Strona przekierowuje na kasyno: jak znaleźć i usunąć

Jeśli strona zamiast Twojej witryny otwiera kasyno lub zakłady, zwłaszcza na telefonie albo przy wejściu z wyszukiwarki, to niemal zawsze włamanie, a nie wirus na Twoim komputerze. Kod jest umieszczony tak, by właściciel go nie widział: na komputerze wszystko wygląda normalnie, a odwiedzający i Google dostają przekierowanie. Poniżej: jak potwierdzić, że problem jest po stronie witryny, gdzie dokładnie siedzi kod i jak usunąć przekierowanie, aby nie wróciło.

Spis treści
  1. Włamanie czy wirus w przeglądarce
  2. Sprawdź stronę teraz
  3. Dlaczego nie każdy widzi
  4. Gdzie siedzi kod
  5. Usuń krok po kroku
  6. Dlaczego wraca
  7. Joomla lub WordPress
  8. Kiedy wezwać specjalistę

To włamanie na stronę czy wirus w przeglądarce

Najpierw ustal, gdzie jest problem, bo naprawa się różni:

  • Otwórz stronę na telefonie przez dane komórkowe i poproś kogoś z innego miasta. Jeśli przekierowuje też u nich, problem jest po stronie witryny.
  • Jeśli wiele różnych stron przekierowuje na kasyno tylko u Ciebie, problem jest w Twojej przeglądarce lub rozszerzeniu.
  • Jeśli przekierowuje tylko Twoja strona i tylko część odwiedzających, to włamanie.

Dalej o przypadku, gdy problemem jest sama witryna, to najczęstszy scenariusz przy skardze „strona przekierowuje na kasyno".

Sprawdź stronę teraz

Narzędzie otworzy Twoją stronę z zewnątrz tak, jak widzi ją wyszukiwarka i odwiedzający z telefonu. To zwykle im podaje się przekierowanie. Mobilne przekierowanie, cloaking i przestarzały CMS będą widoczne od razu. Dostęp do strony nie jest potrzebny.

Sprawdzam: defacement, mobilne przekierowanie, cloaking, wersję CMS i czy jest aktualna.

Sprawdzam stronę z zewnątrz...

Dlaczego nie każdy widzi przekierowanie

Najbardziej podstępne w tym włamaniu jest to, że przekierowanie uruchamia się wybiórczo, dlatego właściciel często jest pewny, że wszystko gra:

  • Tylko na telefonach. Na komputerze strona otwiera się normalnie, a telefony trafiają na kasyno.
  • Tylko z wyszukiwarki. Po wpisaniu adresu wprost przekierowania nie ma, z Google jest.
  • Raz na urządzenie. Przekierowuje tylko przy pierwszej wizycie, potem ustawia cookie i zachowuje się grzecznie.
  • Cloaking. Googlebot widzi czystą stronę, a zwykły użytkownik przekierowanie.

Dlatego jedno wejście z komputera niczego nie dowodzi. Sprawdzać trzeba tak, jak wchodzą prawdziwi odwiedzający.

Gdzie dokładnie siedzi kod

Typowe miejsca, w które podrzuca się kod przekierowania:

  • .htaccess w katalogu głównym lub podfolderach: RewriteRule z warunkiem na telefony lub referer.
  • index.php i pliki aktywnego szablonu: wstrzyknięcie zwykle w pierwszych wierszach, często przez eval(base64_decode(...)) lub base64.
  • Baza danych: w WordPressie wp_options i wp_posts, w Joomli parametry szablonu w #__template_styles.
  • Zewnętrzny JS: skrypt wczytany z obcej domeny, który robi przekierowanie już w przeglądarce.

Właśnie dlatego antywirus hostingu często milczy: kod siedzi w bazie lub w regułach .htaccess, a pliki są przy tym czyste.

Jak usunąć przekierowanie krok po kroku

  1. Zrób kopię obecnego stanu, nawet zainfekowanego.
  2. Zmień wszystkie hasła: panel administracyjny, FTP i SSH, baza, panel hostingu.
  3. Sprawdź .htaccess w katalogu głównym i podfolderach, usuń obce RewriteRule.
  4. Sprawdź index.php i pliki szablonu pod kątem wstrzyknięcia w pierwszych wierszach.
  5. Sprawdź bazę pod kątem obcych skryptów i domen w parametrach szablonu oraz wpisach.
  6. Znajdź i usuń web-shelle: nieznane pliki .php w uploads lub media.
  7. Zaktualizuj CMS i rozszerzenia, usuń nieużywane.

Dlaczego po czyszczeniu przekierowanie wraca

Najczęstsza skarga: usunąłem kod, a dzień później przekierowanie znów jest. Powód jest prosty, usunięto objaw, a nie wejście:

  • Został web-shell, przez który kod wgrywa się ponownie.
  • Działa zadanie cron, które odtwarza przekierowanie według harmonogramu.
  • Nie zamknięto podatności, przez którą weszli za pierwszym razem.

Usunąć przekierowanie i zamknąć wejście to dwie różne prace. Bez tej drugiej stronę hakuje się ponownie tą samą drogą, często tego samego dnia.

Jeśli strona jest na Joomli lub WordPressie

Joomla. Szczególnie narażona jest Joomla 3: bez aktualizacji zabezpieczeń od 17 sierpnia 2023. Wchodzą przez rozszerzenia (JCE, SP Page Builder) lub framework Helix3, a przekierowanie ukrywają w parametrach szablonu w bazie. Bez przejścia na wersję 5 lub 6 strona jest infekowana ponownie.

WordPress. Zajrzyj do wp_options (pola siteurl, home i własne wpisy), wp_posts, pliku functions.php aktywnego motywu i folderu uploads: nie powinno w nim być plików .php. Wejściem jest zwykle zaniedbana wtyczka.

Kiedy wezwać specjalistę

Warto nie tracić czasu, jeśli:

  • już czyściłeś stronę, a przekierowanie wróciło;
  • kod jest w bazie lub w .htaccess, a antywirus hostingu milczy;
  • przekierowuje tylko na telefonie lub tylko z wyszukiwarki i nie możesz złapać kodu;
  • hosting zablokował konto za złośliwe oprogramowanie;
  • nie ma działającej czystej kopii zapasowej.

Znajduję i usuwam przekierowanie na kasyno na dowolnym CMS i zamykam punkt wejścia, aby nie wróciło. Diagnostyka jest bezpłatna. Pracuję z właścicielami stron z Ukrainy, z Polski i z rosyjskojęzycznymi w UE. Z osobami prawnymi zarejestrowanymi w Rosji nie współpracuję: to ograniczenie sankcji UE.

Szczegóły i zgłoszenie

Częste pytania

Strona przekierowuje na kasyno tylko na telefonie. Dlaczego?

To typowe mobilne przekierowanie: kod sprawdza urządzenie i uruchamia się tylko na telefonach. Na komputerze strona otwiera się normalnie, więc właściciel długo tego nie zauważa, a ruch mobilny wycieka na kasyno.

Wyczyściłem stronę, a przekierowanie wróciło. Co poszło nie tak?

Usunąłeś objaw, a nie wejście. Został web-shell lub zadanie cron i odtwarza kod, albo nie zamknięto podatności użytej do wejścia. Trzeba znaleźć punkt wejścia, inaczej przekierowanie wraca.

Skąd mam wiedzieć, że to nie moja przeglądarka?

Otwórz stronę z innego urządzenia i sieci oraz poproś kogoś z innego miasta. Jeśli przekierowuje też u nich, problem jest po stronie witryny. Jeśli natomiast wiele stron przekierowuje na kasyno tylko u Ciebie, to Twoja przeglądarka lub rozszerzenie.

Antywirus hostingu mówi, że wszystko czyste. Dlaczego jest przekierowanie?

Bo antywirus sprawdza pliki według sygnatur, a kod przekierowania często siedzi w bazie danych lub w regułach .htaccess. Pliki są przy tym naprawdę czyste. Cisza skanera nie oznacza, że strona jest w porządku.

Czy mogę po prostu przywrócić kopię zapasową?

Czasem tak, ale tylko jeśli kopia jest na pewno czysta i znasz datę infekcji. Często kopia już zawiera kod. A co ważniejsze, przywrócenie nie zamyka podatności, więc strona zostaje ponownie zainfekowana.

Telegram