Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Seopult мастеркласс 2 - мобильный редирект
1. Поиск и удаление редиректов
с сайта
Григорий Земсков, компания “Ревизиум”
SeoPult.tv
2. Редирект – несанкционированная переадресация
В большинстве случаев является следствием взлома
По типу срабатывания и назначению
Мобильные
Поисковые
Редиректы на загрузку вредоносных и рекламных файлов
На редиректах зарабатывают деньги
Воровство посетителей
Мобильные партнерки
Drive-by download
3. Как работают редиректы
Учитывается набор параметров посетителя
(строка user agent, ip адрес для определения мобильной сети или
страны, время захода, cookie, ссылающийся сайт или поисковая
система, url страницы)
Статические
Наблюдаются постоянно для фиксированного набора параметров
посетителя
Представляют собой вставку в .htaccess, nginx.conf, в javascript
или скрипт .php
Динамические
Воспроизводятся эпизодически, учитывают куки, время,
страну посетителя
Обычно оформлены в виде модуля веб-сервера, модуля
php, javascript или вставки .php
4. Анализ редиректа сторонними сервисами
Панель вебмастера Яндекса
Панель вебмастера Google
Сервис zorrobot.ru/tool/yago.php (серверные редиректы)
sitecheck.sucuri.net/scanner/
6. Анализ серверных редиректов
Особенности: выполняются на стороне сервера, с отключенными
javascript не воспроизводятся
Для детекта: запросы с подменой User Agent и поля Referer
(инструменты Simple REST Client, Chrome UA Spoofer, HTTP
Sniffer’ы / Wireshark)
Инжекты в сервер: nginx, модулях apache, динамических
библиотеках
7. Поиск серверных редиректов в отчете AI-BOLIT
AI-BOLIT детектирует вредоносные вставки в скриптах и .htaccess
Пример обнаруженного редиректа в скриптах
9. Анализ браузерных редиректов
более сложно детектировать, загружаются с внешних сайтов
представляют собой серию переадресаций,
могут быть частью виджета (часы 101widgets.com), известного
сервиса (ulogin, odnaknopka) или “партнерки”
Инструменты разработчика
Снифферы трафика: Wireshark,
Internet Explorer 11
10. Снятие HTTP сессии редиректа
Подключить мобильное устройство к компьютеру в режиме
“интернет через компьютер” (internet pass-through)
Очистить куки браузера и историю посещений в мобильном
браузере
Зайти в поисковую систему, набрать адрес сайта
Запустить Wireshark в режиме сбора пакетов
Кликнуть по странице сайта в результатах поискового запроса
11. Анализ мобильного или поискового редиректа
Фильтр по http
Начинаем анализировать с последней переадресации
Используем Follow TCP Stream
Выстраиваем цепочку переходов
Выясняем исходный домен
Ищем его в коде скриптов, конфигах или базе данных
12. Как правильно “лечить” редиректы
Добиваемся 100% воспроизводимости редиректа
Удаляем инжект из .htaccess, .php скрипта, базы данных или .js
файла
Проверяем, что редирект исчез
Выполняем полное сканирование сайта на наличие
вредоносных скриптов (например с помощью AI-BOLIT)
Удаляем найденные шеллы, бэкдоры, хакерские инжекты
Устанавливаем защиту от взлома
Настраиваем мониторинг сайта через специальные сервисы
или панель вебмастера поисковой системы
13. Редирект – следствие взлома
Значит есть уязвимости
Лечить и обновлять CMS
Ставить защиту
Обратиться к профессионалам
Редирект – это несанкционирвоанное перенаправление посетителя сайта на сторонний ресурс. Редирект – это один из наиболее популярных следствий взлома и заражения сайта. Человек набирает адрес сайта в браузере, а вместо этого попадает на совершенно другой или ему предлагается скачать какое-нибудь приложение.
Редирект может возникать на сервере или в браузере посетителя сайта.
В завершении хотелось бы еще раз обратить внимание на то, что редирект является следствием взлома сайта. А это значит, что на сайте есть уязвимости, которые нужно “закрывать” и хакерские шеллы/бэкдоры, которые нужно обязательно удалять. Если вы самостоятельно затрудняетесь выполнить все эти действия, вы всегда можете обратиться к профессионалам. С вами был Григорий Земсков, компания Ревизиум.
В завершении хотелось бы еще раз обратить внимание на то, что редирект является следствием взлома сайта. А это значит, что на сайте есть уязвимости, которые нужно “закрывать” и хакерские шеллы/бэкдоры, которые нужно обязательно удалять. Если вы самостоятельно затрудняетесь выполнить все эти действия, вы всегда можете обратиться к профессионалам. С вами был Григорий Земсков, компания Ревизиум.