Блог о безопасности

Предупреждаем о заражении в письменном виде

1 декабря 2011, 13:24

Мы запустили рассылку уведомлений о заражении сайтов вебмастерам, которые не зарегистрированы в Яндекс.Вебмастере.

Это нужно, чтобы уменьшить время, в течение которого заражённые сайты распространяет вредоносный код, их владельцы несут убытки, а компьютеры посетителей – заражаются.

Уведомление приходит один раз, в случае, когда Безопасный Поиск обнаруживает вредоносный код на сайте, на котором его раньше не было. Для рассылки используются стандартные адреса (например, webmaster@, admin@, support@) и адреса из whois.

В тексте уведомлений есть ссылки, позволяющие при необходимости отписаться и подписаться снова.


Команда Безопасного Поиска Яндекса

Предупреждаем о заражении в письменном виде

Чтобы оперативно оповещать владельцев сайта о заражении, Яндекс запустил рассылку уведомлений по электронной почте. Раньше такая возможность была доступна только пользователям сервиса "Яндекс.Вебмастер". Теперь уведомления рассылаются всем, чей сайт подвергся атаке злоумышленников.

Владельцы сайтов не всегда вовремя узнают о том, что на их сайте размещён вредоносный код. По нашей статистике, в 27% случаев такой код остаётся на сайте более полугода. Из-за этого сайт теряет аудиторию и существенную часть трафика, а компьютеры посетителей — заражаются вирусами.

Яндекс проверяет более 21 миллиона страниц в сутки и ежедневно находит вредоносный код примерно на трёх тысячах сайтов, на которых его раньше не было. Всего в базе Безопасного поиска Яндекса более 430 тысяч заражённых сайтов, 4.4 миллиона страниц. Мы предупреждаем людей об опасных сайтах как в результатах поиска, так и в Опере и Firefox с Яндекс.Баром. Не менее важная задача для нас — помочь вебмастеру как можно скорее удалить со своего сайта вредоносный код и предотвратить повторное заражение.

Адреса доставки уведомлений – указанные в whois или стандартные общепринятые технические адреса (например, webmaster@, admin@, support@). Кроме того, при заражении сайта с доменом третьего или более высокого уровня, уведомление будет отправлено также контактам домена второго уровня. В зависимости от принадлежности домена, уведомления рассылаются на тех языках, которые понятны для получателей.

Каждое письмо содержит ссылку на отписку от уведомлений. В дальнейшем, на уведомления можно подписаться снова — как по специальной ссылке из письма, так и добавив сайт в сервис Яндекс.Вебмастер.

 

 
Команда безопасного поиска Яндекса

12 комментариев
Подписаться на комментарии к посту

У меня вопрос . К чему может привести этот вредоносный код ??? И как могут нести убытки владельцы сайтов ?

[+] Первое предупреждение за ссылку-точку на moi-dom72 . Здесь не место для SEO.

Вредоносный код выполняет drive-by-dowload атаку на компьютер посетителя сайта, и если пользователь не обеспечил безопасность своего компьютера, он может заразиться, с вытекающими последствиями.

Как только сайт заражается:

  1. Он начинает терять трафик, потому что поисковые системы, браузеры, антивирусы начинают предупреждать пользователей о том, что сайт представляет опасность. Пользователи, получив такое предупреждение, в основном отказываются от перехода на заражённый сайт. Например, после того, как на поисковой выдаче Яндекса появляется предупреждение об опасности сайта, количество переходов с неё на заражённый сайт уменьшается примерно в 100 раз.

  2. Многие известные рекламные системы перестают показывать рекламу такого сайта.

  3. Если у сайта есть постоянные пользователи, то он начинает их терять.

  4. Лишившись посещений, сайт постепенно спускается всё ниже в результатах поиска.

Так смысл злоумышленникам заражать другие сайты. ( если они конечно не конкурены)

или смысл чтобы трафик их (злоумышленников) сайтов повышался, когда подкачка вредоносного кода происходит.

да и к тому же это ж как нужно заразить сайт ( это ж какой нужно код состряпать и умудрится незаметно внедрить в сторонний сайт) , что б через него ОС компьютера заразить.

Смысл обычно в том, чтобы устанавливать на компьютеры посетителей различное вредоносное ПО.

Например,
  1. блокеры, блокирующие компьютер и вымогающие деньги за его разблокировку;
  2. банкеры, ворующие учётные записи платёжных систем, чтобы злоумышленники потом смогли воспользоваться различными схемами перевода денег со счетов пользователей (и организаций, в которых работают пользователи) на свои счета;
  3. различные боты для DDoS, рассылки спама, накрутки посещений с целью поисковой оптимизации, скликивания и подмены рекламы, изменения поисковых выдач и т.д.

Упрощённо, за каждую установку (1)-(3), злоумышленники, получающие деньги от (1)-(3), платят деньги злоумышленникам, заражающим сайты. И все они платят тем, кто разрабатывает вредоносный код.

Технически заражение компьютера пользователя через сайт обычно происходит так.

Кроме того, после взлома сайтов злоумышленники могут размещать на них редиректоры на другие сайты, заплатившие за краденый трафик, или отдельные блоки с таких сайтов.

Так что разработка, распространение и нажива на malware – это вполне серьёзная преступная индустрия.

А вот заказные взломы и заражения для дискредитации при нечестной конкурентной борьбе происходят существенно реже.
Вот на заказ теперь как раз чаще и ломают или ддосят пока сайт не вымрет. Недавно сталкивался с ддосом.Помогло то что дури у сервака много.Или ддос такой был. Как слону дробина ) Скажем так выдержал. Не очень приятно было (
Среди владельцев хрумеров и алсабов. Есть такая услуга убить конкурента 30 баков и его сайт загоняют по линкопомойкам и спам базам.  Ну про вирусы можно писать долго и упорно. Надо вылавливать распространителей и принимать меры.
Если сразу придет письмо о вредном коде, то сервис полезный.
Санкции сразу будут от Яндекса или будет время на исправление? Сам владелец сайта не станет размещать себе вирус. 

Как то странно запустили, в праздничные дни на электронные адреса нескольких веб-сайтов пришло уведомление что на них обнаружен вредоносный код. В письме имеется ссылка на подробную информацию о заражении http://yandex.ru/infected?url=..., однако при переходе по ссылкам 404 ошибка.


Письма пришли по трем разным веб-сайтам, которые располагаются на разных физических серверах, а один даже териториально в другом месте.

 

В Webmaster.Yandex, в разделе "Безопасность" по всем веб-сайтам "Вредоносный код на сайте не обнаружен".

 

Как понимать?

Значит, к моменту, когда вы прочитали уведомление и стали разбираться, веб-серверный вредоносный код уже перестал заражать компьютеры пользователей. Например из-за того, что хозяева вредоносной партнёрской сети перестали платить адверту, заразившему ваши сайты, или разработчикам exploit pack’а, который для этого использовался. Или exploit pack неудачно обновился и сломался.


Ещё возможно (хоть такое и редкость), что вредоносный код научился скрываться от нашей проверки, или что у нашей системы было ложное срабатывание, которое устранили при обновлении баз одного из детекторов.


Если напишите доменные имена сайтов, смогу сказать точнее.


То, что сайты физически на разных серверах, ничему не противоречит: они могут быть на одной и той же уязвимой CMS, или все три их учётные записи могли украсть с рабочей станции, с которой их администрируют. Рекомендуем проверить эту рабочую станцию и веб-серверы на наличие неактивного/скрытого вредоносного кода, как – написано здесь.

Хачатурова Надежда
20 января 2012, 23:47

Александр! Все это как-то странно. Я заметила, что трафик стал снижаться, причем, резко, еще в декабре. Объяснила предновогодней суетой пользователей. Потом заглянула в webmaster.yandex и обнаружила, что две трети страниц исчезли из поиска, потом еще.

У меня свои домыслы на этот счет, поэтому глупых вопросов задавать не стала. 11 января знакомый сообщил, что при заходе на мой блог его вынесло на этот хэппи с порно. Сомневаюсь, что заходил из поисковика. Думала, ошибся во вводе адреса - у меня-то все в порядке было. 

17 января получаю "предупреждение", как Вы его называете, когда на сайте код уже почти месяц. Сохраненная страница датирована 9 января. Еще 8 дней прошло до "предупреждения". Удаляю подозрительный код. Оказывается, не тот. Но перепроверка показывает, что все чисто. Чего теперь ждать дальше? 

Правильно, преступники пользуются тем, что мы халявщики - нам нужно все бесплатно, на антивирус нормальный мало кто сбивается. Страдают в результате владельцы сайтов. 

Мне тоже пришло такое уведомление, хотя сайту то и полгода нет.

Все перепроверил по нескольку раз, скачал по FTP все, прогнал антивирусами, ничего подозрительного не нашли. Запросил проверку программистами, оплатил, тоже результат отрицательный.

Делал проверку и во всевозможных онлайн сервисах, все чисто.

А сайт так и в пометкой, как то это не правильно, как же найти то что Яндексу не нравится? Если уж такие жесткие органичения ставить на коды (скрипты) то уж нужно и показывать что не проходит.

Вы можете зарегистрировать сайт в Яндекс.Вебмастере и посмотреть примеры того, что задетектировал на нём Яндекс.

Так это я сделал, там 4 страницы, я их уже и вдоль и поперек пролазил, ничего не нашел подозрительного.

http://www.zip-sma.ru/

http://www.zip-sma.ru/index.php?cat=13

http://www.zip-sma.ru/index.php?cat=13

http://www.zip-sma.ru/shop_content.php?coID=12

Вот это находит Яндекс, кстати пробовал из бекапа на месяц назад вернуться, все равно при проверке "Опасный код" хотя до этого не было.