Видно, что редирект происходит, если:

1. При работе с сервером возникли ошибки (сервер получил HTTP-заголовок, который не может обработать; возникла ошибка авторизации; пользователю запрещён доступ к определенным директориям или файлам; произошло обращение к несуществующей странице; произошла внутренняя ошибка сервера). В этом случае заражённый веб-сервер выдаёт пользователю не стандартный ответ, отражающий суть ошибки, а редирект на  h**p://ristoncharge.in/meeting/index.php.
2. Если на сервере установлен модуль Apache mod_rewrite и пользователь перешёл на заражённый сайт с доменов известных поисковых машин и социальных сетей, название которых содержит: google., ask., yahoo., baidu., youtube., wikipedia., qq., excite., altavista., msn., netscape., aol., hotbot., goto., infoseek., mamma., alltheweb., lycos., search., metacrawler., bing., dogpile., facebook., twitter., blog., live., myspace., mail., yandex., rambler., ya., aport., linkedin., flickr.

Изменения в .htaccess тут же применяются ко всему контенту в директории, в которой он находится, а также в её поддиректориях, и могут одновременно сделать вредоносными все сайты, размещённые на веб-сервере.

Чтобы затруднить обнаружение вредоносного кода веб-мастером, в начало файла .htaccess записывается большое количество пустых строк и символов табуляции:

Чтобы поместить на веб-сервер скрипт-бэкдор и с его помощью записать в .htaccess приведённые выше вредоносные правила, злоумышленники используют уязвимости CMS. В проанализированном примере заражения использовались скрипты с именем вида tmp_2791826179573679.php (где 2791826179573679 — случайный набор цифр), содержащие обфусцированный вредоносный код вида:

Этот скрипт позволяет злоумышленникам не только изменять .htaccess, но и выполнять другие вредоносные действия.

В частности, в среднем раз в сутки он получает с IP-адресов пользователей донецкого провайдера didan.org (например, 31.41.15.4, 31.41.8.59, 31.41.10.183, 31.41.10.157) команды на:

• изменение файлов .htaccess;
• доступ к файлам /etc/httpd/conf/httpd.conf и /etc/passwd;
• поиск и выборочное внедрение в php-файлы бэкдоров и редиректоров, причём таких, чтобы заражённые партнёрские сети, на вредоносные страницы которых производится редирект, могли идентифицировать злоумышленника и выплатить ему гонорар.

Ни один из антивирусов, используемых на VirusTotal.com , на 11.11.2011 не детектировал в таком php-скрипте вредоносный код.

Более того, наличие браузерного вредоносного кода из Blackhole Exploit Pack на вредоносных страницах, на которые происходит редирект, на 11.11.2011 детектировали только 3 антивируса из 43.

Ответ

Рекомендации по обнаружению и удалению:

1. На файлы, находящиеся на веб-сервере, нужно устанавливать такие полномочия, чтобы серверные скрипты не могли изменять их без необходимости.
2. Следует обращать внимание на php-скрипты со странными именами, а также на скрипты, размещенные в неподходящих местах – например, в каталоге с картинками.
3. Нужно регулярно проверять содержимое страниц сайта на наличие вредоносного кода при переходе с поисковых выдач.
4. Увидев пустой файл .htaccess, следует удостовериться, что его размер – 0 байт.
5. В целом, рекомендации для вебмастеров аналогичны тем, которые приведены здесь.

source

Страницы: 1 2

Теги: htaccess, безопасность, вирус, редирект, сайт.