История о том, как я стал ботнетом

И снова здравствуйте, Уважаемые Друзья!

Нет повести печальнее на Свете,

Чем повесть о компьютерном ботнете...

Где-то с ноября 2014 года я начал замечать, что мой блог периодически взламывают. Смысл взлома был в том, чтобы пользователи и читатели моего блога, которые заходят ко мне с мобильных устройств автоматически перенаправлялись на сторонний адалт-ресурс.

Напомню, что это ресурсы для взрослых, причем большинство из них являются либо мошенническими, либо распространяющими всевозможные вирусы. Впрочем, мой взлом был более изощренный…

Я не посещаю подобные сайты и вам не советую, но зараза может просочиться на ваш компьютер и из безобидных источников. Например, когда хороший и проверенный ресурс взломан, а его владелец даже не знает об этом.

Поэтому для сайтовладельца крайне важно постоянно «держать руку на пульсе», быть подкованным в этом вопросе и в случае чего тут же принимать меры. Это я к тому, что не стоит экспериментировать с различным софтом на компьютере с которого вы администрируете свой сайт (блог).

Рука на пульсе

В преддверии выхода новой операционной системы Windows 10, которая еще находится на стадии тестирования, я наткнулся на заметку, в одной из соц.сетей, где вебмастер (владелец нескольких сайтов) написал, что он обновил свою ОС до «Десятки».

В комментариях к этой заметке я написал, что не стоило этого делать потому как эта Windows предназначается скорее тестировщикам. В ней еще очень много уязвимостей и я рисковать не стал бы.

На что я получил примерно такой ответ: «А я ничего не боюсь».

Странно, правда? Услышать такой ответ от сайтовладельца, ресурс которого посещают люди…

Я пытался сказать, что сайтовладелец должен чувствовать ответственность перед своими читателями и заботиться о том, чтобы его сайт не причинял вреда их компьютерам.

Забота

А это, вполне, возможно, когда мы используем непроверенный софт, какие-то сырые, нестабильные версии ОС пусть даже и от самого разработчика…

Но это лирика, вернемся к ботнет. Что это такое Вы можете почитать в этой статье.

Как я стал ботнетом?

Однажды я хотел начать использовать один скрипт на своем сайте... Я не буду говорить какой именно и чей он, потому что лично знаю разработчика и мне хочется верить, что это не его вина.

Итак, я установил этот скрипт (скорее даже систему) на блог, но он так у меня и не заработал. Спустя некоторое время я его удалил. Но вот бэкапы (резервные копии) сайта, которые я делал в этот период, содержали в себе, в том числе, и папку с этим самым скриптом.

Разумеется, я все бэки, как обычно, сохранял в нескольких местах: на жестких дисках основного компьютера и ноутбука, на одном из облачных хранилищ и на внешнюю флешку. Это уже привычка...

Так вот в этой папке со скриптом и находилась зараза, которую, кстати, не сразу обнаружил антивирус, а лишь тогда, когда я запустил ручной режим сканирования жестких дисков. Мой Аваст нашел файл, который прямо так и назывался Spambot и активировался в тот момент, когда я открывал на редактирование файл functions.php своего сайта.

Спамбот

Принцип действия был прост: в момент, когда я открываю этот файл сайта и у меня установлено соединение со своим сервером по FTP, активируется зловред и прописывает редиректы (перенаправления) в файле .htaccess, который находится в корневой директории моего сайта.

Причем меня взламывали по мобильному трафику. То есть, люди, которые заходили на мой сайт с Android-устройств и устройств под Windows Phone перенаправлялись на сторонний ресурс. Кстати, iOS–устройства никуда не перенаправлялись, а открывали мой сайт правильно, в мобильной версии.

Другими словами — этот Spambot, автоматически, без моего ведома, прописывает специальные строчки в коде моего сайта, которые сообщают браузеру читателя куда ему следует идти дальше. Разумеется, читатель этого никогда не увидит и даже не догадается об этом. Он намного охотнее выльет всю желчь на меня.

Поймите меня правильно — я не жалуюсь. Просто хочу донести мысль что не каждый владелец сайта стремится непременно наживаться на своих посетителях. Повторюсь, бывают случаи, когда сам сайтовладелец даже и не подозревает о взломе.

Более того, есть вот такие экспериментаторы, которым не терпится попробовать новую ОС, и они забывают о том, что своими же руками, сами того не желая, могут причинить вред.

Есть еще и третья категория блогеров и сайтовладельцев, которые не разбираются в вопросах безопасности, но имеют свои сайты. Им мне хочется сказать: будьте бдительны и следите за своими компьютерами.

Что делать при взломе?

В первую очередь не паниковать. А паника может возникнуть, особенно когда из сервиса Яндекс.Вебмастер приходит письмо о том, что Ваш сайт может нанести вред компьютеру пользователя. Причем Яндекс «помечает» сниппеты Вашего сайта в выдаче серым цветом и ставит приписку «Этот сайт может нанести вред Вашему компьютеру».

Письмо Яндекс Вебмастер

Но и расслабляться тоже не нужно. Принимайте решения оперативно и с холодной головой. Обращайтесь к знакомым (даже мне пишите хоть в комментарии, хоть в личку), пишите Платонам и так далее.

В общем, не сидите «сложа руки», потому как Яндекс уже «пометил сниппет», а что будет дальше с занимаемыми Вами позициями, догадаться легко, я думаю. Скриншот самого сниппета я не сохранил.

Ну а пока вот три простых шага, которые Вы можете сделать самостоятельно:

  • После обнаружения зараженных файлов, беспощадно их удаляем. Неважно насколько это нужный файл. Тут уж сами решите, как сохранить или, может быть, заново создать информацию, которая содержится в зараженном файле.
  • Полностью проверяем свой компьютер антивирусом, а то и несколькими антивирусами. Запускаем режимы самой тщательной проверки.

  • Открываем на редактирование файл .htaccess и удаляем подозрительные редиректы. Если не знаете, как отличить нужный кусок кода от ненужного, то достаньте этот файл из более ранних версий бэкапов Ваших сайтов (надеюсь вы их делаете и сохраняете?) и сравните с заражённым. После этого удаляйте лишние строки кода или просто перезалейте старый файл .htacces в корень сайта через FTP-клиент.