У мережі вже описано безліч ситуацій, коли сайт на DLE (Data Life Engine) зловмисники заражали вірусом і ставили редирект на інший домен. У цій статті мова піде про один з таких зломів сайту, проте опису подібного виду зараження ви навряд чи зустрінете - свого роду унікальний вірус, якого помітили в перший раз.
Як вірус потрапив на сайт
Точних даних по джерелу зараження отримати не вдалося. Відповідно до знайдених файлів, які були залиті в папку UPLOADS, нічого конкретного виявити також не вийшло.
незвичайний редирект
Пошук вірусу на сайті
Щоб знайти вірус, був використаний спеціальний скрипт Ai-bolit. Так як розмір сайту перевищував 1 Гігабайт, сканувати файли на наявність вірусів безпосередньо на сервері не вдалося (не вистачало часу виконання).
Завантаживши на локальний диск архів сайту, була запущена перевірка, результати якої вельми здивували - нічого підозрілого в файлах не знайшлося, але сайт як і раніше редирект то на домен непристойного змісту, то на завантаження підозрілого ПО.
Переглядаючи кожен файл по-окремо, виявити загрозу також не виходило.
Як знайти редирект при такому зараженні DLE
Зовсім випадково в шаблоні main.tpl, в самому низу файлу був помічений підозрілий скрипт. Прямо в коді віджета онлайн консультанта знаходився такий код:
Читайте також: Адаптивний сайт або мобільна версія?
Саме ця строчка з скриптом і викликала редирект. Видаливши її, змінивши паролі на сайті і хостингу, проблема зникла.
Чим саме відрізняється цей редирект-вірус від інших видів зараження
Шукати по файлах сайту за допомогою NotePad входження eval, base64 і інші, марно. Перевіряти сайт антивірусами (всіма відомими) - марно. Перевірка за допомогою Ai-bolit також не принесе результату.