Добавить в корзинуПозвонить
Найти в Дзене
Зайти в айти
2 подписчика

Удаление мобильного редиректа с сайта

1
4 мин
Предположим, у вашей компании хорошо раскрученный сайт, высокий трафик и приличная конверсия. А еще вы никогда не сталкивались с хакерскими атаками и вредоносными скриптами, и вам не приходилось ранее удалять с сайта вирусы и хакерские скрипты . Сайт прекрасно работал пару лет и не создавал вам проблем, пока в один прекрасный день, скажем выходной, вы не попробовали зайти на сайт компании с мобильного устройства. Что случилось? Куда пропала знакомая главная страница с анонсом рекламной акции предпраздничных распродаж? Может ошиблись при вводе адреса сайта? Проверяете адресную строку, удаляете символы, перенабираете снова... Нет, все тот же эффект. Открывается совсем другой сайт - быть может, с контентом для взрослых или рекламой запрещенного в России медицинского препарата... Добравшись до домашнего компьютера, вы заходите на корпоративный сайт снова. Все в порядке, значит ошибка... И уже позже, удобно устроившись в кресле, чтобы посмотреть порекомендованный друзьями фильм,

Предположим, у вашей компании хорошо раскрученный сайт, высокий трафик и приличная конверсия. А еще вы никогда не сталкивались с хакерскими атаками и вредоносными скриптами, и вам не приходилось ранее удалять с сайта вирусы и хакерские скрипты .

Сайт прекрасно работал пару лет и не создавал вам проблем, пока в один прекрасный день, скажем выходной, вы не попробовали зайти на сайт компании с мобильного устройства. Что случилось? Куда пропала знакомая главная страница с анонсом рекламной акции предпраздничных распродаж? Может ошиблись при вводе адреса сайта? Проверяете адресную строку, удаляете символы, перенабираете снова... Нет, все тот же эффект. Открывается совсем другой сайт - быть может, с контентом для взрослых или рекламой запрещенного в России медицинского препарата...

Добравшись до домашнего компьютера, вы заходите на корпоративный сайт снова. Все в порядке, значит ошибка... И уже позже, удобно устроившись в кресле, чтобы посмотреть порекомендованный друзьями фильм, решаетесь на финальную проверку - рядом лежащий смартфон вам в помощь... Увы, худшие опасения оправдались. Вы снова оказываетесь не на сайте компании, а на подозрительном веб-ресурсе, порочащим репутацию вашей фирмы и, возможно даже, заражающим мобильное устройство вирусом. Следующая мысль не заставляет себя долго ждать: «То же самое увидят наши клиенты!»

Поздравляем! Знакомство с мобильным редиректом состоялось. Самое время заняться лечением вашего веб-ресурса, удалением вирусов с сайта и укреплением защиты от последующих хакерских атак.

Его величество мобильный редирект. Как искать «плохого парня»?

Итак, мобильный редирект - тот самый «плохой парень», который активизируется, как только пользователь заходит на зараженный веб-сайт с мобильного устройства. Именно поэтому большинство владельцев сайтов, просматривающих страницы своего веб-ресурса преимущественно со стационарных компьютеров, зачастую даже не подозревают о том, что их веб-ресурс заражен и угрожает безопасности пользователей, а репутация компании тем временем вместе с лояльностью клиентов планомерно движется под откос.

Сегодня, даже если ваш бизнес не ориентирован на мобильных пользователей, необходимо уделять внимание защите своего ресурса от мобильных вирусов и редиректов. Аудитория мобильного интернета исчисляется миллионами и ежегодно продолжает расти (данные TNS). Хакеры зарабатывают баснословные деньги, заражая планшеты и телефоны мобильными банковскими троянами, перенаправляя мобильных посетителей на WAP партнерки и т.д. Поэтому любой мало-мальски посещаемый ресурс представляет вкусный кусок пирога, на который нацелен злоумышленник.

Как удалить мобильный редирект на сайте

Итак, вы выяснили, что ваш сайт заражен, а целью хакера являются мобильные пользователи. Чтобы приступить к удалению вирусов на сайте, прежде всего, необходимо вычислить их местонахождение.

Вредоносный код может быть размещен хакером в различных компонентах сайта и представлять собой либо статические (неизменные) вставки вредоносного кода, либо динамические, которые меняются и шифруются для того чтобы усложнить их обнаружение.

«Статика»:

  1. шаблоны;
  2. скрипты (например, JavaScript);
  3. конфигурационные файлы сервера;
  4. база данных;
  5. подгружаются как 3rd party-компоненты.

«Динамика»:

  1. Сложный обфусцированный JavaScript или полиморфный фрагмент, который генерируется на скриптах PHP, PERL, Python.

Например, динамический редирект может подставлять в код разные домены, на которые происходит переадресация. Таким образом, если несколько раз открывать сайт, зараженный редиректом, то часто переадресация будет на различные сайты.

  1. Динамический инжект может выполняться со стороны инфицированных модулей сервера.

Если хакер взламывает выделенный сервер, то он может внедрить вредоносный модуль веб-сервера Apache или кэширующего сервера nginx. В таком случае при генерации страницы «на лету» будет подставляться фрагмент какого-нибудь JavaScript’а, который станет заражать посетителей сайта.

Чтобы обнаружить редиректы и заняться непосредственно удалением вирусов на сайте, необходимо воссоздать тестовое окружение, которое бы симулировала посещение веб-ресурса пользователем с мобильного устройства.

Настройка среды тестирования:

  1. выход в интернет через канал 3G или LTE, чтобы поймать мобильные редиректы, которые активизируются только для пользователей мобильного интернета;
  2. сниффер трафика (Wireshark, HTTP Sniffer, Fiddler Web Debugging Proxy, Charles Web Debuging Proxy);
  3. Поле User Agent браузера должно быть установлено как на мобильном (причем, такое же значение должно быть доступно и из javascript объекта Navigator);
  4. Чистим куки (некоторые коды используют куки для отслеживания количества показов вредоносного кода конкретному посетителю, поэтому вставляются только один раз одному пользователю, заходящему с того же браузера).

Тестовое окружение готово. Теперь снимаем HTTP сессию в HTTP сниффере, анализируя цепочку переадресаций на инфицированный веб-сайт и начинаем искать, какой код стал причиной перехода.

Удаление вирусов на сайте: алгоритм уничтожения мобильных редиректов

  1. анализируя записанную HTTP сессию, выясняем, какой код вызвал в браузере перенаправление посетителей на сторонний сайт;
  2. далее ищем вредоносный фрагмент в файлах на сервере, например, путем поиска обнаруженного фрагмента по всем файлам сайта;
  3. находим вирусный код, который порождает мобильный редирект и удаляем его.

Важно понимать, что удаление вирусов на сайте - всегда борьба с последствиями взлома и заражения! Главная задача не просто найти и удалить вредонос, но и установить причину заражения - найти уязвимости (на сайте или сервере) и ликвидировать их. А затем поставить защиту от взлома сайта, чтобы в последствии вирусы на сайте и хакерские атаки были вам не страшны.