Що ж собою являє цей самий вірус, який переховується за страшною абревіатурою MW: SPAM: SEO? Все не так страшно, MW - malware - шкідлива програма, метою якої є підняття SEO показників сайту порушника, що представлено у вигляді посилання цей самий сайт, а для інших це просто спам.
Як знайти вірус на сайті?
Найбільш надійним способом виявити вірус на сайті, є перевірка онлайн-сканерами, такими як всім відомий VirusTotal і орієнтований на перевірку сайтів sucuri.net, правда на англійській мові, але зате дозволяє докладніше дізнатися про зараження. Для вашої зручності нижче наведені посилання на ці сервіси :)
Існують ще різні «антивірусні плагіни» для CMS, однак я нічого не можу сказати про їх ефективність. Але плагіни які відстежують зміни в файлах вашого сайту повинні допомогти.
Як видалити вірус на сайті?
Після того як ви виявили вірус на своєму сайті за допомогою сканера, то має бути вже побачили фрагмент коду, де він був виявлений. Тому вам тільки залишається визначити конкретний файл, в якому відбулося зараження і привести його до початкового вигляду. Швидше за все це буде один з файлів теми оформлення вашої CMS, хоча хитрий порушник може зазіхнути і на файли ядра CMS, але принципової різниці немає.
Найпростіший спосіб знайти вірус на сайті, якщо ви взагалі не знаєте в який бік копати - це завантажити на свій комп'ютер все php файли вашої CMS, відкрити їх Notepad ++, копіювати фрагмент шкідливого коду і «Знайти в усіх відкритих файлах». Ну а потім закачати виправлений файл на місце.
перетворити на цілком легкотравний код
Після позбавлення від вірусу не забудьте змінити атрибути доступу до сайту - пароль адміністратора і пароль від FTP.
Як же працює цей вірус?
Порушник якимось чином отримує доступ до вашого сайту (через адмінку \ ftp) і вбудовує наступний код:
Яка власне і приховує спамние посилання, зрушуючи її на 9999 пікселів вище заголовка вікна. На 9999 пікселів зазвичай зрушують текст посилання логотипу сайту, так що ймовірно пошукові машини ставляться до цього лояльно, і передають цим посиланням частину ваги вашої сторінки.
Але мене зацікавило як же працює сам впроваджений код, тому я його вивчив докладніше.
Скрипт перебирає елементи масиву, розшифровує їх і вставляє в сторінку рядок з css стилем ховає посилання від відвідувачів.
Елементи масиву перебираються з кінця. Потім зчитується по 2 символу поточного елемента масиву, приводяться до int. Потім з цим значенням проводяться нехитрі маніпуляції parseInt (t) + 25 - l + a. де l-число елементів масиву, а - лічильник дешіфруемого елемента масиву. У підсумку вийдуть char номер символу в таблиці символів, який і записується в проміжну змінну z. Досягнувши кінця елемента масиву скрипт замінює його дешифрувати версією (зберігається в z). А потім збирає підсумковий рядок і впроваджує її в сторінку.