Как я убирал «Cайт может нанести вред Вашему компьютеру»

Posted by Start Bootstrap on July 06, 2015

Лето. Июнь. Звонок. «У нашего клиента проблемы. Гугл говорит, что на сайте вредоносное ПО или что-то вроде того. Техспециалист в отпуске». Я закатал рукава и кинулся в бой.

1. Убеждаемся, что проблема есть

Яндекс никаких претензий не предъявляет. Сразу начинаю делать резервную копию файлов на сайте (Доступы к хостингу по SFTP прислал обратившийся). Делайте резервные копии!

2. Узнаём про инструменты вебмастера

В смысле, зарегистрирован ли сайт в Яндекс.Вебмастер и Гугл.Вебмастер. Не зарегистрирован — регистрируем и выясняем, заодно вдруг ещё какие проблемы выявятся.

Яндекс говорит, что всё в порядке. Google сообщает, что сайт пытался установить что-то на устройство пользователя, но довольно давно. Возможно, вредоносное ПО лезет только на определённые ПО — например, только на смартфон с ОС Android 4.

3. Скачиваем и устанавливаем Manul от Яндекса

Manul пока не лечит заражнные файлы, но очень красноречиво о них рассказывает. Загружаем папку с антивирусом в корень сайта, переходим по адресу адрес.сайта/manul/index.php и запускаем сканирование(спасибо http://free-antivirus.by/ за скриншот, своих я сделать не догадался):

Копируем лог, загружаем в анализатор Manul. Смотрим отчёт. Что-то нашёл (в моём случае — 9 файлов зараженённых и несколько подозрительных, на фото случай потяжелее):

4. Чистим-лечим

Анализатор Manul предлагает сформировать инструкции для антивируса. Я предпочитаю перестраховаться и перепроверяю сам. Вдруг ещё что-то не то удалит?

Сайт сделан на Joomla!. Работал с системой не раз и знаю, чего ожидать. Выяснилось, что сайт взломали и разместили на нём бэкдор. Для неспециалиста от вируса не отличается, главное — не копирует себя куда попало.

Бэкдор лежал в папках и файлах, похожих по названиям на папки и файлы Joomla!. Создал их взломщик — значит, можно спокойно удалить.

5. Пишем Гуглу: «Невиноватая я, он сам пришёл»

И ушёл. В инструментах для вебмастеров выбираем нужный сайт и бегом в раздел «Проблемы безопасности»

6. Проводим стандартную настройку Joomla! для защиты от взлома.

Хорошая статья №1 об этом и хорошая статья №2. Я исправил всё, что мог, отправил рекомендации заказчику. Главной рекомендацией было, разумеется, сменить все логины и пароли — кто-то ведь уже взломал сайт и загрузил эту гадость.

Итоги и расценки

Гугл убрал плашку вечером того же дня, все остались довольны. За такую работу я возьму на момент написания этого текста 1000 рублей, оплата по факту снятия плашки. Обращайтесь!