Как уничтожить вирус мобильный редирект? Детектив

Уже неоднократно задумывалась о том, сколько же времени, сил, нервов и средств мы в течение жизни тратим, чтобы защититься от всякой окружающей нас гадости! Воры, мошенники, грабители, убийцы, террористы… Интернет тоже давно стал пространством, перенасыщенным тварями всех цветов и оттенков.

Однако, ближе к теме заголовка. Мой блог существует уже почти 8 лет, и за это время (как мне казалось) проблем со взломами и вирусами у меня не было. Примерно месяц назад, зайдя на свой сайт с мобильного телефона, я через 20-30 секунд была перенаправлена на страницу розыгрыша призов якобы от Яндекса.

Мне в тот день вникать было недосуг, но спустя некоторое время вникнуть пришлось конкретно. Начали поступать сигналы от друзей, что с ними происходит то же самое. А в панели статистики посещаемости цифра отказов начала стремительно расти. Тут я уже засела в интернете в поисках возможной причины. То, что в моем блоге появился вирус, было совершенно очевидно.

И все это время Яндекс и Гугль в панелях Вебмастеров сообщали: «Все хорошо, прекрасная маркиза!»

У Яндекса, наверно, не часто случается, когда он получает письмо с сообщением о том, что у вебмастера на сайте вирус, а они того не видят. Письмо я отправила в надежде, что мне сообщат вид кода. Об этом писали блогеры, которым приходили от Яши «письма счастья» с сообщением, что сайт признан потенциально опасным. Яндекс ответил мне письмом с вежливой рекомендацией поискать вирус в файле .htaccess.

Конечно, спасибо большое за ответ, но то, что файл .htaccess — первое место, где надо проверять, знает любой владелец сайта.

Перелопатив массу информации, вирус определила как клиентский мобильный редирект.  Его увидел один-единственный сканер.

В очередной раз выражаю огромную благодарность команде хостинга Beget, которой я просто вынесла мозг со своим вирусом. Несколько дней они вместе с мной пытались выяснить, где засела эта зараза. Сканер хостинга Ai-Bolit указал как на возможный вирус на код в функциях, отвечающий за вывод миниатюр в анонсах. Однако, опытным программистам чутье подсказывало, что искать надо в плагинах. Охоту в плагинах они оставили развлечься мне. Ох, не женское это дело — охота, да еще и на того, про кого не знаешь, как выглядит…

Установленную на блоге тему я, разумеется, проверила на всякий случай. Она у меня очень старая, но мной лично вся перепиленная под себя до каждого символа. Чисто. Вордпресс обновила до самой последней версии вручную, тоже получается все чисто. Казалось бы — проверить плагины, и дело в шляпе (вирус в западне). Но проблема в том, что вирус мобильного редиректа проявляет себя не всегда. Интернет сообщает, что он работает раз в сутки с одного IP. Из личного опыта могу сказать, может не срабатывать несколько дней или вылезти несколько раз в сутки.  Как «повезет». Очистка кэш проясняет картину не всегда. И как проверять? Отключаешь плагин, проверяешь, все чисто. То ли чисто, то ли вирус не сработал…

Задействованы были все возможные друзья в разных странах. Знакомый программист искал вирус с дорожного ноутбука в отеле в Дубаи. Ломали головы (на нескольких языках) сотрудники отделов информационных технологий, в которых нашлись друзья друзей. У меня было ощущение, что в административной панели моего сайта носится толпа вооруженных охотников. А вирус уютно сидел на месте, и посетители блога продолжали «выигрывать Iphone».  Некоторые друзья написали, что им предлагали установить какие-то обновления на телефон и посмотреть крутое видео. История могла бы казаться веселой, но было совсем не весело. Специалисты говорят, что подобные вирусы мобильного редиректа иногда не могут найти по полгода, а 50% владельцев сайтов вообще не подозревают о их наличии в своих файлах. Могу сказать, что за последний месяц на моем сайте наблюдался резкий обычный для меня весенний рост посещаемости. Понятно, Яша с Гошей же вирус не видели и никаких санкций к блогу не применяли. То есть, можно было бы и не дергаться, если бы около половины посетителей сайтов в Интернете не приходили с мобильных устройств.

За эти дни я собрала целую коллекцию кодов типов вируса мобильного редиректа и поняла, что для меня она бесполезна, могу смотреть в глаза вирусу и не понять, что это он. Надо отдать должное тому очень неглупому программисту, который сочинил эту мерзость. Жаль только, что свои знания на пользу человечеству он применяет таким образом…

Однако, проблему надо было решать. На помощь пришла жизненная мудрость. Мне оно надо, именно найти вирус и покончить с ним? Нет, абсолютно нет. Азарта охотника найти и уничтожить у меня нет. Мне надо, чтобы на моем со всех сторон позитивном сайте с розами и лебедями вирусов не было, и все. Решение родилось такое: собрать свои чемоданы (фото, записи и страницы блога) и переезжать с этим подальше — а именно, на другой, чистый сайт. В жизни порой тоже стоит поступать также…

Итак, на хостинге создан новый сайт — 1 минута. К нему прикручен временный домен — еще 1 клик и пара минут подождать, пока заработает. На новый сайт был установлен Вордпресс, разумеется чистый и последней версии. На всякий случай решила перетрясти контент и переносила импортом-экспортом отдельно записи, страницы и фото, каждый раз проверяя новый сайт с мобильного телефона. Оставались плагины. Их я начала загружать по одному из панели Вордпресс, чтобы гарантированно иметь последнюю версию. 1, 2, 3 —  все чисто. Очередь дошла до плагина постраничной навигации. А вот этого плагина в панели не оказалось, хотя когда-то, создавая сайт на новом хостинге, я именно оттуда его и скачивала… Плагин такой мне нужен, ибо в используемой теме функции постраничной навигации нет. Папку с плагином я скопировала в новый со старого сайта, чувствуя что здесь что-то не то. Когда я для проверки зашла на мобильный сайт, совершенно не удивилась, когда вновь «выиграла Iphone X». На сем переезд и закончился. Я удалила вредоносный плагин со своего блога и поставила подобный другой, который мне гораздо больше нравится.

Название гадкого плагина намеренно не сообщаю, ибо неизвестно, каким образом в него попал вирус. Не буду компрометировать разработчика. Скажу только, что в последний раз этот плагин обновлялся три года назад. Что именно за дрянь там прописана, не вникала и не буду. Послала папку с файлами программистам, они сказали, что тоже не поняли, где и как там вставлен вирус. Ничего особенного в кодах не нашли.

Пошла продолжать свое вязание, от которого меня оторвала сия детективная история.