Сказка про вражеский мобильный редирект

Сказка про вражеский мобильный редирект

Жил-был коммерческий сайт. У сайта был приличный трафик и высокая конверсия. Хозяин сайта все нарадоваться не мог: щедро подкармливал свое детище сдобными ссылочками и аппетитными текстами. Хозяин сайта был просто счастливчиком: никогда он не сталкивался с хакерскими атаками, никогда ему не приходилось удалять с сайта вредоносные скрипты.

Как-то раз хозяин уехал на дачу: жена заставила сажать огурцы. Все выходные оптимизатор провел без компьютера и очень по своему сайту соскучился. Захотелось ему полюбоваться на дорогие сердцу и кошельку веб-странички, и зашел он на сайт с телефона.

«О, ужас! - воскликнул оптимизатор. Куда пропала главная страничка с анонсом новой рекламной акции о распродаже запчастей для BMW? Может я ошибся при вводе адреса сайта?» Проверил хозяин адресную строку, удалил символы, снова набрал... Нет, все та же картина! Красуется в браузере совсем другой проект – сайт с рекламой виагры.

Добравшись до домашнего компьютера, оптимизатор спешным порядком зашел в интернет-магазин снова. Вот чудо! Все странички на месте…

Успокоился вроде оптимизатор, устроился поудобнее в кресле, фильм собрался смотреть. Фильм смотрит, а сам все на смартфон поглядывает. Решился он на финальную проверку и… Опять оказался он не в интернет-магазине, а на каком-то подозрительном ресурсе, нагло порочащем репутацию фирмы, а может даже заражающем мобильные устройства вирусом. Ужаснулся хозяин магазина: «Ведь то же самое увидят клиенты!»

Разозлился оптимизатор, всю ночь свой магазин от вирусов лечил. А потом еще неделю укреплял защиту сайта от хакерских атак.

А когда он, наконец, вылечил свой сайт, то поделился своим опытом на любимом форуме, где ему друзья-оптимизаторы ценные идеи не раз подкидывали. Вот что он им рассказал.

Его величество, мобильный редирект

Мобильный редирект - очень хитроумный скрипт. Он активизируется в тот момент, когда пользователь переходит на зараженный сайт с мобильного устройства. Большинство владельцев сайтов, просматривают веб-страницы со стационарных компьютеров, и совершенно не подозревают, что их сайт заражен и может угрожать безопасности пользователей. Они находятся в блаженном неведении, что репутация компании и лояльность клиентов медленно движется под откос.

Аудитория мобильного интернета насчитывает миллионы пользователей. Хакеры сколачивают целые состояния, заражая телефоны и планшеты особой разновидностью мобильных банковских троянов. Они могут также перенаправлять мобильных посетителей на разнообразные WAP-партнерки. Любой мало-мальски популярный сайт – это вкусный кусочек пирога, на который могут нацелиться злоумышленники.

Как обнаружить на сайте мобильный редирект?

Чтобы удалить вирус, нужно вычислить место его «проживания». Вредоносный код размещают в самых разных компонентах сайта. Вредоносная вставка может быть как статической (неизменной), так и динамической, измененной и зашифрованной в целях усиления конспирации.

Статичный вредоносный код прячется:

- в шаблонах;

- в скриптах (в JavaScript);

- в конфигурационных файлах сервера;

- в базе данных;

- в подгружающихся 3rd party-компонентах.

Динамический код может быть:

- сложным обфусцированным JavaScript или полиморфным фрагментом, генерируемым на скриптах PHP, Python, PERL;

- динамическим инжектом, выполняемым со стороны инфицированных модулей на сервере.

В первом случае динамический редирект будет подставлять в код для переадресации самые разные домены. Открыли сайта 5 раз – перешли на 5 разных сайтов.

Во втором случае хакер осуществляет взлом выделенного сервера, внедряет свою программку для Apache или nginx. Во время генерации страницы на лету подставляется фрагмент кода на языке JavaScript. И уже этот код взаимодействует с посетителями сайта.

Как же обнаружил редиректы хозяин интернет-магазина запчастей? Он воссоздал тестовое окружение, которое симулировало посещение сайта пользователем с мобильного устройства.

Как он настроил среду тестирования? Вышел в интернет через сеть 3G (еще можно было воспользоваться каналом LTE), чтобы «схватить за руку» мобильный редирект, активизирующийся только для пользователей мобильного интернета. Включил сниффер - сетевой анализатор трафика HTTP Sniffer.

В браузере поле User Agent наш оптимизатор настроил как на мобильном поиске. На одном форуме он узнал, что точно такое же значение поля User Agent должно быть определено и в javascript у Navigator.

А также оптимизатор почистил куки, поскольку знал, что некоторые вирусные коды через куки отслеживают количество показов вредоносного содержания конкретному посетителю. В результате вредоносный код может быть показан только одному пользователю, заходящему с конкретного браузера.

Как только оптимизатор приготовил тестовое окружение, он снял сессию в сниффере, проанализировал список переадресаций на инфицированном веб-сайте и начал искать, какой же код приводил к переходу.

Потом он стал искать обнаруженный фрагмент вредоносного кода в файлах, хранящихся на сервере. Нашел вражеский скрипт и удалил его.

Сказки всегда хорошо кончаются. А вот в жизни все сложнее. Важно помнить, что ликвидация вирусов на сайте – это сражение после атаки, взлома и заражения! Нужно не только найти и удалить вирус, но и установить конкретную причину заражения - обнаружить уязвимость на сервере или на сайте и ликвидировать ее. А потом нужно обязательно поставить защиту от возможного взлома, чтобы в дальнейшем никакие атаки хакеров и вирусы не были страшны.

Автор , на 22 апреля 2015 г. в SEO-сказки.

Расскажите друзьям:


Понравился пост?

Подпишитесь на ежедневное обновление нашего блога прямо сейчас!

без спама, не чаще одного раза в неделю

Комментарии

Комментирование отключено.

Услуги
Спецпредложения

Подписка на блог

без спама, не чаще одного раза в неделю

Кто победит?

Facebook

VKontakte