Сайт перекидає на казино: як знайти і прибрати редирект
Якщо сайт замість вашої сторінки відкриває казино чи ставки, особливо з телефону або при переході з пошуку, це майже завжди злом, а не вірус на вашому компʼютері. Код підкидають так, щоб власник його не бачив: з компʼютера все нормально, а відвідувачі й Google отримують редирект. Нижче: як переконатися, що справа в сайті, де саме лежить код і як прибрати редирект, щоб він не повернувся.
Це злом сайту чи вірус у вашому браузері
Спершу зрозумійте, де проблема, бо лікування різне:
- Відкрийте сайт з телефону через мобільний інтернет і попросіть знайомого з іншого міста. Якщо перекидає і в них, справа в сайті.
- Якщо на казино перекидають різні сайти лише у вас, справа у вашому браузері чи розширенні.
- Якщо редирект тільки з вашого сайту і тільки в частини відвідувачів, це злом.
Далі про випадок, коли проблема саме в сайті. Це найпоширеніший сценарій зі скаргою «сайт перекидає на казино».
Перевірте сайт прямо зараз
Інструмент відкриє ваш сайт ззовні так, як його бачать пошуковий робот і відвідувач із телефону. Саме їм зазвичай і показують редирект. Мобільне перенаправлення, клоакінг і застарілу CMS буде видно одразу. Доступ до сайту не потрібен.
Чому редирект бачать не всі
Найпідступніше в такому зломі те, що редирект спрацьовує вибірково. Тому власник часто впевнений, що все гаразд:
- Тільки з мобільних. З компʼютера сайт відкривається нормально, а телефон перекидає на казино.
- Тільки при переході з пошуку. Якщо зайти напряму за адресою, редиректу немає, а з Google є.
- Один раз на пристрій. Перекидає лише при першому візиті, далі ставиться cookie і сайт поводиться чемно.
- Клоакінг. Googlebot бачить чисту сторінку, живий відвідувач редирект.
Через це діагноз по одному відкриттю з компʼютера нічого не доводить. Перевіряти треба так, як заходять реальні відвідувачі.
Де саме лежить код
Типові місця, куди підкидають редирект-код:
.htaccessу корені або підпапках: правилаRewriteRuleз умовою на мобільних чи реферера.index.phpі файли активного шаблона: інʼєкція зазвичай у перших рядках, часто черезeval(base64_decode(...))або base64.- База даних: у WordPress
wp_optionsіwp_posts, у Joomla параметри шаблона в#__template_styles. - Сторонній JS: підключений скрипт із чужого домену, що робить редирект уже в браузері.
Саме тому антивірус хостингу часто мовчить: код сидить у базі або в правилах .htaccess, а файли при цьому чисті.
Як прибрати редирект по кроках
- Зробіть копію поточного стану, навіть зараженого.
- Змініть усі паролі: адмінка, FTP і SSH, база, панель хостингу.
- Перевірте
.htaccessу корені та підпапках, приберіть чужіRewriteRule. - Перевірте
index.phpі файли шаблона на інʼєкцію в перших рядках. - Перевірте базу на сторонні скрипти й домени в параметрах шаблона та записах.
- Знайдіть і видаліть веб-шели: незнайомі .php-файли в uploads чи media.
- Оновіть CMS і розширення, приберіть невикористовувані.
Чому після чистки редирект повертається
Найчастіша скарга: прибрав код, за день редирект знову. Причина проста, прибрали симптом, а не вхід:
- Лишився веб-шел, через який заливають код заново.
- Працює завдання cron, що відновлює редирект за розкладом.
- Не закрито вразливість, через яку зайшли першого разу.
Прибрати редирект і закрити вхід це дві різні роботи. Без другої сайт ламають знову тим самим способом, часто того ж дня.
Якщо сайт на Joomla або WordPress
Joomla. Особливо вразлива Joomla 3: без оновлень безпеки з 17 серпня 2023 року. Заходять через розширення (JCE, SP Page Builder) або фреймворк Helix3, а редирект ховають у параметрах шаблона в базі. Без переходу на версію 5 або 6 сайт заражають знову.
WordPress. Дивіться wp_options (поля siteurl, home і кастомні записи), wp_posts, файл functions.php активної теми та папку uploads: у ній не має бути .php-файлів. Найчастіше заходять через занедбаний плагін.
Коли кликати фахівця
Має сенс не гаяти час, якщо:
- ви вже чистили, а редирект повернувся;
- код у базі або в
.htaccess, а антивірус хостингу мовчить; - перекидає тільки з телефону або тільки з пошуку, і ви не можете зловити код;
- хостинг заблокував акаунт за шкідливе ПЗ;
- робочої чистої копії немає.
Знаходжу і прибираю редирект на казино на будь-якій CMS і закриваю точку входу, щоб він не повернувся. Діагностика безкоштовна. Працюю з власниками сайтів з України, Польщі та з російськомовними в ЄС. З юридичними особами, зареєстрованими в Росії, не працюю: це обмеження санкцій ЄС.
Докладніше і заявкаЧасті запитання
Сайт перекидає на казино тільки з телефону. Чому?
Це типовий мобільний редирект: код перевіряє пристрій і спрацьовує лише на смартфонах. З компʼютера сайт відкривається нормально, тому власник довго нічого не помічає, а трафік з мобільних тече на казино.
Я почистив сайт, а редирект повернувся. Що не так?
Прибрали симптом, а не вхід. Лишився веб-шел або завдання cron, і код відновлюється, або не закрито вразливість, через яку зайшли. Треба знайти точку входу, інакше редирект повертається знову.
Як зрозуміти, що справа не в моєму браузері?
Відкрийте сайт з іншого пристрою і мережі, попросіть знайомого з іншого міста. Якщо перекидає і в них, справа в сайті. Якщо ж на казино кидають різні сайти тільки у вас, це вже ваш браузер чи розширення.
Антивірус хостингу каже, що все чисто. Чому редирект є?
Бо антивірус перевіряє файли за сигнатурами, а редирект-код часто лежить у базі даних або в правилах .htaccess. Файли при цьому справді чисті. Тиша сканера не означає, що сайт у порядку.
Чи можна просто відкотитися з резервної копії?
Іноді так, але лише якщо копія завідомо чиста і ви знаєте дату зараження. Часто бекап уже містить код. І головне: відкат не закриває вразливість, тому сайт перезаражають.