Вебмайстер
Яндекс для вебмайстрів
Як Яндекс індексує сайти
Сайт на сторінці результатів пошуку
Сервіс «Яндекс.Вебмайстер»
Налаштування індексування
Вміст сайту
Сайт у результатах пошуку
Безпека сайтів
Сервіси Яндекса на вашому сайті

Ланцюжки зараження

Щоб допомогти вебмайстрам швидше знаходити та видаляти шкідливий код, Яндекс показує інформацію про ланцюжки хостів, через які під час перегляду сторінок зараженого сайту в браузер користувача завантажується шкідливий код.

Ця інформація дозволяє визначити, через який блок на сторінці зараженого сайту завантажується шкідливий код.

Наприклад, якщо ланцюжок має вигляд:

то щоб сайт перестав поширювати шкідливий код, потрібно виконати одну з таких дій:

  • видалити частину веб-серверної сторінки або скрипту, через які на сторінці infected-2.htm з'являється тег (<script>, <iframe>), що завантажує блок з marthamio.cu.cc або виконує редирект на цей сайт;

  • попросити власників marthamio.cu.cc, щоб цей сайт перестав видавати блоки, які завантажують блоки з groogle.cu.cc/?said=3333&q=facebook;

  • усунути поширення шкідливого коду з ресурсу aroymac.cu.cc/main.php?page=362ae50582a6bb40.

Веб-серверний шкідливий код, який записує на сторінку тег, що виконує завантаження блоку з marthamio.cu.cc або редирект на нього, може бути обфусцирований:

  • навмисне зроблений незрозумілим або нечитабельним – шукайте частини скриптів, які записували не ви, особливо позбавлені структури та відступів;

  • закодований – такі елементи можна знайти за рядками беззмістовних символів та використанням функцій eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13, assert, create_function, preg_replace;

  • захований у вигляді конструкції в .htaccess та інших конфігураційних файлів веб-сервера, інтерпретатора скриптової мови, шаблонів та налаштувань CMS;

  • динамічно довантажується зі стороннього веб-сервера (php-функції file_get_contents, curl_exec тощо).

Після видалення веб-серверний шкідливий код може знову з'явитися через:

  • наявність веб-серверного бекдору;

  • компрометацію паролів веб-сервера (FTP, SSH), адмін-панелі хостингу або CMS;

  • злом сервера за допомогою зміни пароля користувача root або додавання користувачів із необхідними повноваженнями;

  • наявність на комп'ютері вебмайстра backdoor'а чи бота, за допомогою якого можна віддалено від імені вебмайстра віддавати веб-серверу команди та змінювати сторінки сайту.

Веб-браузерний шкідливий код може бути обфусцирований подібними методами. Можуть використовуватися конструкції eval, document.write, document.location, document.URL, window.location, window.navigate, перевизначення src елементів DOM, завантаження об'єктів за допомогою тегів <object>, <embed>, створення ActiveX, зміна коду сторінки за допомогою завантажених об'єктів. Крім того, звертайте увагу на довгі скрипти та зайві операції з рядками, наприклад, переприсвоєння або об'єднання декількох рядків в один.

Оцініть статтю
Дякуємо за ваш відгук!