Ровно полгода назад нам перешли новые IPv4-адреса. Некоторые адреса мы присвоили тем серверам, которым прежде адресного пространства не хватало, некоторые отложили для клиентов, которым такое может понадобится. Вроде бы все. Те сервера, которые ни на что по IP-адресу не отвечают, просто отдают страничку-заглушку, если ввести адрес в соответствующую строку веб-браузера. Вчера мне понадобилось замерить скорость соединения с одним из тех серверов, для этого я скачал Speedtest Mini и загрузил его на необходимый мне сервер. Каково было мое удивление, когда после ввода в адресную строку IP я увидел предупреждение о мошенническом ПО.

В чем я был абсолютно уверен, так это в том, что никакого вредоносного ПО на наших серверах нет. Конкретно тот сервер, на который мне нужно было зайти, обслуживает робота «IbiceCrawler», который ищет в Интернете сайты, работающие на наших CMS и проверяет лицензии. Кроме него там ничего нет, только nginx со страницей-заглушкой. Начал исследовать этот вопрос, поскольку такое поведение мне показалось весьма странным. Конечно же, никакого отслеживания логов на той машине никогда не было, это было просто никому не нужно. Я решил просмотреть журналы за неделю и удивлению моему не было предела, когда я увидел 130 страниц в журнале ошибок. И это на сервере, веб-интерфейс которого ограничивается одной лишь только статичной страничкой! Мне стало еще интереснее.

Запросы были достаточно интересные и адресованы были какому-то скрипту, имя которого было скрыто при помощи mod_rewrite. Этому скрипту передавались какие-то непонятные случайные комбинации букв и буквенно-цифровые коды. На самом деле, все оказалось еще интереснее. После некоторого исследования информации «Google» по этому поводу выяснилось, что эти обращения приходят с зараженных сайтов, которые были взломаны злоумышленниками с целью установки перенаправления на те самые скрипты, которые я вижу в журнале ошибок. Что происходило дальше, конечно же, достаточно трудно понять сейчас, так как прошло слишком много времени и в кэше поисковых систем ничего не осталось, но по всей видимости, прежде этот IP-адрес принадлежал разработчику вредоносного программного обеспечения, которое он внедрял намного эффективнее, чем наши специалисты внедряют системы учета, которые производим мы.

Теперь причины происходящего ясны. Я настроил фильтры так, чтобы на все непонятные запросы сервер так и отвечал кодом 400, но что же делать с предупреждением о вредоносном ПО, которого нет на этом IP-адресе уже как минимум, полгода? Как я уже писал выше, на этом сервере у нас работает робот, который посещает сайты клиентов. Частенько клиенты, которые видят непонятные запросы в журналах, посещают IP-адрес того робота, который кажется им подозрительным. В данном случае, при посещении посетитель получит предупреждение о вреде, который может нанести веб-узел. После такого сообщения, посетитель практически гарантированно сделает предположение о том, что этот робот распространяет вредоносное ПО либо пытается взломать сайт, после чего либо наш IP-адрес, либо наш user-agent попадают в список на блокировку, что в последствии несколько усложняет контроль над использованием нашего программного обеспечения.

Что же делать, если такое предупреждение есть на вашем сайте или IP-адресе? Прежде всего, нужно убедиться в том, что эти обвинения безосновательны. Для этого нужно хорошо ознакомиться с контентом той страницы, которая открывается при запросе подробностей на странице предупреждения. Там пишется конкретная причина того, почему сайт попал под блокировку. Если формулировка размытая, то переходим к шагу следующему — смотрим журналы ошибок и посещений сервера. Ищем там что-то подозрительное. Подозрительные ссылки не открываем в браузере, а смотрим по FTP. Когда вредоносный контент будет ликвидирован, следует зарегистрировать сайт в панели управления «Google» для вебмастеров. Зарегистрировать там можно что угодно: от доменного имени двадцатого уровня до IP-адреса. После добавления в панель загружаем предложенный файл в корневую директорию и подтверждаем таким образом факт владения. Теперь переходим в проблемы безопасности и снова знакомимся с обвинениями. Тут они могут быть несколько подробнее и понятнее. Если причины устранены, подаете заявку на пересмотр статуса прямо на той же странице. Рассмотрение заявки происходит в течение суток. Мы подали заявку вчера вечером и сегодня утром предупреждение уже пропало.

Вот так мы и избавились от надоедливого предупреждения, которое было вынесено еще предыдущему владельцу IP-адреса, но несмотря на это успешно продолжало подтверждаться ежедневно даже после того, как на запросы стал отвечать совершенно другой сервер. Уж не знаю, почему, но мне кажется, что причиной тут была ошибка 404, которую наш сервер отдавал при проверке путем обращения на вредоносный адрес. Так или иначе, в ликвидации данного статуса нет ничего сложного, если вы, конечно, действительно не распространяете вышеуказанные сорта программного обеспечения.