Главная | Пиротехника

Наша совместная команда Banwar.org

Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Зараження сайту через інфікований плагін браузера

За останні кілька місяців до нас все частіше звертаються клієнти з сайтами, у яких був сторонній javascript код в базі даних.

За останні кілька місяців до нас все частіше звертаються клієнти з сайтами, у яких був сторонній javascript код в базі даних

Виглядає цей інжект завжди однаково: до "свіжим" записам у таблиці сторінок або постів приклеюється досить "жирний" фрагмент обфусцірованного javascript з iframe, який для користувача сайту підвантажує порцію реклами, зазвичай у вигляді спливаючих банерів з пропозицією познайомитися, пограти в казино і т. п. Впроваджений код був на сайтах, які працюють на різних CMS: wordpress, joomla, форумні движки, DLE і ін. Це класичний Adware.

Це класичний Adware

Ні аналіз запитів в логах на підозру в експлуатації SQL ін'єкцій, ні сканування файлів на акаунті хостингу на предмет злому і наявності хакерських скриптів не давали позитивного результату. Сайти завжди були чисті. За журналу веб-сервера також не було видно атак або несанкціонованих операцій, за допомогою яких можна було б впровадити шкідливий код.

Ми пошукали згадки даного коду в пошуковику і виявили більше сотні тисяч сайтів, на яких він був проіндексований.

В результаті збору і аналізу інформації по зараженим клієнтським сайтам, було виявлено, що причиною даного коду є заражений браузер у власника сайту або його адміністратора. Адміністратор нічого не підозрюючи розміщував нові пости, при цьому до POST запитам форми приклеювався «шкідливий». Наприклад, запит збереження публікації в Joomla з зараженого комп'ютера виглядав так:

Як можна помітити, це дуже ефективний спосіб поширення "малварі". Сумно те, що фактично сам власник сайту або його контент-менеджер заражає сайт. При цьому багато знаходили цей код в базі (число вставок там зазвичай більше сотні), вичищали його і через деякий час база знову заповнювалася обфусцірованним javascript.

Проблема вирішується за допомогою лікування комп'ютера комерційним антивірусом, видалення зараженого плагіна або перевстановлення браузера. У одного клієнта в браузері Chrome було встановлено легітимне розширення, в якому був "шкідливий":

У одного клієнта в браузері Chrome було встановлено легітимне розширення, в якому був шкідливий:

Після видалення розширення код перестав додаватися в базу. Інший клієнт вилікував свій Firefox антивірусом Касперського, і також після цього код базі більше не з'являвся:

Інший клієнт вилікував свій Firefox антивірусом Касперського, і також після цього код базі більше не з'являвся:

Якщо у вас подібне зараження і вам буде потрібна допомога у видаленні зараження в базі, звертайтеся до наших фахівців .

Новости

Banwar.org
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.