Однажды утром, проверяя почту я обнаружил «письмо счастья» от Яндекса, в котором меня уведомляли, что один из сайтов создает угрозу для пользователей и помечен в результатах поиска как вредоносный. Посещение личного кабинета вебмастера подтвердило наличие проблемы.
Захожу на сайт со смартфона через Яндекс. И получаю вот такую картинку на экране.
Начал изучать проблему в инете. Получалось, что если файл . htaccess не изменен, то проблема на стороне хостера. А т.к. все мои файлы на сервере закрыты от перезаписи и внесение изменений без моего ведома невозможно, то пишем в саппорт хостинга.
Ваше сообщение (11.11.2013 11:32:00)Последние дни при входе с мобильных устройств перекидывает вот сюда getpdainfo.com и предлагает обновить flv плеер. Причем если заходишь второй раз с одного ай-пи то больше не переадресовывает. Заходишь с другого опять перекидывает. .htaccess чистый. Все файлы сайта проверены несколькими антивирусами. Онлайн проверка DrWEB и др. говорит что все чисто. На сайте стоит антивирусный плагин Wordfence — он тоже пишет, что все чисто. Подозрение, что этот редирект прикрепляется к странице на лету на веб-сервере. Посмотрите пожалуйста!
Получаем ответ.
Сообщение поддержки (11.11.2013 16:11:49)
Здравствуйте.
На сайте sayga12.ru в файле «.htaccess» у вас довольно много редиректов, вероятно, причина перенаправления мобильного трафика в одном из них.Со стороны веб-сервера никакие перенаправления не осуществляются.
Ну что ж, ожидаемо… Файлы сайта были скачаны на компьютер и проверены антивирусами. Все чисто. Также были проверены вручную критические файлы темы сайта и админки. Тоже без изменений. Сайт проверен несколькими онлан сканерами в т.ч. DrWeb. Никаких намеков на проблемы с файлами сайта. На всякий случай положил чистый . htaccess. Но при заходе со смартфона получаем снова редирект на вирусный сайт.
Снова пишем хостеру.
Ваше сообщение (11.11.2013 16:40:02)
Такие же редиректы прописаны еще на трех сайтах и там нет этой проблемы.
Там прописан блэклист сайтов. Я попробую поставить чистый htaccess но более чем уверен что проблема останется. Этот файл стоит полгода уже, а проблема вот только появилась.
Ну и опять отписка хостера.
Сообщение поддержки (11.11.2013 19:37:02)
Проверьте, пожалуйста, код вашего сайта на наличие уязвимостей, судя по всему он был взломан, и злоумышленники прописали код редиректов в .htaccess
Продолжаем долбить хостера, т.к. все по нескольку раз перепроверено. Проблема явно на сервере хостера. Вопрос — как в этом их убедить…
Ваше сообщение (11.11.2013 19:42:42)
.htaccess поставил \»голый\». Проблема, как я и предполагал, осталась. Ребята — у вас кажется вирус на веб-сервере. Посмотрите на каком сервере стоит сайт sayga12.ru и остальные мои сайты. Проблема только с sayga12.ru.
Ваше сообщение (11.11.2013 19:48:58)
По поводу взлома — это нереально. Полгода стоит запрет на изменение всех файлов. Любое изменение мне присылается на эл.почту. Редирект цепляется на лету при обращении к сайту, код его не в файлах сайта. Проблема с этим редиректом известна — она на хостинге. С лета 2013 она долбит всех хостеров начиная с RU-center. Что бы я сейчас не делал с файлами сайта — это бесполезно, т.к. они чистые.
Наконец хостер сдается. С момента первого обращения прошло 11 часов.
Сообщение поддержки (11.11.2013 22:04:45)
Хорошо, мы проверим ПО сервера.
К концу дня начал с ужасом смотреть на понижение позиций сайта по всем графикам LI. Пометка Яндекса сбила суточный трафик в 3 раза! Переходы с Яндекса со среднесуточных за последнюю неделю 84 человек упали до 4-х!
Однако, утром я получаю вот такое письмо от хостера.
Сообщение поддержки (12.11.2013 01:38:11)
Здравствуйте,
1) спасибо вам за обращение
2) сегодня на основании вашей жалобы мы произвели тщательный анализ ситуации,
благодаря вашему обращению мы нашли скомпрометированный модуль для веб сервера,
в текущий момент модуль уже отключен и никаких редиректов нет, как это произошло и
по какой причине такое вообще могло произойти — мы разбираемся
по нашим данным это произошло в «Nov 9 21:48». Так же мы провели полный анализ
всех остальных машин — скомпрометирована была только ftp303) в течение ближайших суток (а точнее в ближайшие 12 часов) все программное
обеспечение на данном серверt будет обновлено (ядро и системный софт),
а конфигурационные файлы буду перезалиты из репозитория4) я приношу вам свои глубочайшие извинения за доставленные неудобства —
и повторяюсь мы приложим все усилия что бы расследовать данный факт5) в качестве компенсации я зачислил вам полгода обслуживания бесплатно
6) если вы переживаете за содержимое ваших сайтов
вы можете воспользоваться услугой бекап в панели управления и заказать
восстановление бекапа за 9 ноября в этом архиве никакого чужеродного контента быть
не должно
так же я бы порекомендовал бы вам сvенить пароли на mysql в панели управления
(а так же в конфигурационных файлах)7) если вы желаете — мы можем перенести ваш аккаунт на другой сервер
Еще раз спасибо за обращение
Всего доброго!
Также пришло второе письмо о начислении мне на счет бонусов.
Заявка в Яндекс на повторную проверку сайта была отправлена еще накануне. Ждем результатов. И через полдня получаем. Сразу пошел трафик.
Последняя проверка сайта 13 Ноября 2013 не выявила страниц, содержащих вредоносный код. В результатах поиска сайт выводится без пометок.
—
С уважением,
Яндекс.Вебмастер
Проблема решена в течение суток. Хорошо, что в саппорте хостинга все-таки нашлись адекватные люди и правильно оценили ситуацию и , что самое главное, не побоялись признать свою проблему. А я в начале переписки уже начал подумывать о смене хостера, ибо в сайты вложены куча средств и сил и вот такие казусы сводят на нет все что делалось годами.
Надеюсь моя статья поможет решать вам ваши проблемы с мобильным редиректом, если вы с ним столкнетесь на своих сайтах.