Jei svetainė pradėjo nukreipti lankytojus į kazino, vaistų ar kitus neaiškius puslapius, problema dažniausiai jau nėra vien tik vizualinis gedimas. Tai kenkėjiška infekcija, kuri dažnai veikia kelias savaites ar net mėnesius, kol kažkas pagaliau apie tai praneša.
Būdingas šios infekcijos bruožas: savininkas svetainę atidaro ir mato viską gerai. Peradresavimas veikia selektyviai, tik tam tikromis sąlygomis, tyčia sukurtomis taip, kad svetainės savininkas kuo ilgiau nieko nepastebėtų.
Trumpas atsakymas: kodėl taip vyksta ir ką daryti
Peradresavimo infekcija — tai kenkėjiškas kodas, įterptas į svetainės failus ar duomenų bazę, kuris nukreipia dalį lankytojų į kazino, farmacijos ar suaugusiųjų turinio svetaines. Infekcija paprastai turi keletą komponentų: payload (kenkiantis kodas), backdoor (paslėpta prieiga) ir kartais automatinio atkūrimo mechanizmas.
Pirmieji žingsniai:
- Patikrinkite svetainę inkognito režimu iš Google paieškos rezultato: taip imituojate naujo lankytojo kelią
- Patikrinkite Google Search Console sekciją „Saugumas ir rankinis veiksmas"
- Paprašykite kito žmogaus iš kito įrenginio ir kito interneto ryšio patikrinti
- Jei patvirtinote problemą: nekeiskite ir netrinkite failų atsitiktinai — tai gali sunaikinti diagnostikos įrodymus
Valymas turi apimti visus tris komponentus: pašalinus tik vieną, infekcija sugrįžta.
Kodėl jūsų naršyklėje viskas atrodo gerai
Peradresavimo infekcija veikia selektyviai: kenkėjiškas kodas aktyvuojamas tik tam tikromis sąlygomis, kad svetainės savininkas kuo ilgiau nieko nepastebėtų.
Dažniausiai peradresavimas suveikia:
- Tik lankytojams iš paieškos sistemų: atėję per Google ar Bing nukreipiami, o tiesiogiai adresą įvedę lankytojai peradresavimo nemato
- Tik pirmojo apsilankymo metu: slapukas fiksuoja „jau matyta", pakartotinai nenukreipia
- Tik mobiliuosiuose įrenginiuose: staliniuose kompiuteriuose viskas atrodo gerai
- Tik konkrečioms šalims pagal IP adresą: kai kurios infekcijos orientuotos į specifines rinkas
- Tik tam tikromis valandomis: kenkėjiškas kodas aktyvus tik naktį ar savaitgaliais
Todėl jūs, tiesiogiai atidarydami svetainę savo kompiuteryje, nieko nematote. Tačiau lankytojai, ateinantys iš Google, peradresuojami.
Kaip infekcija patenka į svetainę
Peradresavimų infekcija retai atsiranda atsitiktinai: dažniausiai yra konkretus įėjimo kelias:
Pasenęs WordPress ar įskiepiai: populiariausia priežastis. Net vienas neatnaujintas įskiepis su žinoma saugumo spraga gali atverti kelią automatizuotai atakai. Atakuotojai nuolat tikrina žinomų pažeidžiamumų sąrašus ir automatiškai ieško svetainių su nepataisytomis versijomis.
Pavogti FTP ar hostingo slaptažodžiai: jei tas pats slaptažodis naudojamas keliose sistemose arba jis buvo nutekėjęs iš kito saugumo pažeidimo, užpuolikai gali prisijungti tiesiogiai per FTP ar cPanel.
„Nemokami" premium temos ar įskiepiai: failai iš neoficialių šaltinių dažnai jau turi paslėptą kenkėjišką kodą. Tai vadinama „nulled" programine įranga, ir ji beveik visada kainuoja brangiau, nei sutaupote.
Pažeistas bendras hostingas: jei serveris aptarnauja daug svetainių ir viena iš jų užkrėsta, infekcija gali persiduoti per bendrą failų sistemą ar duomenų bazę.
Socialinė inžinerija: phishing laiškai administratoriams ar netikros WordPress atnaujinimo notifikacijos, nukreipiančios į klastotą prisijungimo puslapį.
Kur slypi peradresavimo kodas
Kenkėjiškas kodas dažniausiai yra keliose vietose vienu metu, todėl neišsami paieška nepadeda.
PHP failuose
Dažniausiai patikrinkite: index.php, wp-login.php, aktyvios temos functions.php, header.php. Tipinis požymis: eval(base64_decode(...)) tipo iškvietimai — dažnai failo pradžioje arba pabaigoje kaip viena ilga eilutė. Toks kodas atrodo kaip atsitiktinių simbolių rinkinys, bet jį dekodavus, tai PHP peradresavimo komanda.
.htaccess faile
Apache serverio konfigūracijos failas: viena populiariausių slėptuvių. Peradresavimo taisyklės dažnai rašomos base64 koduotu pavidalu arba naudojant RewriteRule direktyvas, aktyvuojamas tik atėjus iš paieškos sistemų. .htaccess gali būti ne tik šakniniame kataloge — patikrinkite ir wp-content/, wp-includes/ katalogus.
Duomenų bazėje
WordPress parinktyse (wp_options), widget'ų turinyje ar pranešimų tekste (wp_posts) gali būti įterpti <script> blokai ar <iframe> elementai. Duomenų bazės infekcija ypač klastinga: ją sunkiau aptikti standartiniais failų skeneriais, o ji veikia nepriklausomai nuo failų sistemos.
wp-content/uploads/
Įkeltų failų kataloge neturėtų būti jokių PHP failų. Bet kai kurios infekcijos įterpia .php failus tarp nuotraukų, naudodami juos kaip backdoor arba papildomą peradresavimo vietą.
Kaip patikrinti, ar nukentėjote
- 1Atidarykite svetainę inkognito režimu iš Google paieškos rezultato — taip imituojate naujo lankytojo kelią (ne tiesioginį URL įvedimą)
- 2Patikrinkite iš mobiliojo telefono per mobilųjį internetą (ne Wi-Fi) — daugelis infekcijų nukreipia tik mobiliuosius vartotojus
- 3Paprašykite kito žmogaus iš kito įrenginio ir kito tinklo atidaryti ir pranešti, ką mato
- 4Patikrinkite Google Search Console → „Saugumas ir rankinis veiksmas" — ten matomi perspėjimai ir paveiktų URL pavyzdžiai
- 5Patikrinkite
.htaccessfailą šakniniame kataloge: ar nėra neįprastųRewriteRulearRewriteCondeilučių - 6Peržiūrėkite naujausius pakeistus failus serveryje per FTP (rūšiuokite pagal pakeitimo datą)
Ko nedaryti
Netrinkite failų atsitiktinai. Tai gali sunaikinti įrodymus ir apsunkinti valymo procesą. Kenkėjiškas kodas dažnai turi kelis sluoksnius: pašalinus vieną, kitas lieka aktyvus.
Nestatykite švarios WordPress kopijos ant viršaus. Reinstaliavimas be duomenų bazės ir failų sistemos patikrinimo nieko neduoda: kenkėjiškas kodas lieka duomenų bazėje ar atsarginėse kopijose.
Neatlikite valymo iš to paties kompiuterio, kuris gali būti pažeistas. Jei administratoriaus kompiuteris yra užkrėstas: slaptažodžiai gali būti perduoti atakuotojui net juos pakeičius.
Nepateikite Google peržiūros užklausos prieš pilnai išvalydami. Jei pateiksite užklausą su vis dar užkrėsta svetaine, Google ją patikrina ir perspėjimo nepašalina. Pakartotinės užklausos be realių pakeitimų gali pailginti kitos peržiūros laiką. Jei svetainė jau gavo Google Safe Browsing perspėjimą, ten rasite detalią instrukciją, kaip tinkamai parengti peržiūros užklausą.
Peržiūros užklausos teksto pavyzdys:
Svetainėje buvo aptiktas selektyvus peradresavimas į lošimo puslapius. Patikrinome PHP failus,
.htaccess, aktyvią temą, įskiepius,wp_options,wp_posts, widget'us ir cron užduotis. Pašalinome kenkėjišką kodą, nežinomas administratorių paskyras, pakeitėme WordPress, FTP, hostingo ir duomenų bazės slaptažodžius, atnaujinome WordPress, įskiepius ir temas. Prašome pakartotinai peržiūrėti svetainę.
Valymo kontrolinis sąrašas
- Svetainė perjungta į priežiūros režimą
- Padaryta atsarginė kopija (failai ir duomenų bazė)
- Patikrinti visi PHP failai šakniniame kataloge
- Patikrintas .htaccess (šakninis ir visuose wp-content subdirektoriuose)
- Patikrinta wp-content/uploads/ dėl .php failų
- Patikrinti visi aktyvūs įskiepiai
- Patikrinta aktyvi tema (functions.php, header.php, footer.php)
- Patikrinta duomenų bazė (wp_options, widget'ai, wp_posts)
- Pašalintos nežinomos administratorių paskyros
- Patikrintos cron užduotys
- Pakeisti visi prieigos slaptažodžiai (WordPress, FTP, hostingas, duomenų bazė)
- Atnaujintas WordPress, įskiepiai, temos
- Patikrinta svetainė inkognito režimu po valymo
- Pateikta peržiūros užklausa Google (jei buvo perspėjimas)
Dažnai užduodami klausimai
Kodėl peradresavimas matomas tik telefone ar tik iš Google?
Tai vadinamasis „selektyvus peradresavimas": kenkėjiškas kodas tikrina, ar lankytojas atėjo iš paieškos sistemos ar naudoja mobilų įrenginį, ir peradresuoja tik tokius. Tikslas: apsunkinti aptikimą, nes svetainės savininkas dažniausiai atidarinėja svetainę tiesiogiai, ne iš paieškos.
Ar pakanka ištrinti `.htaccess` failą?
Tai pašalina tik vieną galimą peradresavimo šaltinį. Kenkėjiškas kodas gali būti ir PHP failuose, duomenų bazėje, WordPress opcijose ar įskiepių aplankuose. Ištrinus tik .htaccess, infekcija dažnai sugrįžta per trumpą laiką.
Ar Google atsimena, kad svetainė buvo peradresuojanti?
Jei įspėjimas rodomas Google Search Console Security Issues ataskaitoje, po valymo reikia pateikti peržiūros užklausą. Jei įspėjimo Search Console nėra, Google gali pašalinti žymėjimą po pakartotinio svetainės patikrinimo, tačiau procesas gali užtrukti.
Kiek laiko trunka, kol Google pašalina įspėjimą po valymo?
Google peržiūra dažniausiai trunka kelias dienas, tačiau kai kuriais atvejais gali užtrukti kelias savaites. Jei užklausa atmesta, prieš teikiant naują reikia papildomai patikrinti svetainę ir pašalinti likusius infekcijos požymius.
Kada kreiptis specialisto pagalbos
Peradresavimo infekcija dažnai turi kelis sluoksnius: payload (vykdomasis kenkėjiškas kodas), backdoor (paslėpta prieiga) ir kartais atkūrimo mechanizmas, automatiškai parsisiunčiantis naują kodą. Pašalinus tik vieną dalį: infekcija grįžta per kelias dienas.
Kreiptis pagalbos verta, jei:
- Valymas jau buvo bandytas, bet peradresavimas sugrįžo
- Nerandate kenkėjiško kodo šaltinio
- Google jau pažymėjo svetainę: reikia tinkamai parengtos peržiūros užklausos
- Svetainėje vyksta el. prekyba ar renkami klientų duomenys
Apie peradresuojančią ar pažeistą svetainę galima pranešti ir NKSC, kuris registruoja kibernetinius incidentus Lietuvoje.
Tokiu atveju verta atlikti kenkėjiško kodo šalinimą: patikriname svetainę, pašaliname peradresavimo kodą ir pateikiame ataskaitą su rastais požymiais, jų vietomis ir rekomenduojamais veiksmais.
Kaip apsisaugoti ateityje
Patyrę peradresavimo infekciją, daugelis svetainių savininkų nusprendžia diegti nuolatinę apsaugą: ne todėl, kad tikisi kitos atakos, o todėl, kad supranta, kiek ilgai infekcija veikė nepastebėta.
Cloudflare WAF konfigūracija blokuoja didelę dalį automatizuotų atakų dar prieš joms pasiekiant svetainę. Reguliarūs įskiepių atnaujinimai pašalina žinomus pažeidžiamumus, kuriais naudojasi automatizuotos atakos. Dvifaktorinis autentifikavimas WordPress administratoriaus paskyroje apsaugo nuo slaptažodžių vagystės. Šias ir kitas prevencines priemones aprašo esaugumas.lt. Jei svetainė rinko lankytojų duomenis, apie asmens duomenų saugumo pažeidimą gali reikėti pranešti VDAI per 72 valandas pagal BDAR reikalavimus.
nuolatinę svetainės stebėseną apima savaitinį skenavimą ir automatinį pranešimą apie naujus pažeidimus: paprastai dar prieš tai, kai lankytojai ar Google tai pastebi.
Reikia pagalbos
Susidūrėte su panašia situacija?
Aprašykite, kas vyksta — per nemokamą konsultaciją pasakysime, ką galima padaryti ir kiek tai kainuotų.
Nemokama konsultacija



