Так вот ты какой rsize.js

Рис 1. Реакция NOD32 на вредоносный код

Рис 1. Реакция NOD32 на вредоносный код

Небольшое пособие о том, как найти и обезвредить вредоносный код.

Начну с того что, когда вы получаете письмо от Яндекса с уведомлением, что ваш сайт содержит вредоносный код и теперь в выдаче он будет помечен как: «сайт может угрожать безопасности вашего компьютера».  Ваше настроение начинает резко меняться и причем, не в лучшую сторону.
Попытаюсь рассказать, как бороться с rsize.js. Адресов у него несколько, но лечится этот диагноз примерно одинаково. Рассказываю то, что довелось испытать самому, а дальше уже воля вашей импровизации. Скрипты буду размещать в виде рисунков по двум причинам.
1.Чтобы поисковики, антивирусники и браузеры не ругались на наличие вредоносного кода на сайте.
2.Вы же не писать вирус собрались, а удалять. Поэтому, смотрим, сравниваем со своей ситуацией и удаляем.

Как могло произойти заражение

Причин заражений может быть несколько. Вот основные причины:
1.Чаще всего, это может произойти потому, что вирусописатели нашли уязвимость в менеджере паролей FTP-клиента. У многих это FileZilla. Однако, были случаи, когда был взлом паролей и других FTP-клиентов. Еще хочется добавить, что после того, как мой знакомый заразил свой сайт около четырех лет назад на FileZilla, он перестал хранить пароли в менеджере паролей, а стал вводить пароль в FileZilla вручную, при каждом входе. За последние четыре года не было ни одного взлома.
Заразу можно подцепить или самому или от ваших авторов или комментаторов. Дальше, это все проникает в менеджер FTP-клиента, ворует там все сохраненные пароли, проникает внутрь и автоматически, ставит свои скрипты на файлах index.php, и файлах index.html. Если у вас имеются файлы index.html~, то они тоже будут заражены. При переходе на ваш сайт, пользователь перенаправляется к злоумышленнику и там заражается.
2. Еще, бытует мнение, что можно заразиться от хостинга, на котором находится ваш сайт. Мнение не лишено смысла, поскольку в моем случае, были заражены и все поддомены.
Свои поправки и дополнения пишите в комментариях.

Что надо сделать в первую очередь

В первую очередь надо сменить пароль на FTP-клиенте. Потом надо настроить FTP-клиент так, чтобы при входе он каждый раз запрашивал пароль.
Как это сделать? (те, кто знает как, можно пропустить этот пункт). Для остальных вкратце расскажу.
1. Идем к себе на хостинг, находим там свой сайт, переходим на FTP-сервер, меняем свой пароль на другой, выходим.
2. Открываем свой FTP-клиент. Заходим на менеджер сайтов. Поле «Пароль:» вычищаем и оставляем пустым. В поле «Тип входа:» из выпадающего списка выбираем «Запросить пароль» и жмем OK. При следующем заходе, жмем кнопку соединиться. Менеджер запросит пароль. Вводим в окно новый пароль. В поле "Запомнить пароль для этой сессии " можно поставить галочку. Хотите перестраховаться — не ставьте.

Как выявить и удалить rsize.js

Самым простым способом удаления rsize.js является резервная копия вашего сайта. Как сделать правильную резервную копию я писал раньше.  Заходим в FTP-клиент. Меняем файлы движка на ваши, ранее сохраненные, и вот вам счастье. Плюсом этого способа является то, что вы не ковыряетесь в кодах файлов. Теперь о минусах. У вас нет гарантии, что вы этот код нашли и визуально убедились в его удалении. Робот может выявить код гораздо позже, чем он появился на самом деле. Резервной копии может не оказаться.

Рассмотрим второй способ. Открываем ваш сайт в браузере. Если у вас имеется хороший антивирусник, то при открытии он должен выявить угрозу. Вот мой случай. Перенаправление идет на gxxddnh. Остальное смотрите на рисунке 1.

Немало советов по выявлению разных вредоносных кодов дает Яндекс,  но там все советы обобщенные и нет советов для конкретных случаев. Однако можно запомнить кодировки, с которых обычно начинаются вредоносные скрипты типа: eval, function, assert, base64.

Заходим в FTP-клиент (пароль уже поменян), находим ваш сайт и скачиваем на компьютер. С помощью Notepad++ открываем файл index.php, который находится в корне вашего сайта (не в папке themes). На рисунке 2 показано как будет выглядеть зараженный файл.

Рис 2 Так выглядет вредоносный код в файлах .php

Рис 2 Так выглядет вредоносный код в файлах .php

Обычно, все что прописано после require ('./wp-blog-header.php'); это написано или вами для каких-то целей, или вам кто-то в этом «сильно помог». Удаляем выделенный скрипт, начинающийся с <? function sq12 и сохраняем файл. Загружаем его на сайт, вместо того, который там находится.
Если у вас на сайте имеется index.html — открываем и его. В конце закрывающегося тега </html> будет прописан примерно вот такой скрипт (рисунок 3)

Рис 3 Так выглядет вредоносный код в файлах .html

Рис 3 Так выглядет вредоносный код в файлах .html

Удаляем все, что вы видите на рисунке 3 и дальше процедура, анологичная предыдущей.

P.S. Напоминаю, что перенаправления могут быть разные. В моем случае, это newdomme. Встречаются и такие: kinoshkaxa, feelthesame. Думаю, что это далеко не все перенаправления. Пишите, какие еще бывают. Ибо, как говорил великий Георгий Вицын «Перенаправления злоумышлеников надо знать в лицо» :)

Продолжаем лечение, поскольку это еще не все. Заходим на FTP-сервер и поднимаемся в самое начало, а именно в папку «webspace». Когда вы загружали свой сайт на хостинг или создавали поддомен,  то в папках автоматически создался и https протокол, расположенный в одном уровне с вашим сайтом. У одних это public html, у других httpdocs. Паралельльно этой папке будет лежать папка httpsdocs. При создании или переносе сайта (поддомена) туда системой тоже заносятся файлы. Открываем и проверяем.Если вы ничего раньше не удаляли, то там вы найдете файлы index.html и index.html~. В первом вы найдете скрипт как на рисунке 3. Во втором скрипт, как на рисунке 2. Он будет стоять сразу после закрывающегося тега </html>. Вобщем, чтобы долго не распыляться — прошерстите всю папку «webspace» Те папки, которые не откроются — не трогайте. Раз вы не смогли открыть, то и злоумышленику не удасться. Если у вас на этом сервере есть еще сайты — их тоже проверяйте. У меня было во всех. Потом все исправленное, загружаем на сервер.

Проверяем результаты работы. Загруженный и исправленный сайт проверяем на вашем компьютере с помощью антивирусника. Если ошибки не всплыли, то вновь открываем ваш сайт в браузере. Если антивирусник не выругается — идем на поклон в Вебмастер Яндекса.  Если у вас нет аккаунта в Яндексе — заведите. Добавляем в поле свой сайт и жмем проверить. Он вам выдаст старое сообщение, что сайт заражен. Жмем кнопку перепроверить. Этим вы ускорите процесс перепроверки вашего сайта. Что касается моего случая, то Иван Царевич выполнил все, вышеперечисленное и пошел спать. Утро  действительно   оказалось  вечера мудренее. Когда проснулся — Яндекс меня поздравил с устранением вредонеосного кода — повезло! Google его тоже не нашел.

Советы по выявлению троянов, подобных rsize.js

Подведем итог:
1. Не стоит хранить пароли в любых менеджерах паролей. В менеджерах браузеров тоже бывают уязвимости, о которых знают злоумышленники. Идеальный вариант хранить пароли отдельно на флэшке.
2. Лучший способ борьбы с троянами, это с ними не встречаться. Обзаведитесь хорошим антивирусником последней версии и обновляйте его, хотя бы раз в неделю.
3. Старайтесь избегать явно сомнительные сайты. Хотя, как показала практика, любой сайт может стать сомнительным без вашего желания и участия.
4. Чаще делайте полные резервные копии. Бывают заражения, которые намного труднее найти.
5. Чаще проверяйте свой ПК на наличие вирусов. Можно, также, использовать avz4, чтобы восстановить стандартные скрипты вашего ПК.
6. Если ваш сайт был поражен вредоносным кодом, последите за ним хотябы месяц, чтобы убедиться, что уязвимых мест больше нет.
7.  Если на вашем ПК имеются сохраненные пароли в других программах — замените пароли (хотябы) до тех пор пока не убедитесь, что код изчез окончательно.
8. По возможности, обновите ПО и ОС
9. Если проблема повториться, попробуйте ограничить файлы index.html и index.php  правами «444» (только чтение), пока не найдете, откуда вредоносный код попадает в ваш ПК. После ограничения, проверьте сайт на работоспособность.

— А ты ему скажи, что у них в Англии не меньше нашего воруют. А правопорядок в стране предопределяется не наличием преступников, а умением властей их обезвреживать
Георгий Вайнер, Аркадий Вайнер — Эра милосердия. (Место встречи изменить нельзя)

Поделиться:

Комментарии (Один комментарий) на "Так вот ты какой rsize.js"

  1. dnavbm.blogpost.ru пишет:

    Главное во всем этом — нужно правильно и быстро искать информацию пока страницы не успели выпасть из поискового индекса, анализировать свой ресурс и ручками почистить как указано выше.

Отправить комментарий