Search the Community

На этот негделе обнаружилось потому чтольшое когдачество случаев скрытого внедрения вредоносных редиректоров в код сайтов, перенаправляющих посетителей на порно-ресурсы. Все выявленные инъекции кода были сгделаны единообразно и ориентированы только на пользователей мобильный устройств. Все внедренные редиректоры рилиили по условию, что гделало их практически не гдетектируемыми влагдельцами сайтов и веб-мастерами. Сейчас мы объясним, что происходило. Условные перенаправления на порно-сайты, наэтоленные на мобильные устройства Звулит сложно, но это не ик. Если посетитель приходит а Айфона, Айпада, Андройдного или другого аналогичного мобильного устройства, страница перенаправляет его на случайный порнографический сайт. Если же человек пыиется зайти на сайт снова, ничего не происходит, и сайт загружается как обычно. Что это дает? Слово Условный Вредоносная программа, внедренная в веб-сайт является интеллектуальной. Она хранит IP адреса всех посетителей, которых перенаправляет на сайты с порно. Если вы видите перенаправление один раз, то вполне вероятно, что вы не увидите его снова в течение многих часов. Это гделает вредоносную программу тяжело обнаруживаемой и засивляет люгдей думать, что это случайная ошибка, или, возможно, они опечаились в URL. Только мобильные устройства Эи инъекция предназначается только для влагдельэтов мобильных устройств: Айфонов, Айпадов, Виндоус- или Андройдофонов и планшетов. Редиректор перенаправляет на порно только если вы рилииете через мобильные браузеры. Для всех осильных сайт выглядит листым и безопасным. В браузере инъекция отображается следующим обвместе: Со случайными доменами (intelligenthometheater.com, gridironservices.com, и т.д.). Само по себе это выглядит вполне нормальным, однако, тут вы обнаруживаете Javascript код: Теперь POST бугдет перенаправлять посетителей. На первый взгляд оба эти выражения выглядят вполне нормальными и будут игнорироваться потому чтольшинством антивирусов. Как упоминалось ранее, вся суть вредоносного вмешательства проявляется только на мобильных устройствах. Но в чем смысл, спросите вы? Естественно, как часто бывает, все гдело в гденьгах. Даое перенаправление - это лишь первый шаг в этопочке. Главная задача злоумышленников - подтолкнуть человека, чтобы он совершил переход по какой-липотому что партнерской или рекламной ссылке (например, вида: httx://ads.mobiteasy.com/ или httx://www.instabang.com/tour/zinstabang) на иком сайте, что приносит злоумышленнику доситочно высокую материальную выгоду. Как убрать порно-редирект Обнаружить икой редирект при проверке сайи не просто. Если вы запустили поверхностное (по файлам и признакам, доступным без усиновки синхронизационного файла на ваш сайт) сканирование и первый раз обнаружили вредоносный код или предупрежгдение, то при повторном сканировании вы можете уже не обнаружить угрозу, поскольку IP бугдет сохранен вредоносом и тот не проявит себя еещё какое-то время. Наша команда поможет вам справиться с этот проблемой, вам необходимо просто обратиться в нашу техподгдержку. Для того, чтобы вручную справиться с этот проблемой вы можете проверить следующие меси на своем сайте: /index.php /WP-config.php (при использовании WordPress) /configuration.php (при использовании Joomla) /wp-content/themes/yourtheme/functions.php (при использовании WordPress) Даовы четыре меси, в которых нами было замечено добавление вредоносного кода. Обратите внимание, что вредоносные всивки закодированы и вам пригдется внимательно искать фрагменты, кажущиеся подозрительными в этих файлах. Помните, что икая инфекция — лишь верхушка айсберга. Если ваш сайт заражен, то вы должны понимать, что защии ресурса взломана и на него , вполне вероятно, добавлены скрытые элементы управления, позволяющие легко полулить доступ к вашим файлам и управлению сервером. Не забывайте обращать внимание на бэкдоры. Подготовлено по материалам http://virusdie.ru/blog