1. Поиск и удаление редиректов
с сайта
Григорий Земсков, компания “Ревизиум”
SeoPult.tv

2.  Редирект – несанкционированная переадресация
 В большинстве случаев является следствием взлома
 По типу срабатывания и назначению
 Мобильные
 Поисковые
 Редиректы на загрузку вредоносных и рекламных файлов
 На редиректах зарабатывают деньги
 Воровство посетителей
 Мобильные партнерки
 Drive-by download

3.  Как работают редиректы
 Учитывается набор параметров посетителя
(строка user agent, ip адрес для определения мобильной сети или
страны, время захода, cookie, ссылающийся сайт или поисковая
система, url страницы)
 Статические
 Наблюдаются постоянно для фиксированного набора параметров
посетителя
 Представляют собой вставку в .htaccess, nginx.conf, в javascript
или скрипт .php
 Динамические
 Воспроизводятся эпизодически, учитывают куки, время,
страну посетителя
 Обычно оформлены в виде модуля веб-сервера, модуля
php, javascript или вставки .php

4. Анализ редиректа сторонними сервисами
 Панель вебмастера Яндекса
 Панель вебмастера Google
 Сервис zorrobot.ru/tool/yago.php (серверные редиректы)
 sitecheck.sucuri.net/scanner/

5. Серверные
 Через HTTP 301/302
Браузерные
 <script src=“http://site.ru/?id=234”></script>
Смешанные
 Вставка скриптами <script src=“http://site.ru/?id=234”></script>

6. Анализ серверных редиректов
 Особенности: выполняются на стороне сервера, с отключенными
javascript не воспроизводятся
 Для детекта: запросы с подменой User Agent и поля Referer
(инструменты Simple REST Client, Chrome UA Spoofer, HTTP
Sniffer’ы / Wireshark)
 Инжекты в сервер: nginx, модулях apache, динамических
библиотеках

7. Поиск серверных редиректов в отчете AI-BOLIT
 AI-BOLIT детектирует вредоносные вставки в скриптах и .htaccess
 Пример обнаруженного редиректа в скриптах

8. Поиск серверных редиректов в отчете AI-BOLIT
 Пример обнаруженного редиректа в .htaccess

9.  Анализ браузерных редиректов
 более сложно детектировать, загружаются с внешних сайтов
 представляют собой серию переадресаций,
 могут быть частью виджета (часы 101widgets.com), известного
сервиса (ulogin, odnaknopka) или “партнерки”
 Инструменты разработчика
 Снифферы трафика: Wireshark,
Internet Explorer 11

10. Снятие HTTP сессии редиректа
 Подключить мобильное устройство к компьютеру в режиме
“интернет через компьютер” (internet pass-through)
 Очистить куки браузера и историю посещений в мобильном
браузере
 Зайти в поисковую систему, набрать адрес сайта
 Запустить Wireshark в режиме сбора пакетов
 Кликнуть по странице сайта в результатах поискового запроса

11. Анализ мобильного или поискового редиректа
 Фильтр по http
 Начинаем анализировать с последней переадресации
 Используем Follow TCP Stream
 Выстраиваем цепочку переходов
 Выясняем исходный домен
 Ищем его в коде скриптов, конфигах или базе данных

12. Как правильно “лечить” редиректы
 Добиваемся 100% воспроизводимости редиректа
 Удаляем инжект из .htaccess, .php скрипта, базы данных или .js
файла
 Проверяем, что редирект исчез
 Выполняем полное сканирование сайта на наличие
вредоносных скриптов (например с помощью AI-BOLIT)
 Удаляем найденные шеллы, бэкдоры, хакерские инжекты
 Устанавливаем защиту от взлома
 Настраиваем мониторинг сайта через специальные сервисы
или панель вебмастера поисковой системы

13. Редирект – следствие взлома
 Значит есть уязвимости
 Лечить и обновлять CMS
 Ставить защиту
 Обратиться к профессионалам

14. Полезные ссылки
 http://www.wireshark.org/
 http://zorrobot.ru/tool/yago.php
 http://sitecheck.sucuri.net/scanner/
 http://revisium.com/ai/
 http://webmaster.yandex.ru/
 http://www.google.com/webmasters/