Специалисты вирусной лаборатории «Доктор Веб» обнаружили вредоносную копию сайта федеральной службы судебных приставов (ФССП) России. Хакеры используют сайт-подделку для заражения пользователей троянцем Trojan.DownLoader28.58809.

! Пост написал RomanL, но за неимением необходимого количества кармы — опубликовать его не может.

Хочу рассказать об одном решении, как можно обнаружить внедрения полиморфного вирусного JavaScript-кода в страницы сайтов. Заметка расcчитана на подготовленных пользователей, которым не надо объяснять элементарных вещей и которые могут сами найти дополнительную информацию не требуя ссылок на википедию :)

Недавно мы столкнулись с весьма неожиданным и даже опасным явлением, о котором пойдет речь далее. Этот пост заинтересует всех, кого волнуют позиции собственного сайта в поисковой системе Яндекс. Возможно, наш опыт позволит кому-то не повторить чужих ошибок, а также оперативно исправить их. А также мы немного расскажем о нашем антивирусе для сайтов (а точнее, о целой системе защиты сайтов) — SiteGuard, который поможет максимально снизить риск заражения сайта. А значит — избежать потери клиентов, нервов, времени, денег.

На странице http_//auto.ru/tagaz/ грузится скрипт
script type="text/javascript" src="http_//dmdfty.info/show-banner.php?kod=681458&site=www.auto.ru"


Вызывается iframe
http_//hjessc.info/cgi-bin/qp


Адрес известный: safeweb.norton.com/report/show?name=hjessc.info

По словам Эльдара Муртазина, опубликовавшего соответствующий пост в своем твиттере, сайт mobile-review.com распространял троян сегодня только с 9 до 10 часов утра.
Тем не менее, пользователи антивирусных продуктов Касперского при попытке входа на сайт продолжают получать вот такую надпись и в 4 часа вечера:



Надпись ультимативная, обойти ее без отключения антивирусника никак нельзя, что я делать, естественно не стал. Кто-то из них ошибается — либо Касперский, либо Муртазин.

Вопрос как в том, почему все-таки такая безальтернативная система блокировки сайтов?

UPD. Связался с Муртазиным по твитеру. Через определенное время он сообщил, что уже исправили.

(Источник картинки)

Всё началось с того, что мне понадобился запасной мобильный телефон. Понимание необходимости запасной «звонилки» пришло после того, как разряжающийся под конец дня до потери сознания (буквально) смарт во второй раз оставил без связи в критической ситуации. Так или иначе, но выбор пал на МТС-252. Несмотря на то что использовать телефон с другими операторами я не собирался, хакер во мне потребовал поискать информацию о возможности и способе «отвязки» от МТС.

Инъекция вредоносного кода в WordPress (Источник картинки)

Эта история начинается между 28.03.2013 и 2.04.2013. В этот промежуток времени сайт ******.ru был инфицирован. Это хорошо можно отследить по archive.org. В коде страниц появляется следующая строчка.

Все началось с того, что на моем рабочем ноутбуке (Win XP) админ установил новый антивирус. В один прекрасный день, когда я зашел на один из своих сайтов, я обнаружил вот такую неприятную картину:



Update: Антивирус Dr.Web, скрипт до сих пор на сайте тут

Конечно же первое что я захотел сделать это удалить его, для этого нужно было просто зайти по FTP и прибить rss.js файл. Но тут вдруг оказалось что я не могу зайти на сайт по FTP, так как хостинг и домен не мои, и видимо недавно админы сменили логин и пароль. Дозвониться владельцам так и не удалось, зато понять что именно делает вирус было очень любопытно…

Рано или поздно веб-разработчик, веб-мастер или любой другой специалист, обслуживающий сайт, может столкнуться с проблемами безопасности: ресурс попадает под санкции поисковой системы или начинает блокироваться антивирусом, с хостинга могут прислать уведомление об обнаружении вредоносного кода, а посетители начинают жаловаться на всплывающую рекламу или редиректы на “левые” сайты.



В этот момент возникает задача поиска источника проблемы, то есть диагностики сайта на проблемы безопасности. При грамотном подходе диагностика состоит из двух этапов:

1. проверки файлов и базы данных на хостинге на наличие серверных вредоносных скриптов и инжектов,
2. проверки страниц сайта на вирусный код, скрытые редиректы и другие проблемы, которые, порой, невозможно выявить статическим сканером файлов.

Предположим, вы уже проверили файлы на хостинге специализированными сканерами и почистили аккаунт хостинга от «вредоносов» (или ничего подозрительного на нем не нашлось), но поисковик все равно ругается на вирусный код или на сайте по-прежнему активен мобильный редирект. Что делать в этом случае? На помощь приходят веб-сканеры, которые выполняют динамический и статический анализ страниц сайта на вредоносный код.

На прошлой неделе столкнулся с крайне неприятным фактом. Зайдя на свой сайт, обнаружил, что он переадресовывает меня на неведомый мне ресурс, на который крайне сильно ругается антивирус Dr. Web

Сайт работает на WordPress актуальной версии 5.1

Все выходящие обновления для движка, плагина и темы устанавливаются вовремя. Плагины только из официального репозитория, тема тоже.