Как обеспечить безопасность сайта с помощью Яндекс

Здравствуйте, читатели блога Сайт с нуля.

Если сайт зарегистрирован в Яндекс.Вебмастере, то сервис отправляет вам автоматические сообщения каждый раз, когда антивирус поисковика обнаруживает на сайте вредоносный код. В сообщение включается ссылка на страницу с подробной информацией о заражении. Также на эту страницу можно попасть, нажав на красный значок , которым зараженный сайт помечается в списке Яндекс.Вебмастера.

Среди данных о заражении вы найдете примеры зараженных страниц, дату их проверки и вынесенные вердикты. Когда это возможно, на странице также отображаются цепочки заражения — последовательность хостов, через которые ваша страница загружает вредоносный код в браузер пользователя.

Рекомендуем начать лечение сайта с анализа этой информации. Перейдите по ссылке в названии вердикта, чтобы увидеть его описание и примерный вид соответствующего кода клиентского кода (исполняемого в браузере, а не на сервере).

Цепочки заражения

Чтобы помочь вебмастерам быстрее находить и удалять вредоносный код, Яндекс показывает информацию о цепочках хостов, через которые при просмотре страниц заражённого сайта в браузер пользователя загружается вредоносный код.

Эта информация позволяет определить, через какой блок на странице зараженного сайта загружается вредоносный код.

Например, если цепочка имеет вид:

то чтобы сайт перестал распространять вредоносный код, нужно выполнить одно из действий:

  • удалить часть веб-серверной страницы или скрипта, из-за которых на странице infected-2.htmпоявляется тег (<script>, <iframe>), загружающий блок из marthamio.cu.cc или выполняющий редирект на этот сайт;
  • попросить владельцев marthamio.cu.cc, чтобы этот сайт перестал выдавать блоки, которые загружают блоки с groogle.cu.cc/?said=3333&q=facebook;
  • устранить распространение вредоносного кода с ресурса aroymac.cu.cc/main.php?page=362ae50582a6bb40.

Веб-серверный вредоносный код, который записывает на страницу тег, выполняющий загрузку блока сmarthamio.cu.cc или редирект на него, может быть обфусцирован:

  • умышленно сделан непонятным или нечитаемым – ищите части скриптов, которые записывали не вы, особенно лишённые структуры и отступов;
  • закодирован – такие элементы можно найти по строкам бессмысленных символов и использованию функций eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13, assert, create_function, preg_replace;
  • спрятан в виде конструкции в .htaccess и других конфигурационных файлах веб-сервера, интерпретатора скриптового языка, шаблонов и настроек CMS.
  • динамически подгружается со стороннего веб-сервера (php-функции file_get_contents, curl_execи т.п.).

После удаления веб-серверный вредоносный код может снова появиться из-за:

  • наличия веб-серверного бэкдора;
  • компрометации паролей веб-сервера (FTP, SSH), админ-панели хостинга или CMS;
  • взлома сервера с помощью изменения пароля пользователя root или добавления пользователей с необходимыми полномочиями;
  • наличия на компьютере вебмастера backdoor’а или бота, с помощью которого можно удалённо, от имени вебмастера, отдавать веб-серверу команды и изменять страницы сайта.

Веб-браузерный вредоносный код может быть обфусцирован похожими методами. Могут использоваться конструкции eval, document.write, document.location, document.URL, window.location, window.navigate, переопределение src элементов DOM, загрузка объектов с помощью тегов <object>,<embed>, создания ActiveX, изменение кода страницы с помощью загруженных объектов. Кроме того, обращайте внимание на длинные скрипты и излишние операции со строками, например переприсвоение или объединение нескольких строк в одну.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

  bigmir)net TOP 100  - .  E-mail: sitesnulyaru@gmail.com