Внимание! Вирус! На мобильном устройстве вместо блога открывается другой сайт.

  Автор:
  3135
Как защитить компьютер от вирусов

«Вместо моего блога на сотовом телефоне  открывается чужой сайт». На днях с такой проблемой ко мне обратился клиент. Это уже не первый случай, поэтому решила описать ситуацию на блоге.

Для начала давайте протестуем Ваш блог. Попробуйте открыть свой блог на любом мобильном устройстве:  Iphone, ipad, android. Если вместо Вашего блога появится неизвестный сайт — время бить тревогу. Скорее всего Ваш блог был взломан, и злоумышленники изменили файл .htaccess, прописали в нем свои правила перенаправления.

Как это исправить?

Необходимо зайти на хостинг в корневую папку блога, скачать файл .htaccess или открыть его для редактирования прямо на хостинге.

Содержание это файла должно выглядеть так (при условии, что Вы не используете кэширующий плагин или плагин защиты Better Security):


# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

Если после этого кода или вместо него в Вашем файле будут еще  коды типа:


RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*i:midp|samsung|nokia|j2me|avant|docomo|novarra|palmos|palmsource|opwv|chtml|pda|mmp|blackberry|mib|symbian|wireless|nokia|hand|mobi|phone|cdm|upb|audio|SIE|SEC|samsung|HTC|mot-|mitsu|sagem|sony|alcatel|lg|eric|vx|NEC|philips|mmm|xx|panasonic|sharp|wap|sch|rover|pocket|benq|ja

RewriteRule ^(.*)$ http://сайт-куда-идет-перенаправление.ru/index.php [R=301,L]

Их нужно просто удалить.

Далее сохраните файл и загрузите его обратно на хостинг. Проверьте как теперь открывается блог на мобильном устройстве.

Шаг 1 — Проверить и удалить все лишние файлы .htaccess

Но это еще не все. Проверьте все папки на наличие файла .htaccess и его содержимое. Злоумышленники могли таже и в них прописать данный код. Папки для проверки (wp-include, wp-admin, wp-content). Если Вы найдете в этих папках файл .htaccess просто его удалите.

Шаг 3 — найти и почистить зараженные файлы

И наконец необходимо найти взломаный файл в который вставили код для геренации перенаправления в файле .htaccess. Самые уязвимые файлы это index.php, header.php, footer.php и functions.php в папке папке с темой. Код может выглядеть так (Публикую только часть кода. Как правило код очень длинный. Расшифровать его можно в программе php decoder — http://www.unphp.net/.)

<?php
${"\x47\x4c\x4f\x42\x41\x4c\x53"}["ijv\x64cn\x78y\x69\x66\x70"]="ip\x73";${"\x47\x4cO\x42\x41L\x53"}["j\x6bp\x6dym\x6by"]="\x69\x70";${"GLOB\x41\x4c\x53"}["\x70\x76\x70\x79jic\x6ao\x7a\x6d"]="\x72\x65\x66\x65\x72e\x72";${"G\x4c\x4f\x42\x41\x4cS"}
?>

Его необходимо удалить из всех зараженных файлов (или заменить эти файлы на чистые).

Как это сделать:
1. скачайте архив с блогом на свой компьютер по FTP
2. откройте зараженный файл который Вы нашли на хостинге
3. скопируте код ( или часть кода ) вируса и через поиск найдите все зараженные файлы.
4. удалите вредоносный код
5. закачайте исправленные файлы снова на хостинг (или просто закачайте чистые файлы — предварительно скачайте WordPress на компьютер)

Кстати, иногда бывает, что злоумышленник создает файлы которые не существуют в WordPress. В таком случае, если Вы видите зараженный файл, которого не должно быть в WordPress, можете просто его удалить.

Если Вам сложно самостоятельно решить эту проблему, Вы всегда можете обратиться в тех. поддержку проекта «МЛМ Блог за 1 Час» по скайпу: mlmproekt.ru.

Как защитить блог от взлома

Чтобы подобного не происходило с Вашим блогом небходимо соблюдать некоторые правила:

1. Вовремя обновляйте WordPress до новой версии

2. Обновляйте плагины до новой версии

3. Обновляйте шаблон до новой версии

4. Не устанавливайте на блог не проверенные плагины и скрипты

5. Проверьте Ваш компьютер на вирусы

6. Периодически меняйте пароли к админке блога, панеле управления хостинга, FTP

7. Придумывайте сложные пароли

8. Используйте плагин по защите блога от взлома Better Security 

Если у Вас были подобные случаи с блогом, поделитесь ими, пожалуйста, в комментариях.

Успешного блогинга!

Внимание! Вирус! На мобильном устройстве вместо блога открывается другой сайт.

   4 голоса
Средняя оценка: 5 из 5
Вы находите данную статью полезной или интересной? Поделитесь ею, пожалуйста, с другими - просто нажмите на кнопки ниже:
Самые Важные Оповещения Блога + Четкий Комплект Ценных Подарков ДЛЯ БЛОГЕРОВ И ФРИЛАНСЕРОВ
Оставьте свой комментарий:
15 комментариев
  1. Анфиса, да, видел у одного своего знакомого вместо блога ссылка на порносайт)
    Он уже исправил этот вирус!))

  2. Анфиса, большое спасибо за очень полезную статью!
    Скачал у вас плагин защиты, буду устанавливать и настраивать по вашему уроку.

  3. Виталий Сорокин

    Анфиса, спасибо за предупреждение опасности!
    Хочу сказать, что плагин Better WP Security очень сильно изменился с момента написания вашей статьи о нем. Теперь он называется иначе — iThemes Security. Если бы Вы записали новое видео по его настройке, было бы просто замечательно.

  4. Да, у меня проблемы были, я и есть тот клиент, о котором идет речь. Я не программист и была в панике, когда узнало о перенаправлении на сторонние сайты. С ноутбука вход был как обычно, а вот с мобильного устройства пребрасывало на посторонний сайт сомнительного содержания, мне об этом сообщил сначала Гугл, потом друзья. Как это устранить — понятия не имела. Хорошо, что накануне я уже приобрела шаблон Анфисы, но еще не установила его. Я установил шаблон. но проблемы это не решило, и я была вынуждена обратиться за помощью в службу поддержки. Очень быстро мне помогли, за что Анфисе и Василию огромное спасибо!!! Это не только профессионалы с большой буквы, но еще и очень отзывчивые и порядочные люди! Теперь спокойно могу работать над изменением внешнего вида, установке новых плагинов, написанием статей. Желаю всем успешного продвижения и надежной защиты!

  5. Здравствуйте, друзья и коллеги!

    Блогом на AB-Inspiration на Word-Press очень доволен. Про него можно сказать: Он неприхотлив в обращении и безотказен, как русская трехлинейная винтовка, на современный лад, как автомат Калашникова!

    Мой блог постоянно бомбят братья-украинцы (знаю это по почтовому адресу их IP-Adresse), видят что я по фамилии хохол, вот и глумятся…
    Кстати, знаете чем отличается хохол от украинца? Украинец живет в Украине, а хохол там, где лучше.
    Их останавливает и блокирует плагин ограничивающий попытки неверных регистраций (он то мне и сообщает адреса, с которых заходили взломщики).
    Чтобы обезопасить себя, сделал две вещи:
    1. Активировал плагин автоматического, ежесуточного сохранения базы данных сайта блога, с сохранением архива на жестком диске PC.
    2. Подтверждение входа в админку хостинга помимо обычных логина и пароля, сделал посредством SМS.
    Анфиса и Василий, может и вход в админку блога таким же образом защитить?

    Если этого, на взгляд специалистов, не достаточно, прошу отреагировать в виде отзыва с подсказкой.

    Всем удачи!

    • Валентин, спасибо большое за дополнение.
      Админку лушче всего защищает запрет по IP. делается так:
      1. зайдите в на хостинг в корневую папку с блогом
      2. откройте файл .htaccess для редактирования
      3. вставьте (можно в самом конце) следующий код:
      < Files wp-login.php>
      order deny,allow
      deny from all
      allow from My_IP
      < /files>

      4. Вместо My_IP вставьте свой IP адрес.

      Узнать IP можно по адресу: http://2ip.ru
      Если у Вас динамический IP (Ваш интернет-провайдер периодически производит его смену), то укажите подсеть. Обычно это первые две-три группы цифр в адресе. Например, для IP «111.222.333.444» подсетью может быть «111.222.». В этом случае редактировать файл .htaccess при каждом изменении IP-адреса Вашего компьютера интернет-провайдером не потребуется.

      Такой способ самый лучше по защите адмики от взлома.

  6. У меня раньше тоже была подобная проблема. Плохо настроил плагин защиты, и поэтому кто-то прописал редиректы. Спасибо, что подсказали удалить .htaccess и в других папках. Сейчас полез смотреть и как-раз они там лежали от предыдущего взлома.
    Стоит добавить, у кого под рукой нет мобильного интернета, то свои сайты можно легко проверить в гугле:
    developers.google.com/speed/pagespeed/insights/
    Он отображает статистику как для обычной, так и для мобильной версии.

  7. Анфиса, я устала удалять чужие сайты, которые в папке лежатт на моем хостинге. с этим бороться? И еще когда я запускаю свойблог с домна http://mminkova.ru, а не с http://www.medoviyuspeh.ru, то у меня слышится какая-то реклама постоянно, ее не видно, но слышно.

    • Маргарита, это конечно очень странно, что на хостинге появляются чужие сайты сами собой. Такого просто не должно быть. Если сайты появляются, значит кто-то имеет доступ к Вашему хостингу.
      По поводу рекламы, я зашла на Ваш блог и рекламы не слышу, поэтому ничего посоветовать не могу, нужно больше информации:
      1. с какой страницы идет реклама
      2. реклама идет когда вы залогинены или нет
      3. попробуйте отключить все плагины (при этом есть реклама или нет)
      4. поменяйте шаблон ab-inspiration на любой дефолтный шаблон (любой шаблон WordPress — twentyten или twentyeleven) — проверьте есть реклама или нет
      5. если реклама идет с главной страницы, попробуйте определить из какой конкретно статьи (открывайте статью за статьей)
      6. если идет со всех статей, проверьте боковую колонку (1. откройте страницу без боковой колонки — с использованием шаблона страницы «На всю ширину», 2. удаляйте виджеты один за другим и проверяйте снова есть ли реклама или нет).

      Когда Вы выявите причину (плагины, виджеты, шаблон, статьи итд), будет проще что-то посоветовать и исправить.

  8. Поздно увидела эту статью. Плагин секьюрети уже изменился. Хорошо, если бы Вы сделали урок по новому плагину, обновили бы статью.

  9. Спасибо!
    Вы меня просто спасли! Неделю бился, не мог найти причину, почему мой сайт не видят мобильники. И вдруг — Ваша статья!
    Еще раз от души благодарен!

  10. Спасибо. Сразу же по первой ссылке нашла ответ на свой вопрос на вашем сайте. Обнаружила случайно, что с мобильника вместо моего сайта идет переадрессация на какой-то посторонний сайт (хорошо, хоть не порнуха, а просто турфирма). При том, что мобильный трафик на сайте в статистике отображается. Может, мне повезло, что я сразу увидела проблему. Нашла файл .htaccess, удалила весь мусор, в котором и была чужая ссылка.
    Перешерстила все остальные «уязвимые» файлы, больше ничего не нашла. Проверила — с мобильника теперь отображается мой сайт. Значит, заразу вычистила. Спасибо вам за хорошее объяснение.

на Блоге
в Фейсбук
в Вконтакте