Тип вредоносного ПО: изменение конфигурации сервера

Что значит, если в Google Search Console для URL отображается статус "Конфигурация сервера"?

Это означает, что кто-то взломал ваш сайт и перенаправляет посетителей на ресурсы с вредоносным ПО. Обычно хакер для этого изменяет файлы конфигурации вашего сервера, с помощью которых администраторы настраивают переадресацию для отдельных страниц или каталогов на сайте. Например, на сервере Apache такие настройки хранятся в файлах HTACCESS и HTTPD.CONF.

Подробнее о том, как оценить масштаб внедрения вредоносного ПО...

Как проверить переадресацию посетителей при заражении с изменением конфигурации сервера?

Во-первых, не используйте браузер для просмотра зараженных страниц вашего сайта. Поступая так, вы подвергаете свой компьютер риску, поскольку вредоносное ПО зачастую использует именно уязвимости браузеров.

Чтобы проверять события, попробуйте отправлять запросы HTTP с помощью cURL или Wget (например, для загрузки страницы). Эти бесплатные инструменты позволяют диагностировать переадресацию и указывать любые URL перехода или агенты пользователя. Хакеры зачастую целенаправленно атакуют конкретных людей, определяя их по используемым агентам пользователя и URL перехода. Это позволяет злоумышленникам избежать обнаружения владельцами сайтов или антивирусным ПО. Вы сможете использовать указанные выше инструменты только в том случае, если сайт в рабочем состоянии. Пример запроса:

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" </your-infected-url>
С указанием URL:
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
Ниже указаны заголовки страниц, которые могут говорить о том, что был изменен файл конфигурации сервера.
…
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<malware-attack-site>/index.html
< Content-Length: 253
...

 

Как устранить заражение сайта с изменением конфигурации сервера?

Войдите на сервер, используя безопасную оболочку или терминальный доступ (сайт при этом может быть отключен), и проверьте файлы конфигурации сервер. Злоумышленники могли изменить несколько из них. Проверьте, нет ли в них подозрительных директив, таких как переадресация на неизвестные вредоносные сайты. Пример с файлом HTACCESS:

RewriteEngine On 
RewriteCond %{HTTP_REFERER} .*google.* 
RewriteRule ^third-page.html($|/) http://<malware-site>/index.html [R=301]
Что ещё мы рекомендуем предпри:
  • Обязательно проверьте весь файл настроек сервера, поскольку хакер мог добавить свой код в конце, чтобы снизить вероятность обнаружения.
  • Проверьте, не создал ли хакер запланированные задачи cron, чтобы постоянно обновлять файл HTACCESS. Они могут храниться в нескольких местах, например различных папках /etc/cron* (в том числе /etc/crontab) и /var/spool/cron.

Завершив подготовку к восстановлению сайта, вы можете заменить файлы конфигурации сервера проверенными резервными или удалить добавленный хакером код из существующих. При необходимости перезагрузите веб-сервер – в некоторых случаях новые файлы конфигурации начинают использоваться только после этого.

Обратите внимание, что отмена несанкционированных изменений конфигурации сервера не исправляет исходную уязвимость, которая позволила взломать ваш сайт. Если ее не устранить, атака может повториться. Подробнее об удалении с сайта вредоносного ПО различных типов...

Была ли эта статья полезна?
Как можно улучшить эту статью?