Тип вредоносного ПО: внедрение с помощью запроса SQL

Что значит, если в Google Search Console для страниц отображается статус "Внедрение с помощью запроса SQL"?

Этот тип заражения означает, что, вероятно, база данных сайта была взломана и хакер автоматически добавил вредоносный код в каждую ее запись. Теперь этот код добавляется на каждую страницу с информацией, загружаемую сервером из базы данных, и может нанести вред компьютеру посетителя.

Подробнее о том, как оценить масштаб внедрения вредоносного ПО...

Как выявить заражение такого типа?

Во-первых, не используйте браузер для просмотра зараженных страниц вашего сайта. Поступая так, вы подвергаете свой компьютер риску, поскольку вредоносное ПО зачастую использует именно уязвимости браузеров.

Чтобы проверять события, попробуйте отправлять запросы HTTP с помощью cURL или Wget (например, для загрузки страницы). Эти бесплатные инструменты позволяют диагностировать переадресацию и указывать любые URL перехода или агенты пользователя. Хакеры зачастую целенаправленно атакуют конкретных людей, определяя их по используемым агентам пользователя и URL перехода. Это позволяет злоумышленникам избежать обнаружения владельцами сайтов или антивирусным ПО. Вы сможете использовать указанные выше инструменты только в том случае, если сайт в рабочем состоянии.

Пример запроса:
$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <your-url>
С указанием URL:
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

Попробуйте найти в полученном с помощью Wget или cURL контенте слова, которые мог добавить хакер, например iframe или eval.

Затем войдите на сервер базы данных или откройте ее с помощью такого инструмента, как phpMyAdmin Если вы использовали Wget или cURL, попробуйте соотнести выявленные этими программами повреждения исходного кода страницы с информацией в базе данных. Например, если вы заметили, что на вашу страницу добавлено подозрительное окно iframe, выполните поиск его кода с помощью SQL-запроса. Пример запроса:

SELECT * FROM blog_posts WHERE post_text LIKE '%>iframe%'; 

Проверьте журнал базы данных и файлы с ошибками на предмет подозрительных действий, например команд SQL, которые не связаны с обычными действиями пользователя или ошибками.

Как удалить с сайта вредоносное ПО, использующее запросы SQL?

Завершив подготовку к очистке сайта, вы можете исправить каждую поврежденную запись базы данных или восстановить базу из последней надежной резервной копии.

Обратите внимание, что удаление внедренного хакером кода не исправляет исходную уязвимость, которая позволила взломать ваш сайт. Если не устранить ее, злоумышленники могут повторить атаку. Подробнее о том, как восстановить взломанный сайт...

Была ли эта статья полезна?
Как можно улучшить эту статью?