История о том, как я стал ботнетом
И снова здравствуйте, Уважаемые Друзья!
Нет повести печальнее на Свете,
Чем повесть о компьютерном ботнете...
Где-то с ноября 2014 года я начал замечать, что мой блог периодически взламывают. Смысл взлома был в том, чтобы пользователи и читатели моего блога, которые заходят ко мне с мобильных устройств автоматически перенаправлялись на сторонний адалт-ресурс.
Напомню, что это ресурсы для взрослых, причем большинство из них являются либо мошенническими, либо распространяющими всевозможные вирусы. Впрочем, мой взлом был более изощренный…
Я не посещаю подобные сайты и вам не советую, но зараза может просочиться на ваш компьютер и из безобидных источников. Например, когда хороший и проверенный ресурс взломан, а его владелец даже не знает об этом.
Поэтому для сайтовладельца крайне важно постоянно «держать руку на пульсе», быть подкованным в этом вопросе и в случае чего тут же принимать меры. Это я к тому, что не стоит экспериментировать с различным софтом на компьютере с которого вы администрируете свой сайт (блог).
В преддверии выхода новой операционной системы Windows 10, которая еще находится на стадии тестирования, я наткнулся на заметку, в одной из соц.сетей, где вебмастер (владелец нескольких сайтов) написал, что он обновил свою ОС до «Десятки».
В комментариях к этой заметке я написал, что не стоило этого делать потому как эта Windows предназначается скорее тестировщикам. В ней еще очень много уязвимостей и я рисковать не стал бы.
На что я получил примерно такой ответ: «А я ничего не боюсь».
Странно, правда? Услышать такой ответ от сайтовладельца, ресурс которого посещают люди…
Я пытался сказать, что сайтовладелец должен чувствовать ответственность перед своими читателями и заботиться о том, чтобы его сайт не причинял вреда их компьютерам.
А это, вполне, возможно, когда мы используем непроверенный софт, какие-то сырые, нестабильные версии ОС пусть даже и от самого разработчика…
Но это лирика, вернемся к ботнет. Что это такое Вы можете почитать в этой статье.
Как я стал ботнетом?
Однажды я хотел начать использовать один скрипт на своем сайте... Я не буду говорить какой именно и чей он, потому что лично знаю разработчика и мне хочется верить, что это не его вина.
Итак, я установил этот скрипт (скорее даже систему) на блог, но он так у меня и не заработал. Спустя некоторое время я его удалил. Но вот бэкапы (резервные копии) сайта, которые я делал в этот период, содержали в себе, в том числе, и папку с этим самым скриптом.
Разумеется, я все бэки, как обычно, сохранял в нескольких местах: на жестких дисках основного компьютера и ноутбука, на одном из облачных хранилищ и на внешнюю флешку. Это уже привычка...
Так вот в этой папке со скриптом и находилась зараза, которую, кстати, не сразу обнаружил антивирус, а лишь тогда, когда я запустил ручной режим сканирования жестких дисков. Мой Аваст нашел файл, который прямо так и назывался Spambot и активировался в тот момент, когда я открывал на редактирование файл functions.php своего сайта.
Принцип действия был прост: в момент, когда я открываю этот файл сайта и у меня установлено соединение со своим сервером по FTP, активируется зловред и прописывает редиректы (перенаправления) в файле .htaccess, который находится в корневой директории моего сайта.
Причем меня взламывали по мобильному трафику. То есть, люди, которые заходили на мой сайт с Android-устройств и устройств под Windows Phone перенаправлялись на сторонний ресурс. Кстати, iOS–устройства никуда не перенаправлялись, а открывали мой сайт правильно, в мобильной версии.
Другими словами — этот Spambot, автоматически, без моего ведома, прописывает специальные строчки в коде моего сайта, которые сообщают браузеру читателя куда ему следует идти дальше. Разумеется, читатель этого никогда не увидит и даже не догадается об этом. Он намного охотнее выльет всю желчь на меня.
Поймите меня правильно — я не жалуюсь. Просто хочу донести мысль что не каждый владелец сайта стремится непременно наживаться на своих посетителях. Повторюсь, бывают случаи, когда сам сайтовладелец даже и не подозревает о взломе.
Более того, есть вот такие экспериментаторы, которым не терпится попробовать новую ОС, и они забывают о том, что своими же руками, сами того не желая, могут причинить вред.
Есть еще и третья категория блогеров и сайтовладельцев, которые не разбираются в вопросах безопасности, но имеют свои сайты. Им мне хочется сказать: будьте бдительны и следите за своими компьютерами.
Что делать при взломе?
В первую очередь не паниковать. А паника может возникнуть, особенно когда из сервиса Яндекс.Вебмастер приходит письмо о том, что Ваш сайт может нанести вред компьютеру пользователя. Причем Яндекс «помечает» сниппеты Вашего сайта в выдаче серым цветом и ставит приписку «Этот сайт может нанести вред Вашему компьютеру».
Но и расслабляться тоже не нужно. Принимайте решения оперативно и с холодной головой. Обращайтесь к знакомым (даже мне пишите хоть в комментарии, хоть в личку), пишите Платонам и так далее.
В общем, не сидите «сложа руки», потому как Яндекс уже «пометил сниппет», а что будет дальше с занимаемыми Вами позициями, догадаться легко, я думаю. Скриншот самого сниппета я не сохранил.
Ну а пока вот три простых шага, которые Вы можете сделать самостоятельно:
- После обнаружения зараженных файлов, беспощадно их удаляем. Неважно насколько это нужный файл. Тут уж сами решите, как сохранить или, может быть, заново создать информацию, которая содержится в зараженном файле.
- Полностью проверяем свой компьютер антивирусом, а то и несколькими антивирусами. Запускаем режимы самой тщательной проверки.
- Открываем на редактирование файл .htaccess и удаляем подозрительные редиректы. Если не знаете, как отличить нужный кусок кода от ненужного, то достаньте этот файл из более ранних версий бэкапов Ваших сайтов (надеюсь вы их делаете и сохраняете?) и сравните с заражённым. После этого удаляйте лишние строки кода или просто перезалейте старый файл .htacces в корень сайта через FTP-клиент.