Блог о безопасности

Изменения в правилах предупреждения о заражённых страницах

28 июля 2011, 17:42

В последнее время мы стали чаще встречаться со случаями взлома и заражения сайтов, предоставляющих в пользование свои поддомены. При этом если сайт на домене заражается, то в большинстве случаев страницы сайтов, расположенных на поддоменах, тоже начинают распространять вредоносный код.

Чтобы более точно и оперативно предупреждать пользователей о вредоносном коде на страницах таких сайтов, теперь Яндекс считает страницы заражёнными по следующим правилам:


  1. Если сайт на домене заражён – все сайты на его поддоменах автоматически считаются заражёнными.

  2. Если сайт на поддомене заражён, сайты на домене и других поддоменах этого домена считаются заражёнными, только если на них тоже найдены страницы, распространяющие вредоносный код.

  3. Если организованный в виде отдельных директорий хостинг, блогохостинг, хостинг файлов или автоматический редиректор сокращённых ссылок содержит заражённые объекты, то заражённым может считаться как весь сайт, так и отдельные директории или даже отдельные страницы. Что именно будет считаться заражённым, зависит от расположения объектов с вредоносным кодом, истории предыдущих заражений, общего количества страниц на сайте и других факторов.


Если есть признаки массового заражения сайтов на поддоменах или объектов в папках, прогрессирующего заражения или «бегущей волны», то заражёнными считаются все страницы сайта во всех директориях и на всех его поддоменах.


Схематически эти правила можно представить так:

16 комментариев
Подписаться на комментарии к посту

это про gov.ru?

Нет, эти вещи никак не связанны между собой. Здесь речь идёт только о проверке страниц на наличие вредоносного кода.

С такими темпами долго будете отлавливать вирусные сайты. К тому же сейчас начались массовые взломы популярного движка для форумов Vbulletin.  Ломают и пихают такую гадость. Что не только сайт заражаеться А и полностью все акаунты на том сервере. У некоторых вирусы даже в комп лезут. Ну а если за компом блондинистая блондинка или тупой как дрова админ. То распространение идёт далее по цепочке. И отследить всю цепь не возможно ни как и ни какими средствами.

Спасибо, что подсказали про Vbulletin – проверим.

Начало взлома. Поиск у вас или в Гугле. Фраза Powered by vBulletin™ Version 4.1.х Далее сразу летит на этот сайт эксплоит. И через социальные группы вытаскивают pass админа и salt. Далее пишут код или заливают шелл и по цепочке ломают сайты. Вот тема_http://j0hnx3r.org/?p=818_ на уязвимость версий. Сейчас уже больше. к сожалению (

Ну эти правила как-то говорят о бессилиии Яндекса проверять заражения(( Вы бы еще внедрили правило: если сайт на домене .ru заражен, то все поддомены заражены.....

Эти правила просто учитывают эмпирически найденную закономерность: если вредоносный код распространяется со страниц домена, то очень часто распространяется и со страниц его поддоменов.

Вот копия шаблона с вписаными скриптами._http://paste.org.ru/?c586k7_

Это с форума одного из четырёх.Которые я чистил по просьбе админов. И у всех ломали с одного ИП

А не заразна?

Эти правила рубят незараженные сайты, получается, что поиск влияет на их функциональность - у меня пример, когда поддомен и домен расположены на разных хостингах, у них разные движки, а сайт с поддомена выводится с пометкой "угрожает безопасности вашего компьютера" якобы из-за заражения на домене.
Если считаете, что сайты на поддоменах не заражены – напишите, пожалуйста, на safesearch@yandex-team.ru.

Если сайт на домене распространяет вредоносный код, то скорее всего сайт на поддомене тоже скоро начнёт, потому что у злоумышленников есть данные об учётной записи для администрирования сайта на поддомене и/или возможность переключить поддомен на другой сайт, вредоносный. И это мало зависит от хостинга.

Хоть лучший способ – всё-таки сделать, чтобы сайт на домене перестал распространять вредоносный код.

Яндекс.Вебмастер пишет, что вредоносный код на сайте не обнаружен, а сайт якобы из-за домена выводится с пометкой. Службы поддержки написала - обратитесь к администрации домена, но у них сайт по этому адресу давно уже не работает

Если хоть 1 файл на поддомене заражен, то вся доменная зона и даже root domain будут считаться зараженными..."?

Если вредоносный код обнаружен на 1 странице поддомена, при этом нет признаков массового заражения других поддоменов и вредоносного кода на страницах домена - заражённым будет считаться только поддомен.

Опять пошли запросы с закрытых сайтов со скриптами
_http://paste.org.ru/?8cqgnp_