Обнаружил сайт, который был взломан, и в результате взлома при переходе на него из поисковиков он редиректил пользователей через тучу сайтов на какой-то сайт, где либо говорилось о вирусе, либо предлагалось скачать софт. Как называется такой взлом и как его устранить?
А почему вы решили, что это взломанный кем-то сайт, а не doorway-страница, которая специально сделана, чтобы из поисковиков приводить людей на мошеннические сайты? https://ru.wikipedia.org/wiki/%D0%94%D0%BE%D1%80%D...
Алексей П, это ни разу не ответ на мой вопрос. Ответом было бы "я знаю, что это не dorway, это нормальный сайт про игру в шашки".
И нет, меня никуда не перенаправляет. Вероятнее всего, админы сайта разместили там код какой-нибудь третьесортной рекламной сети, которая позволяет размещать не только изображения, но и HTML-баннеры, и в одном из них был внедрен вредоносный код на JavaScript. Так что это не взлом сайта, а тупость админов.
Сайт пережил внедрение вредоносного кода.
Устранение последствий:
1) Приостановление работы сайта;
2) Изучение логов посещений и ошибок сервера, установление точки и время заражения (если возможно);
3) Сохранение состояния каталогов сайта и дампа БД для изучения;
4) Восстановление скриптов сайта из изолированного репозитория разработчика;
5) Восстановление БД сайта из бекапа до времени заражения;
Устранение причин:
6) Анализ и исправление прав доступа к FTP-каталогам, пользователей CMS;
7) Анализ и исправление кода на уязвимость к инъекциям в запросах и шаблонах.
8) Анализ данных в БД на предмет содержания инъекций в записях таблиц.
9) Возобновление работы сайта с тщательным мониторингом логов.
Простой
Средний
