Условия для срабатывания скрытых редиректов и способы их обнаружения

Алгоритм срабатывания современных скрытых редиректов на сайте несколько сложнее, чем просто “перенаправить посетителя с мобильным браузером на адрес http://…”. Условия, при которых редирект себя проявит, сложны и витиеваты. Все проверки внутри кода направлены не столько на сегментацию посетителей и отсеивание ненужной аудитории, сколько на маскировку и увеличение “срока жизни” вредоносного кода на сайте: чем позже его заметят, тем больше посетителей будет перенаправлено с зараженного сайта.

Рассмотрим достаточно свежий образец вредоносного редиректа и условия, при которых он наступает:

Читать далее


Выбирайте инструменты правильно

В настоящий момент существует достаточно большое число «поделок», которые принято считать авторитетными сервисами для проверки сайтов на вирусы. Все они являются или

  • агрегаторами других сервисов проверки сайтов на вирусы (то есть не имеют своей системы детектирования угроз, а просто собирают данные с других сервисов), или
  • настолько просты в реализации, что достоверность результата гарантировать не могут, поэтому считают опасным половину интернета, пугая владельцев сайта несуществующими вирусами на сайте, в то время как действительно зараженные сайты считают абсолютно безопасными.

Попробуем проверить сайты на паре популярных сервисов.

Потестируем антивирусные сервисы, к примеру, на заведомо незавирусованных сайтах kaspersky.ru и ozon.ru, в безопасности которых не приходится сомневаться. Что нам покажут эти сервисы?

Читать далее


Скрытый мобильный редирект (wap-click) в Chaser.ru

Продолжаем знакомить читателей с виджетами, которые угрожают безопасности сайта или посетителей. Сегодня речь пойдет о сервисе обратного звонка Chaser.ru. Сервис предлагает вебмастеру установить виджет на коммерческий ресурс для повышения конверсии.

Пару дней назад к нам обратился клиент с жалобой на скрытый мобильный редирект. По его словам, на сайте происходило перенаправление посетителей, приходящих с мобильных устройств, на сервис платных подписок (коротко — wapclick-редирект). Как это обычно бывает, перенаправление происходит один раз для мобильного устройства в сутки. И только, если посетитель зашел через мобильный интернет, не через WIFI.

UPD 27 Марта 18:30 — разработчик сервиса обнаружил взлом сервиса и устранил проблему:

Читать далее


Сканер AI-BOLIT + ReScan.Pro = комплексный анализ сайта

В комании “Ревизиум” разработаны два уникальных сканера, которые позволяют выявить вирусы на сайте и другие проблемы безопасности.

Это сканер файлов AI-BOLIT и веб-сканер ReScan.Pro.

rescan_pro_latest_key

Многие пользователи данных продуктов не до конца понимают процедуру диагностики безопасности сайта и разницу между сканерами, и ошибочно начинают сравнивать их эффективность. В данной заметке мы расскажем, как правильно проверять сайт на взлом и заражение, чем сканеры отличаются друг от друга и почему сканеры необходимо использовать совместно.

Читать далее


Вирус на сайте и Google Safe Browsing API

Поисковая система Google имеет встроенный сканер сайтов для того, чтобы определять зараженные сайты, фишинговые страницы и другие проблемы безопасности, которые могут вредить пользователям или ухудшать качество поиска. Поисковая система пользуется собранными данными для формирования поисковой выдачи и предупреждения пользователей об опасных сайтах. Кроме того, поисковая система предоставляет возможность посмотреть статус сайта стороннему сервису или приложению через специальный интерфейс, который называются Google Safe Browsing API и Safe Browsing Lookup API. Используя данный интерфейс, у приложения или сервиса появляется возможность проверить сайт на нахождение в «черном списке» («блэклисте») поисковой системы Google, а также определить причину данной блокировки.

safebrowsing_logo_vert

Google Safe Browsing API используется в браузерах Google Chrome, Mozilla Firefox и Safari. Поэтому при попадании сайта в «черный список» Google сайт начинает открываться в этих браузерах с предупреждением (та самая «красная страница»). На странице предупреждения выводится информация о причине ограничения доступа.

Среди статусов могут быть следующие:

Читать далее


«Шпион» в Magento: вирусный код в магазине на базе CMS Magento

Если ваш сайт работает на базе CMS Magento и вы не устанавливаете патчи безопасности сразу, как только они анонсируются на сайте производителя, то скорее всего ваш сайт взломан и заражен.

magento_logo

Наиболее популярный в последнее время вариант использования взломанного сайта на Magento – это установка скрипта-шпиона, который отслеживает формы и отсылает вводимые в них значения хакеру. Так хакер получает доступ к данным банковских карт, с которых клиенты оплачивают покупки в магазине, а также персональные данные владельца карты. То есть все те значения, которые покупатель вводит на стадии оформления заказа.

Читать далее


Веб-угрозы за сентябрь 2016 по статистике веб-сканера ReScan.pro

Согласно статистике веб-сканера ReScan.pro, через который еженедельно проходит несколько тысяч веб-ресурсов, средние показатели заражений сайтов в сентябре держались на уровне 31% (+8%). То есть примерно треть проверяемых сайтов содержит код, который угрожает или безопасности посетителей, или техническим показателям сайта.

Статистика_веб-сканера_ReScan_pro 2

Читать далее


«Кот в мешке»: рекламные агрегаторы и RTB

В поисках эффективной монетизации веб-мастера часто смотрят в сторону установки удобных агрегаторов рекламных площадок, которые позволяют выбрать различные рекламные форматы: тизерные блоки, попандеры, мобильные редиректы; гибко настроить таргетинг и начать зарабатывать на своем веб-проекте. По сравнению со стандартной контекстной рекламой от Google и Яндекс или «теплыми и ламповыми» баннерами данный формат является более прибыльным, а следовательно и более привлекательным для владельцев веб-проектов. Но не все веб-мастера понимают, какому риску они подвергают свой сайт, размещая код некоторых рекламных сетей.

Читать далее


Веб-угрозы за август 2016 по статистике веб-сканера ReScan.pro

Согласно статистике веб-сканера ReScan.pro, через который еженедельно проходит несколько тысяч веб-ресурсов, средние показатели заражений сайтов в августе держались на уровне 23%. То есть примерно пятая часть проверяемых сайтов содержит код, который угрожает или безопасности посетителей, или техническим показателям сайта.

Статистика_веб-сканера_ReScan_pro 2

В среднем показатели по проблемным сайтам следующие:

  • 15% проверямых сайтов содержали вирусный код в HTML страницах
  • 6% проверяемых сайтов содержали вирусы в загружаемых javascript файлах
  • 9% сайтов перенаправляли посетителей на сторонние ресурсы (рекламные, мошеннические и вредоносные)
  • 5% сайтов находилось в блек-листе сервисов VirusTotal
  • 4% сайтов были под санкциями Яндекса
  • 3% сайтов были под санкциями Google

Читать далее


Редирект на фишинговую страницу с адресом /sberbank/

Ежедневно сканер ReScan.pro фиксирует несколько взломанных сайтов, которые выполняют редирект на мошенническую страницу, собирающую данные банковских карт под предлогом проведения розыгрыша призов (Акция «Встречаем лето с подарками»). Мошенническая страница в своем адресе содержит фрагмент /sberbank/. Обнаруженные вредоносные инжекты на зараженном сайте маркируются идентификаторами вирусных сигнатур CMW-JS-90149-mlw, CMW-JS-90218-js.redirect.inj, blacklisted.

rescan

priz0

В данной фишинговой схеме присутствуют два взломанных сайта.

Читать далее