AGuard
Patikrinti
Visi straipsniai
Infekcijos9 min skaitymo· 2026-05-20· Atnaujinta 2026-06-02

Svetainė nukreipia į kazino puslapius — kas vyksta ir ką daryti

Lankytojai skundžiasi, kad jūsų svetainė juos persiunčia į lošimo ar kitus puslapius? Tai maskuota infekcija, veikianti selektyviai. Paaiškinsime, kaip ji veikia, kur slypi kodas ir ką daryti.

Aleksandras Izmalkovas

Autorius

Aleksandras Izmalkovas

Svetainė nukreipia į kazino puslapius — kas vyksta ir ką daryti

Jei svetainė pradėjo nukreipti lankytojus į kazino, vaistų ar kitus neaiškius puslapius, problema dažniausiai jau nėra vien tik vizualinis gedimas. Tai kenkėjiška infekcija, kuri dažnai veikia kelias savaites ar net mėnesius, kol kažkas pagaliau apie tai praneša.

Būdingas šios infekcijos bruožas: savininkas svetainę atidaro ir mato viską gerai. Peradresavimas veikia selektyviai, tik tam tikromis sąlygomis, tyčia sukurtomis taip, kad svetainės savininkas kuo ilgiau nieko nepastebėtų.

Trumpas atsakymas: kodėl taip vyksta ir ką daryti

Peadresavimo infekcija, tai kenkėjiškas kodas, įterptas į svetainės failus ar duomenų bazę, kuris nukreipia dalį lankytojų į kazino, farmacijos ar suaugusiųjų turinio svetaines. Infekcija paprastai turi keletą komponentų: payload (kenkiantis kodas), backdoor (paslėpta prieiga) ir kartais automatinio atkūrimo mechanizmas.

Pirmieji žingsniai:

  • Patikrinkite svetainę inkognito režimu iš Google paieškos rezultato: taip imituojate naujo lankytojo kelią
  • Patikrinkite Google Search Console sekciją „Saugumas ir rankinis veiksmas"
  • Paprašykite kito žmogaus iš kito įrenginio ir kito interneto ryšio patikrinti
  • Jei patvirtinote problemą: nesikeskite patys failų atsitiktinai; tai gali sunaikinti diagnostikos įrodymus

Valymas turi apimti visus tris komponentus: pašalinus tik vieną, infekcija sugrįžta.

Kodėl jūsų naršyklėje viskas atrodo gerai

Peadresavimo infekcija veikia selektyviai: kenkėjiškas kodas aktyvuojamas tik tam tikromis sąlygomis, kad svetainės savininkas kuo ilgiau nieko nepastebėtų.

Dažniausiai peradresavimas suveikia:

  • Tik lankytojams iš paieškos sistemų: atėję per Google ar Bing nukreipiami, tiesioginiai URL įvedėjai, ne
  • Tik pirmojo apsilankymo metu: slapukas fiksuoja „jau matyta", pakartotinai nenukreipia
  • Tik mobiliuosiuose įrenginiuose: staliniuose kompiuteriuose viskas atrodo gerai
  • Tik konkrečioms šalims pagal IP adresą: kai kurios infekcijos orientuotos į specifines rinkas
  • Tik tam tikromis valandomis: kenkėjiškas kodas aktyvus tik naktį ar savaitgaliais

Todėl jūs, tiesiogiai atidarydami svetainę savo kompiuteryje, nieko nematote. Tačiau lankytojai, ateinantys iš Google, peradresuojami.

Iliustracija

Kaip infekcija patenka į svetainę

Peadresavimų infekcija retai atsiranda atsitiktinai: dažniausiai yra konkretus įėjimo kelias:

Pasenęs WordPress ar įskiepiai: populiariausia priežastis. Net vienas neatnaujintas įskiepis su žinoma saugumo spraga gali atverti kelią automatizuotai atakai. Atakuotojai nuolat tikrina žinomų pažeidžiamumų sąrašus ir automatiškai ieško svetainių su nepataisytomis versijomis.

Pavogti FTP ar hostingo slaptažodžiai: jei tas pats slaptažodis naudojamas keliose sistemose arba jis buvo nutekėjęs iš kito saugumo pažeidimo, užpuolikai gali prisijungti tiesiogiai per FTP ar cPanel.

„Nemokami" premium temos ar įskiepiai: failai iš neoficialių šaltinių dažnai jau turi paslėptą kenkėjišką kodą. Tai vadinama „nulled" programine įranga, ir ji beveik visada kainuoja brangiau, nei sutaupote.

Pažeistas bendras hostingas: jei serveris aptarnauja daug svetainių ir viena iš jų užkrėsta, infekcija gali persiduoti per bendrą failų sistemą ar duomenų bazę.

Socialinė inžinerija: phishing laiškai administratoriams ar netikros WordPress atnaujinimo notifikacijos, nukreipiančios į klastotą prisijungimo puslapį.

Kur slypi peradresavimo kodas

Kenkėjiškas kodas dažniausiai yra keliose vietose vienu metu, todėl neišsami paieška nepadeda.

PHP failuose

Dažniausiai patikrinkite: index.php, wp-login.php, aktyvios temos functions.php, header.php. Tipinis požymis: eval(base64_decode(...)) tipo iškvietimai, dažnai failo pradžioje arba pabaigoje kaip viena ilga eilutė. Toks kodas atrodo kaip atsitiktinių simbolių rinkinys, bet jį dekodavus, tai PHP peradresavimo komanda.

.htaccess faile

Apache serverio konfigūracijos failas: viena populiariausių slėptuvių. Peradresavimo taisyklės dažnai rašomos base64 koduotu pavidalu arba naudojant RewriteRule direktyvas, kurios aktyvuojamos tik atėjus iš paieškos sistemų. .htaccess gali būti ne tik šakniniame kataloge: patikrinkite ir wp-content/, wp-includes/ katalogus.

Duomenų bazėje

WordPress parinktyse (wp_options), widget'ų turinyje ar pranešimų tekste gali būti įterpti <script> blokai ar <iframe> elementai. Duomenų bazės infekcija ypač klastinga: ją sunkiau aptikti standartiniais failų skeneriais, o ji veikia nepriklausomai nuo failų sistemos.

wp-content/uploads/

Įkeltų failų kataloge neturėtų būti jokių PHP failų. Bet kai kurios infekcijos įterpia .php failus tarp nuotraukų, naudodami juos kaip backdoor arba kaip papildomą peradresavimo taškų.

Kaip patikrinti, ar nukentėjote

  1. 1Atidarykite svetainę inkognito režimu iš Google paieškos rezultato: taip imituojate naujo lankytojo kelią
  2. 2Paprašykite kito žmogaus iš kito įrenginio ir kito tinklo atidaryti ir pranešti, ką mato
  3. 3Patikrinkite Search Console: skyriuje „Saugumas ir rankinis veiksmas" matosi perspėjimai apie aptiktą kenkėjišką turinį
  4. 4Patikrinkite .htaccess failą šakniniame kataloge: ar nėra neįprastų RewriteRule ar RewriteCond eilučių
  5. 5Peržiūrėkite naujausius pakeistus failus serveryje per FTP (rūšiuokite pagal pakeitimo datą)
Iliustracija

Ko nedaryti

Netrinkite failų atsitiktinai. Tai gali sunaikinti įrodymus ir apsunkinti valymo procesą. Kenkėjiškas kodas dažnai turi kelis sluoksnius: pašalinus vieną, kitas lieka aktyvus.

Nestatykite švarios WordPress kopijos ant viršaus. Reinstaliavimas be duomenų bazės ir failų sistemos patikrinimo nieko neduoda: kenkėjiškas kodas lieka duomenų bazėje ar atsarginėse kopijose.

Neatlikite valymo iš to paties kompiuterio, kuris gali būti pažeistas. Jei administratoriaus kompiuteris yra užkrėstas: slaptažodžiai gali būti perduoti atakuotojui net juos pakeičius.

Nepateikite Google peržiūros užklausos prieš pilnai išvalydami. Jei pateiksite užklausą su vis dar užkrėsta svetaine, Google ją patikrina ir perspėjimo nepašalina. Pakartotinė peržiūra gali užtrukti 30 ir daugiau dienų.

Valymo kontrolinis sąrašas

  • Svetainė perjungta į priežiūros režimą
  • Padaryta atsarginė kopija (failai ir duomenų bazė)
  • Patikrinti visi PHP failai šakniniame kataloge
  • Patikrintas .htaccess (šakninis ir visuose wp-content subdirektoriuose)
  • Patikrinta wp-content/uploads/ dėl .php failų
  • Patikrinti visi aktyvūs įskiepiai
  • Patikrinta aktyvi tema (functions.php, header.php, footer.php)
  • Patikrinta duomenų bazė (wp_options, widget'ai, wp_posts)
  • Pašalintos nežinomos administratorių paskyros
  • Patikrintos cron užduotys
  • Pakeisti visi prieigos slaptažodžiai (WordPress, FTP, hostingas, duomenų bazė)
  • Atnaujintas WordPress, įskiepiai, temos
  • Patikrinta svetainė inkognito režimu po valymo
  • Pateikta peržiūros užklausa Google (jei buvo perspėjimas)

Dažnai užduodami klausimai

Kodėl peradresavimas matomas tik telefone ar tik iš Google?

Tai vadinamasis „selektyvus peradresavimas": kenkėjiškas kodas tikrina, ar lankytojas atėjo iš paieškos sistemos ar naudoja mobilų įrenginį, ir peradresuoja tik tokius. Tikslas: apsunkinti aptikimą, nes svetainės savininkas dažniausiai atidarinėja svetainę tiesiogiai, ne iš paieškos.

Ar pakanka ištrinti `.htaccess` failą?

Tai pašalina tik vieną galimą peradresavimo šaltinį. Kenkėjiškas kodas gali būti ir PHP failuose, duomenų bazėje, WordPress opcijose ar įskiepių aplankuose. Ištrinus tik .htaccess, infekcija dažnai sugrįžta per trumpą laiką.

Ar Google atsimena, kad svetainė buvo peradresuojanti?

Taip. Google Search Console išlaiko saugumo įspėjimą tol, kol nėra pateikta ir patenkinta peržiūros užklausa. Net po valymo reikia rankiniu būdu pranešti Google, kad svetainė išvalyta.

Kiek laiko trunka, kol Google pašalina įspėjimą po valymo?

Paprastai 1–3 darbo dienos po peržiūros užklausos pateikimo. Jei užklausa atmesta, reiškia, kad svetainėje vis dar aptinkama infekcijos požymių.

Kada kreiptis specialisto pagalbos

Peadresavimo infekcija dažnai turi kelis sluoksnius: payload (vykdomasis kenkėjiškas kodas), backdoor (paslėpta prieiga) ir kartais atkūrimo mechanizmas, automatiškai parsisiunčiantis naują kodą. Pašalinus tik vieną dalį: infekcija grįžta per kelias dienas.

Kreiptis pagalbos verta, jei:

  • Valymas jau buvo bandytas, bet peradresavimas sugrįžo
  • Nerandate kenkėjiško kodo šaltinio
  • Google jau pažymėjo svetainę: reikia tinkamai parengtos peržiūros užklausos
  • Svetainė vykdo el. komercija ar renka klientų duomenis

Apie peradresuojančią ar pažeistą svetainę galima pranešti ir NKSC, kuris registruoja kibernetinius incidentus Lietuvoje.

kenkėjiško kodo šalinimą: patikriname svetainę ir pateikiame ataskaitą su visais rastais požymiais, jų lokacijomis ir rekomenduojamais žingsniais.

Kaip apsisaugoti ateityje

Patyrę peradresavimo infekciją, daugelis svetainių savininkų nusprendžia diegti nuolatinę apsaugą: ne todėl, kad tikisi kitos atakos, o todėl, kad supranta, kiek ilgai infekcija veikė nepastebėta.

Cloudflare WAF konfigūraciją blokuoja didelę dalį automatizuotų atakų dar prieš joms pasiekiant svetainę. Reguliarūs įskiepių atnaujinimai pašalina žinomus pažeidžiamumus, kuriais naudojasi automatizuotos atakos. Dvifaktorinis autentifikavimas WordPress administratoriaus paskyroje apsaugo nuo slaptažodžių vagystės. Šias ir kitas prevencines priemones aprašo esaugumas.lt. Jei svetainė rinko lankytojų duomenis, apie pažeidimą privaloma pranešti VDAI per 72 valandas: oficialus RRT kibernetinio saugumo žinynas.

nuolatinę svetainės stebėseną apima savaitinį skenavimą ir automatinį pranešimą apie naujus pažeidimus: paprastai dar prieš tai, kai lankytojai ar Google tai pastebi.

Reikia pagalbos

Susidūrėte su panašia situacija?

Aprašykite, kas vyksta — per nemokamą konsultaciją pasakysime, ką galima padaryti ir kiek tai kainuotų.

Nemokama konsultacija

Skaitykite toliau

Susiję straipsniai

WordPress saugumas10 min

WordPress backdoor: kur slepiasi ir kaip aptikti

Paslėpta prieiga — tai kodas, leidžiantis atakuotojui grįžti į svetainę net po visiškos slaptažodžių keitimo. Kur ji dažniausiai slypi, kaip atpažinti ir kodėl jos radimas reikalauja sistemingo požiūrio.

Skaityti →

Saugumo praktika9 min

Kaip saugiai perduoti prieigą prie svetainės saugumo specialistui

El. paštas ir messenger — ne saugūs kanalai slaptažodžiams. Kaip perduoti WordPress, FTP ir hostingo prieigą taip, kad duomenys neatsidurtų svetimose rankose.

Skaityti →

Prevencija9 min

Kodėl svetainė vėl užsikrečia po valymo

Po kelių dienų ar savaičių infekcija grįžo? Dažniausiai tai reiškia, kad valymas nebuvo atliktas iki galo: liko backdoor, automatinis atkūrimo mechanizmas arba nepašalintas pažeidžiamumas.

Skaityti →