Цепочки заражения

Чтобы помочь вебмастерам быстрее находить и удалять вредоносный код, Яндекс показывает информацию о цепочках хостов, через которые при просмотре страниц заражённого сайта в браузер пользователя загружается вредоносный код.

Эта информация позволяет определить, через какой блок на странице зараженного сайта загружается вредоносный код.

Например, если цепочка имеет вид:

то чтобы сайт перестал распространять вредоносный код, нужно выполнить одно из действий:

  • удалить часть веб-серверной страницы или скрипта, из-за которых на странице infected-2.htm появляется тег (<script>, <iframe>), загружающий блок из marthamio.cu.cc или выполняющий редирект на этот сайт;

  • попросить владельцев marthamio.cu.cc, чтобы этот сайт перестал выдавать блоки, которые загружают блоки с groogle.cu.cc/?said=3333&q=facebook;

  • устранить распространение вредоносного кода с ресурса aroymac.cu.cc/main.php?page=362ae50582a6bb40.

Веб-серверный вредоносный код, который записывает на страницу тег, выполняющий загрузку блока с marthamio.cu.cc или редирект на него, может быть обфусцирован:

  • умышленно сделан непонятным или нечитаемым – ищите части скриптов, которые записывали не вы, особенно лишённые структуры и отступов;

  • закодирован – такие элементы можно найти по строкам бессмысленных символов и использованию функций eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13, assert, create_function, preg_replace;

  • спрятан в виде конструкции в .htaccess и других конфигурационных файлах веб-сервера, интерпретатора скриптового языка, шаблонов и настроек CMS.

  • динамически подгружается со стороннего веб-сервера (php-функции file_get_contents, curl_exec и т.п.).

После удаления веб-серверный вредоносный код может снова появиться из-за:

  • наличия веб-серверного бэкдора;

  • компрометации паролей веб-сервера (FTP, SSH), админ-панели хостинга или CMS;

  • взлома сервера с помощью изменения пароля пользователя root или добавления пользователей с необходимыми полномочиями;

  • наличия на компьютере вебмастера backdoor'а или бота, с помощью которого можно удалённо, от имени вебмастера, отдавать веб-серверу команды и изменять страницы сайта.

Веб-браузерный вредоносный код может быть обфусцирован похожими методами. Могут использоваться конструкции eval, document.write, document.location, document.URL, window.location, window.navigate, переопределение src элементов DOM, загрузка объектов с помощью тегов <object>, <embed>, создания ActiveX, изменение кода страницы с помощью загруженных объектов. Кроме того, обращайте внимание на длинные скрипты и излишние операции со строками, например переприсвоение или объединение нескольких строк в одну.