Wchodzisz na swoją stronę i widzisz dziwny błąd? Wyskoczyło okienko z napisem „The HoeflerText Font Wasn’t Found”. Na pierwszy rzut oka wydaje się, że po prostu w Twoim systemie operacyjnym nagle zabrakło jakiejś czcionki i strona może wyświetlać się niepoprawnie? Otóż nie. Jeśli wszedłeś na taką stronę i widzisz błąd jak powyżej, a rzeczona strona należy do Ciebie – to znaczy, że została zainfekowana wirusem i to wcale nie takim prostym do wykrycia i wyeliminowania.

Cyberprzestępcy często czyhają na słabo zabezpieczone strony, może to być WordPress, Joomla, Drupal czy nawet Prestashop – wystarczy tylko chwila nieuwagi, plugin z niewiadomego źródła czy zwykły brak aktualizacji co wynika często z niedbania o stronę.

The "HoeflerText" font wasn't found

The web page you are trying to load is displayed incorrectly, as it uses the "HoeflerText" font. 
To fix the error and display the text, you have to update the "Chrome Font Pack".

Manufacturer: Google Inc. All Rights Reserved
Current version: Chrome Font Pack 53.0.2785.89
Latest version: Chrome Font Pack 57.2.5284.21

Wirus, który właśnie został wstrzyknięty na Twoją stronę to nic innego jak skrypt JavaScript, który może być umieszczony w plikach o rozszerzeniach JS, PHP a nawet w bazie danych. Nigdy nie klikaj w linki jakie są wyświetlane, nie próbuj pobierać „niby brakującej czcionki” bo Twój komputer zostanie zainfekowany wirusem typu ransomware. Tym samym będziesz miał problem nie tylko ze stroną, ale także z zainfekowanym komputerem.

Niezbyt miła wizja co nie?

Nie będę się tutaj rozwodził nad tym jak usunąć już wirusa z komputera, ale choć spróbuje pomóc Wam walczyć z nim na Waszych stronach internetowych.

1) Sprawdź czy posiadasz kopie zapasową strony

Niestety często tak bywa, że o wirusie dowiadujemy się jako ostatni. HoeflerText to dość podstępna bestia, która kryje się w zakamarkach Waszych stron od kilku tygodni zanim da Wam we znaki. Także najbezpieczniej mieć kopie sprzed miesiąca, dwóch – choć nie zawsze to będzie dla nas dostatecznym ratunkiem. Warto więc zrobić kopie obecnej strony, nawet zainfekowanej, bo przecież mogliście przez ten czas dokonać sporych zmian na witrynie, a po przywróceniu strony z wcześniejszego okresu przydałoby się je przywrócić.

Problem może być inny, może okazać się, że w kopi jaką posiadacie wirus już rezyduje. Co więcej, nawet jak go tam nie ma to przyczyna włamania zostaje i sytuacja z pewnością się powtórzy, dlatego ważne jest, abyście znaleźli przyczynę wkradnięcia się wirusa, a nie eliminowali tylko jego skutki.

2) Zaktualizuj wtyczki, komponenty czy motywy do najnowszych wersji. Jeśli nie wiesz jak szukać systemowo wirusa to nie łudź się, że antywirus z Twojego komputera coś pomoże. Nie, to nie są wirusy jak na Twoim komputerze, to kawałek kodu, którego bez doświadczenia nie znajdziesz. Zostaje Ci jedynie teraz analiza ręczna plików i szukanie podejrzanych wpisów. Skrypt odpowiedzialny za wirusa może być skrzętnie zakodowany, więc nawet go nie zauważysz gdy został doklejony do pliku JS.

3) Postaraj się podmienić pliki strony (jeśli to CMS) oryginalnymi plikami z repozytoriów. Oczywiście nie zawsze jest to proste i nie rozwiąże w pełni całego problemu, ale możliwe, że uda Ci się nadpisać plik z doklejonym kodem.

4) Zbadaj plik .htaccess i sprawdź czy nie ma w nim wpisów w stylu php_value auto_prepend_file albo php_value auto_append_file. Ustawienia te można wykorzystać do wstrzyknięcia kodu PHP na wszystkie strony w witrynie, a także pozwoli wstrzyknąć kod javascript lub wykonać inne czynności, o których nie ma sensu, abym się rozpisywał. Uwierzcie mi, tymi niepozornymi linijkami w kodzie można wiele.

W pliku .htaccess sprawdźcie także czy nie ma kodu w stylu RewriteCond %{HTTP_REFERER} .google.$ [NC,OR]. Kod jest typowy do serwowania różnych akcji użytkownikom skierowanym na naszą stronę z wyszukiwarki Google. Więc nie zawsze wchodząc na stronę bezpośrednio będziecie świadomi problemu, prędzej użytkownicy Was o nim powiadomią.

5) Jeśli Twoja strona opiera się o platformę WordPress to porównajcie pliki motywu z oryginałem jak i same pliki WordPressa z pasującą do niego wersją.

6) Sprawdźcie wersje posiadanych wtyczek, wersję WordPressa, Joomli, Prestashop czy Magento pod kątem nowo wykrytych luk w zabezpieczeniach. Jak najszybciej rozpocznijcie aktualizację.

To tyle co możecie wykonać samodzielnie.

Wiem, że z pewnością Was zawiodłem, ale bez znajomości Linuxa, podstawowych komend, czy zasad zabezpieczeń na swoim hostingu – wiele nie zdziałasz.

Mam spore doświadczenie w wyszukiwaniu wirusa HoeflerText, więc nie bój się prosić o pomoc. Odnajdę wirusa, zabezpieczę Twoją stronę, a dodatkowo otrzymasz 60 dni gwarancji na usługę. Niestety należy pamiętać, że po wygaśnięciu gwarancji musisz zacząć dbać o stronę.

Zamów wycenę pozbycia się wirusa już dziś!