За последнее время резко увеличилось количество взломов сайтов, направленных на добавление на страницы скрытых спам-ссылок, которые ведут на сторонние ресурсы. В связи со взломом сайт может быть временно исключен из поисковой выдачи, и, как следствие, пользователи не смогут найти интересующие их страницы. Подобные заражения встречаются уже давно, но на данный момент они носят стихийный характер и характеризуется новыми особенностями, ранее которых не было. Именно поэтому мы напоминаем об этой проблеме и о различных способах борьбы с ней.

Последняя очередь заражений произошла в основном на сайтах, использующих CMS Joomla, что вовсе не означает то, что сайты на базе прочих CMS не подвержены взлому.

Ход событий

Первым делом злоумышленник получает доступ к сайту через одну из его уязвимостей, после чего он загружает файл .php на сайт, в составе которого имеется вредоносный код, либо дописывает этот самый код в существующие файлы. При посещении сайта обыкновенными пользователями вредоносный код никак себя не показывает, но во время индексации сайта роботом поисковой системы, он видит множество скрытых спамных ссылок.

Только роботы поисковых систем получают от вредоносного кода страницу со спам-ссылками. В выдаваемых простым пользователям страницах таких ссылок нет. Даже вебмастер, если зайдет на исходный код страниц с обычного браузера, не сможет увидеть эти ссылки.

Яндекс расценивает присутствие на сайте скрытого текста в качестве нарушения, исключая временно их результатов поиска его страницы. Если команда Яндекс.Вебмастера обнаруживает скрытый текст на сайте, зарегистрированном на сервисе, то высылает вебмастеру информацию об этом, чтобы то оперативно проверил свой сайт, устранил найденные проблемы.

Выявление источника проблемы

Используемый в настоящее вредоносный код для выдачи роботам страницы со спамными ссылками с огромной вероятностью включает функции “base64_decode”, “gzuncompress”, “json_decode” или “eval”, используя при этом переменные referrer и user_agent. Эволюция кода происходит постоянно, в связи с чем его признаки и принципы работы могут в любое время измениться.

При запросе определенной страницы взломанного сайта, вредоносный код отправляет серверу взломщиков запрос с ip-адресом 78.159.101.232. После этого на сервере происходит проверка referer, user_agent и прочих параметров, затем даёт дальнейшие инструкции вредоносному коду на взломанном сайте. Так, в случае принадлежности user_agent к роботу поисковой системы, робот получает страницу со спамными ссылками.

Дальнейшие действия

В случае если Ваш сайт был заражен, необходимо после полной очистки предпринять определенные профилактические меры, уменьшающий риск возникновения повторного заражения:

• Сменить абсолютно все пароли доступа к сайту (от административной панели, ftp, панели управления хостингом, базы данных и SSH);
• В дальнейшем не сохранять пароли в браузерах, файловых менеджерах, ftp-клиентах и прочем;
• Проводить регулярное обновление CMS;
• Установить действительно надежную антивирусную программу, производить её постоянное обновление.