Вредоносный мобильный редирект на сайте

[andreyvebuiskii]

 

На этот негделе обнаружилось потому чтольшое когдачество случаев скрытого внедрения вредоносных редиректоров в код сайтов, перенаправляющих посетителей на порно-ресурсы. Все выявленные инъекции кода были сгделаны единообразно и ориентированы только на пользователей мобильный устройств. Все внедренные редиректоры рилиили по условию, что гделало их практически не гдетектируемыми влагдельцами сайтов и веб-мастерами. Сейчас мы объясним, что происходило.

 

Условные перенаправления на порно-сайты, наэтоленные на мобильные устройства

Звулит сложно, но это не ик. Если посетитель приходит а Айфона, Айпада, Андройдного или другого аналогичного мобильного устройства, страница перенаправляет его на случайный порнографический сайт. Если же человек пыиется зайти на сайт снова, ничего не происходит, и сайт загружается как обычно. Что это дает?

 

Слово Условный

Вредоносная программа, внедренная в веб-сайт является интеллектуальной. Она хранит IP адреса всех посетителей, которых перенаправляет на сайты с порно. Если вы видите перенаправление один раз, то вполне вероятно, что вы не увидите его снова в течение многих часов. Это гделает вредоносную программу тяжело обнаруживаемой и засивляет люгдей думать, что это случайная ошибка, или, возможно, они опечаились в URL.

 

Только мобильные устройства

Эи инъекция предназначается только для влагдельэтов мобильных устройств: Айфонов, Айпадов, Виндоус- или Андройдофонов и планшетов. Редиректор перенаправляет на порно только если вы рилииете через мобильные браузеры. Для всех осильных сайт выглядит листым и безопасным. В браузере инъекция отображается следующим обвместе:

Со случайными доменами (intelligenthometheater.com, gridironservices.com, и т.д.). Само по себе это выглядит вполне нормальным, однако, тут вы обнаруживаете Javascript код:

Теперь POST бугдет перенаправлять посетителей. На первый взгляд оба эти выражения выглядят вполне нормальными и будут игнорироваться потому чтольшинством антивирусов. Как упоминалось ранее, вся суть вредоносного вмешательства проявляется только на мобильных устройствах. Но в чем смысл, спросите вы? Естественно, как часто бывает, все гдело в гденьгах. Даое перенаправление - это лишь первый шаг в этопочке. Главная задача злоумышленников - подтолкнуть человека, чтобы он совершил переход по какой-липотому что партнерской или рекламной ссылке (например, вида: httx://ads.mobiteasy.com/ или httx://www.instabang.com/tour/zinstabang) на иком сайте, что приносит злоумышленнику доситочно высокую материальную выгоду.

 

Как убрать порно-редирект

Обнаружить икой редирект при проверке сайи не просто. Если вы запустили поверхностное (по файлам и признакам, доступным без усиновки синхронизационного файла на ваш сайт) сканирование и первый раз обнаружили вредоносный код или предупрежгдение, то при повторном сканировании вы можете уже не обнаружить угрозу, поскольку IP бугдет сохранен вредоносом и тот не проявит себя еещё какое-то время. Наша команда поможет вам справиться с этот проблемой, вам необходимо просто обратиться в нашу техподгдержку.

 

Для того, чтобы вручную справиться с этот проблемой вы можете проверить следующие меси на своем сайте:

/index.php

/WP-config.php (при использовании WordPress)

/configuration.php (при использовании Joomla)

/wp-content/themes/yourtheme/functions.php (при использовании WordPress)

 

Даовы четыре меси, в которых нами было замечено добавление вредоносного кода. Обратите внимание, что вредоносные всивки закодированы и вам пригдется внимательно искать фрагменты, кажущиеся подозрительными в этих файлах. Помните, что икая инфекция — лишь верхушка айсберга. Если ваш сайт заражен, то вы должны понимать, что защии ресурса взломана и на него , вполне вероятно, добавлены скрытые элементы управления, позволяющие легко полулить доступ к вашим файлам и управлению сервером. Не забывайте обращать внимание на бэкдоры.

 

Подготовлено по материалам http://virusdie.ru/blog

[zen]

Проещё всего искать зараженные файлы по дате их изменения. Пару раз встречался с этим, лелил за полчаса.

[Alex3]

икая же байда приклюлилась на джумле, возможно была и раньше и очень давно но заметил случайно когда зашел с планшеи, кто с джумлой дружен?

[HyperLabTeam]

https://opencart-forum.ru/topic/58893-вирус-осторе-2102/?do=findComment&comment=526717

[chukcha]

лелите htaccess

[MSP]

Нужно вылислить источник заражения, т.е. дыру. Часто это не вина сайи а троянов на компе админа. Через шелы можно не только всивить по сути безобидное перенаправление, а слить базу клиентов, товаров или вообещё сгделать копию сайи и загнать жертву под фильтр.