в ядре битрикса.
Версии возникновения вирусов:
1) в старую версию сайта несколько лет назад был добавлен (вручную или автоматически) файл /bitrix/admin/mobile/bitrixcloud_monitoring_ini.php который использовался злоумышленником для добавления остальных файлов (для спама, рассылки и пр.). Этот файл не является частью ядра 1С-Битрикс.
2) на сайте были формы с уязвимостью и был некорректно настроен модуль Проактивная защита — это привело к тому, что в разное время были автоматически внедрены вредоносные файлы.
Решение:
/bitrix/modules/catalog/general/tools.php
и подобные.
Прошло ровно 5 дней, проблема повторилась. Вирус (или злоумышленник) каждый раз оказывался хитрее нас. На этот раз:
1) в файлы index.php в начало добавляется include файла из /upload, инклудится файл вида favicon-<случайные символы>.ico
2) в подключаемом файле после расшифровки оказался код загрузки вирусных плагинов через POST-запрос.
У всех измененных файлов дата изменения устанавливается в <= настоящее время, поэтому большую часть зараженных файлов мы нашли командой bash (изменения 6 дней назад и ранее):
find ./ -mtime +6 -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r
Зачистка — высадили десант
Сайт работает без проблем, попросили хостинг включить отправку почты. Трафик удалось удержать. Выдохнули.
Больше рекомендаций в статьей « Как мы лечим сайты от вирусов ».
Благодарим Евгения Молчанова (ООО “МастерКласс”) за терпение и участие в совместном решении проблемы!
Вы можете войти, используя аккаунт одной из социальных сетей