Когда безопасность сайта зависит не только от вебмастера

Команда безопасного поиска Яндекса поведала об очень любопытном и в то же время очень опасном методе распространения вредоносного кода с заражённых веб-сайтов.

Впервые вредоносный код был зафиксирован конце 2010 года, когда антивирусная система Яндекса обнаружила редирект на вредоносный ресурс вида hxxp://nrho.org.in/index.php?src=74&surl=victim-site.ru&sport=80&suri=/.

Вредоносный код выдается не всегда, а только при соблюдении некоторых условий, ввиду чего получить его для анализа довольно сложно. Однако удалось установить, что, судя по всему, заражение происходит на уровне хостинговой платформы. Иными словами, вебмастер, контролирующий только директорию своего сайта, не может его устранить.

Домен 3-го уровня (nrho для nrho.org.in), на который происходит редирект, представляет собой случайный набор алфавитных символов и меняется не реже одного раза в день.

Редирект имеет GET-параметры:

• src – идентификатор источника редиректа, связанный с ip-адресом сайта-жертвы;
• surl – доменное имя сайта-жертвы;
• sport – используемый порт сайта-жертвы;
• suri – путь к скрипту на сайте-жертве, с которого был осуществлен редирект.

Для того чтобы сайт на зараженном сервере выдал вредоносный редирект, необходимо выполнение сразу всех приведённых ниже условий:

1. Уникальный ip-адрес (редирект не работает при повторном визите на зараженный сайт).
2. Переход на зараженный ресурс со страницы поисковой выдачи.
3. Браузер Internet Explorer ниже 8 версии.
4. Некоторые дополнительные условия. Например, заданный или случайный временной промежуток.

Подробности заражения – на официальном блоге команды Безопасного поиска Яндекса.

В случае обнаружения заражения Яндекс рекомендует:

1. Обратиться в Яндекс.Вебмастер за консультацией;
2. Попытаться воспроизвести заражение в безопасных условиях (при использовании виртуальной среды ), следуя указаниям из статьи;
3. Написать в техподдержку своего провайдера с подробным описанием проблемы.