Сайт перекидає на казино: як знайти і прибрати редирект

Якщо сайт замість вашої сторінки відкриває казино чи ставки, особливо з телефону або при переході з пошуку, це майже завжди злом, а не вірус на вашому компʼютері. Код підкидають так, щоб власник його не бачив: з компʼютера все нормально, а відвідувачі й Google отримують редирект. Нижче: як переконатися, що справа в сайті, де саме лежить код і як прибрати редирект, щоб він не повернувся.

Зміст
  1. Злом чи вірус у браузері
  2. Перевірте сайт зараз
  3. Чому бачать не всі
  4. Де лежить код
  5. Прибрати по кроках
  6. Чому повертається
  7. Joomla і WordPress
  8. Коли кликати фахівця

Це злом сайту чи вірус у вашому браузері

Спершу зрозумійте, де проблема, бо лікування різне:

  • Відкрийте сайт з телефону через мобільний інтернет і попросіть знайомого з іншого міста. Якщо перекидає і в них, справа в сайті.
  • Якщо на казино перекидають різні сайти лише у вас, справа у вашому браузері чи розширенні.
  • Якщо редирект тільки з вашого сайту і тільки в частини відвідувачів, це злом.

Далі про випадок, коли проблема саме в сайті. Це найпоширеніший сценарій зі скаргою «сайт перекидає на казино».

Перевірте сайт прямо зараз

Інструмент відкриє ваш сайт ззовні так, як його бачать пошуковий робот і відвідувач із телефону. Саме їм зазвичай і показують редирект. Мобільне перенаправлення, клоакінг і застарілу CMS буде видно одразу. Доступ до сайту не потрібен.

Перевіряю: дефейс, мобільний редирект, клоакінг, версію CMS та її актуальність.

Перевіряю сайт ззовні...

Чому редирект бачать не всі

Найпідступніше в такому зломі те, що редирект спрацьовує вибірково. Тому власник часто впевнений, що все гаразд:

  • Тільки з мобільних. З компʼютера сайт відкривається нормально, а телефон перекидає на казино.
  • Тільки при переході з пошуку. Якщо зайти напряму за адресою, редиректу немає, а з Google є.
  • Один раз на пристрій. Перекидає лише при першому візиті, далі ставиться cookie і сайт поводиться чемно.
  • Клоакінг. Googlebot бачить чисту сторінку, живий відвідувач редирект.

Через це діагноз по одному відкриттю з компʼютера нічого не доводить. Перевіряти треба так, як заходять реальні відвідувачі.

Де саме лежить код

Типові місця, куди підкидають редирект-код:

  • .htaccess у корені або підпапках: правила RewriteRule з умовою на мобільних чи реферера.
  • index.php і файли активного шаблона: інʼєкція зазвичай у перших рядках, часто через eval(base64_decode(...)) або base64.
  • База даних: у WordPress wp_options і wp_posts, у Joomla параметри шаблона в #__template_styles.
  • Сторонній JS: підключений скрипт із чужого домену, що робить редирект уже в браузері.

Саме тому антивірус хостингу часто мовчить: код сидить у базі або в правилах .htaccess, а файли при цьому чисті.

Як прибрати редирект по кроках

  1. Зробіть копію поточного стану, навіть зараженого.
  2. Змініть усі паролі: адмінка, FTP і SSH, база, панель хостингу.
  3. Перевірте .htaccess у корені та підпапках, приберіть чужі RewriteRule.
  4. Перевірте index.php і файли шаблона на інʼєкцію в перших рядках.
  5. Перевірте базу на сторонні скрипти й домени в параметрах шаблона та записах.
  6. Знайдіть і видаліть веб-шели: незнайомі .php-файли в uploads чи media.
  7. Оновіть CMS і розширення, приберіть невикористовувані.

Чому після чистки редирект повертається

Найчастіша скарга: прибрав код, за день редирект знову. Причина проста, прибрали симптом, а не вхід:

  • Лишився веб-шел, через який заливають код заново.
  • Працює завдання cron, що відновлює редирект за розкладом.
  • Не закрито вразливість, через яку зайшли першого разу.

Прибрати редирект і закрити вхід це дві різні роботи. Без другої сайт ламають знову тим самим способом, часто того ж дня.

Якщо сайт на Joomla або WordPress

Joomla. Особливо вразлива Joomla 3: без оновлень безпеки з 17 серпня 2023 року. Заходять через розширення (JCE, SP Page Builder) або фреймворк Helix3, а редирект ховають у параметрах шаблона в базі. Без переходу на версію 5 або 6 сайт заражають знову.

WordPress. Дивіться wp_options (поля siteurl, home і кастомні записи), wp_posts, файл functions.php активної теми та папку uploads: у ній не має бути .php-файлів. Найчастіше заходять через занедбаний плагін.

Коли кликати фахівця

Має сенс не гаяти час, якщо:

  • ви вже чистили, а редирект повернувся;
  • код у базі або в .htaccess, а антивірус хостингу мовчить;
  • перекидає тільки з телефону або тільки з пошуку, і ви не можете зловити код;
  • хостинг заблокував акаунт за шкідливе ПЗ;
  • робочої чистої копії немає.

Знаходжу і прибираю редирект на казино на будь-якій CMS і закриваю точку входу, щоб він не повернувся. Діагностика безкоштовна. Працюю з власниками сайтів з України, Польщі та з російськомовними в ЄС. З юридичними особами, зареєстрованими в Росії, не працюю: це обмеження санкцій ЄС.

Докладніше і заявка

Часті запитання

Сайт перекидає на казино тільки з телефону. Чому?

Це типовий мобільний редирект: код перевіряє пристрій і спрацьовує лише на смартфонах. З компʼютера сайт відкривається нормально, тому власник довго нічого не помічає, а трафік з мобільних тече на казино.

Я почистив сайт, а редирект повернувся. Що не так?

Прибрали симптом, а не вхід. Лишився веб-шел або завдання cron, і код відновлюється, або не закрито вразливість, через яку зайшли. Треба знайти точку входу, інакше редирект повертається знову.

Як зрозуміти, що справа не в моєму браузері?

Відкрийте сайт з іншого пристрою і мережі, попросіть знайомого з іншого міста. Якщо перекидає і в них, справа в сайті. Якщо ж на казино кидають різні сайти тільки у вас, це вже ваш браузер чи розширення.

Антивірус хостингу каже, що все чисто. Чому редирект є?

Бо антивірус перевіряє файли за сигнатурами, а редирект-код часто лежить у базі даних або в правилах .htaccess. Файли при цьому справді чисті. Тиша сканера не означає, що сайт у порядку.

Чи можна просто відкотитися з резервної копії?

Іноді так, але лише якщо копія завідомо чиста і ви знаєте дату зараження. Часто бекап уже містить код. І головне: відкат не закриває вразливість, тому сайт перезаражають.

Telegram