В этой статье речь пойдёт о безопасности вашего сайта. Об этом мы вам расскажем на примере того, как наш сайт Яндекс стал определять в поиске - "Сайт, который может угрожать безопасности вашего компьютера."

В результатах поиска этого выглядело примерно так:

 

Под ссылкой на ваш сайт с ключевыми словами будет дополнительное предложение, которое не сразу бросается в глаза - "Сайт может угрожать безопасности вашего компьютера или мобильного устройства".

 

Если проигнорировать это малозаметное предупреждение и перейти по ссылке на такой сайт, то появится такая вот страница с предупреждением об опасном сайте.

Сайт угрожает вашей безопасности

 Иногда такие сайты и вправду являются опасными, при переходе на них, можно заполучить какую-нибудь шпионскую программу на ваш компьютер. И не всегда ваш антивирус сможет распознать и устранить такую угрозу, т. к. подобные программы постоянно совершенствуются. Советуем всем пользователям прислушаться к рекомендациям Яндекса и не заходить на подобные сайты.

Правда, нужно справедливо заметить, что не все такие сайты являются распространителями вредоносных программ. Бывает так, что на таком потенциально опасном сайте размещается определённый код (например кнопки добавления статей в закладки и социальные сети), при клике по которому вы попадаете на другой сайт, который считается Яндексом потенициально опасным. В итоге опасными яндекс считает оба сайта. Так было именно в нашем случае.

На нашем сайте был размещён код с сайта "Однакнопка" - с помощью этого кода была возможность сохранить в закладках или в соцсетях ссылку на понравившуюся вам статью. Нажали на кнопку, выбрали социальную сеть в которую хотите сохранить ссылку и сохраняете её. Потом в любой момент можете в своей социальной сети быстро найти нужную статью. Удобная вещь.

Так вот, код этот висел у нас на сайте больше года, всё было нормально. Но начиная с 3 июля 2013 г. сайт вдруг стал опасным, по версии Яндекса, хотя другие поисковики - Google, Bing, Mail ничего опасного в сайте не видели.

Обнаружилось это после того, администратор нашего сайта нашёл по запросу "сделать сайт бесплатно" в поиске яндекса ссылку на наш сайт x340.ru и и попытался перейти по ссылке. И попал на страницу с предупреждением "Сайт может угрожать безопасности вашего компьютера или мобильного устройства".

 

Выявление причин заражения сайта

Сразу появилась мысль, что сайт взломали. Но чтобы не пороть горячку и чтобы разобраться в причинах того, что произошло с сайтом, было сделано следующее:

   1. Прежде чем что-то делать, нужно было выявить причину такой ситуации. Поэтому сначала было проверено, как на наш сайт реагируют другие поисковики (Google, Bing, Mail). Другие поисковики ничего опасного на сайте не видели.

   2. Чтобы выяснить сразу в чём конкретно обвиняется наш сайт, зашли в Яндекс.Вебмастер. В нём удобно отслеживать состояние ваших сайтов и в нашем случае - выяснять причины того, что яндекс посчитал сайт опасным.

Яндекс Вебмастер

 

Если на вашем сайте есть проблемы и яндекс их выявил, то он покажет вот в таком виде:

Цепочки заражения 

 

В табличке будет указана дата найденной проблемы, ссылка на страницу, а также определение что из себя представляет найденная проблема.

Эта картинка для примера, сразу скриншоты при выяснении нами не были сделаны, пришлось использовать найденные. В нашем случае в колонке "Вердикт" у трёх страниц были указаны следующие причины - "Поведенческий анализ".

Что это за такое странное определение - можно узнать кликнув по ссылке "Поведенческий анализ". Вас перекинет на страницу Яндекс.Помощи с определением этого понятия. Вот оно:

Яндекс.Вебмастер - Поведенческий анализ

То есть получается, что Поведенческий анализ - это не вирус, просто Яндекс нашёл код, показавшийся ему подозрительным.

   3. Внизу есть ссылочка на инструкции по удалению вредоносного кода. Кликнув по ней, попадаете на страницу "Как вылечить зараженный сайт" с инструкциями http://help.yandex.ru/webmaster/?id=1116613&ncrnd=2472.

Честно говоря, это трудно назвать инструкцией, где подробно указываются пункты по которым можно будет руководствоваться при поиске и удалении вредного кода. Скорее это перечисление возможных источников проблем. Толку от неё немного, но кое-что полезное можно взять на заметку.

И хотя Яндекс указал что причиной был "поведенческий анализ", а не какой-то вирус, было решено для успокоения проверить сайт на вирусы на сторонних ресурсах.

   4. Проверили сайт в разных онлайн-сервисах на наличие вирусов и других вредных программ. Чтобы найти такие онлайн-сервисы, достаточно сделать запрос в поисковике "онлайн проверка сайта на вирусы" и выбрать в результатах поиска нужный сайт. Для примера: мы проверяли в "drweb",  "antivirus-alarm", "2ip". В нашем случае проверка показала что всё в порядке.

   5. Далее чтобы полностью исключить вариант заражения сайта - скачали сайт полностью с хостинга и проверили на домашнем компе антивирусом - опять же всё нормально. То есть причиной послужил какой-то сторонний код с другого сайта.

   6. Следуя совету инструкции яндекса по удалению вредного кода - проверили количество пользователей с правами администратора, отключили лишних, сменили пароль администратору.

   7. Также вручную были просмотрены страницы, указанные яндексом как опасные - стороннего подозрительного кода не было найдено. Но на всех них был код с сервиса Однакнопка. Решили проверить в поиске через яндекс сайт Однакнопка - он также оказался "потенциально опасным" (как выяснилось позже, именно из-за кода с этого сайта и наш сайт посчитали опасным). Было решено отключить модуль с этим кодом.

   8. Далее также отключили и другие модули, выводящие сторонний код (кроме контекстной рекламы от известных рекламных систем). В нашем случае был отключен код сервиса Однакнопка на всех страницах, где он выводился.

   9. Также были отключены расширения нашей CMS, которые на данный момент не используются. Кстати, всегда старайтесь сразу удалять неиспользуемые расширения - это уменьшает вероятность взлома вашего сайта и уменьшает нагрузку на хостинг. Более подробно об этом и вообще о защите сайта в статье "Защита сайта..."

   10. После всего этого в Яндекс.Вебмастере сделан запрос на повторную проверку сайта. Через пару дней результат проверки был таков.

Яндекс-Вебмастер проверка сайта

 

Последствия санкций Яндекса

Последствие того, что Яндекс посчитал наш сайт потенциально опасным, выразилось в том, что посещаемость сайта упала в 3-4 раза. Это объясняется тем, что основной поток посетителей нашего сайта приходится на поисковую систему Яндекса. И все, кто пытался зайти на сайт через яндекс, видели предупреждение о том, что наш сайт может быть потенциально опасен. Естественно, люди старались не заходить на такой сайт.

Ещё один вывод состоит в том, под определение яндекса "Поведенческий анализ" могут попасть большое количество сайтов только из-за того, что после очередного обновления антивируса яндекса, код показался яндексу подозрительным. От этого не застрахован никто. И ваши финансовые потери из-за ошибок системы никто возмещать не будет.

Подводя итог этой ситуации - получился урок-предупреждение на будущее, который был усвоен и в дальнейшем администраторы сайта будут улучшать защиту сайта и внимательно отслеживать свои и чужие действия. Чтобы подобного не случалось впредь.

Желаем всем, кто столкнулся с подобной проблемой, поскорее от неё избавиться. Надеюсь наш пример хоть чем-то поможет вам в этом. Успехов вам!