[Из песочницы] Внедрение через URL: www.site.ru/?jn=xxxxxxxx
Буквально на днях столкнулся с новым (*?) вариантом спам-вируса для веб-сайтов. Гугл определяет его как «Внедрение через URL».
Описание
На вашем сайте появляются ссылки которых не было и быть не могло — вы, например, четко знаете структуру сайта и оригинальный вид URL, который отличается от «левых» URL. В частности, в индексе поисковиков появляются ссылки вида:
www.site.ru/?jn=xxxxxxxx
Поиск и устранение
Яндекс-Вебмастер пока не реагирует на них, а вот в инструментах Гугла для вебмастеров выдается предупреждение о возможном взломе сайта. Там же даны рекомендации по поиску. К сожалению они довольно общие и конкретный поиск проблемы занимает время. Антивирусы и он-лайн анализаторы сайтов — результата не дают. Только ручками.
Вариант А: Код не обфусцирован
Ищем в исходниках кто и как у нас пользует переменную $_GET['jn']
Далее по коду смотрим кто где гадит (например: jsswfuploadpluginsjquery)
Вариант Б: Код обфусцирован
Ищем каталог с файлами, названия которых идут после "?jn="
Ищем подозрительные исполняемые файлы типа images/c0nfv.php
Проверяем дату jquery.php и сравниваем ее с датой обнаружения вируса по мониторингу инструментов вебмастеров Гугла.
Встречается
CMS: Joomla, WordPress, DLE
Plugins: ImageZoomer, SWFupload
Велика вероятность появления практически во всех плагинах, которые используют JQuery и в тех местах, где у админов ручки не дошли до настройки.
Полный код (необфусцированного) зловредного кода под катом.
Читать дальше →
Описание
На вашем сайте появляются ссылки которых не было и быть не могло — вы, например, четко знаете структуру сайта и оригинальный вид URL, который отличается от «левых» URL. В частности, в индексе поисковиков появляются ссылки вида:
www.site.ru/?jn=xxxxxxxx
Поиск и устранение
Яндекс-Вебмастер пока не реагирует на них, а вот в инструментах Гугла для вебмастеров выдается предупреждение о возможном взломе сайта. Там же даны рекомендации по поиску. К сожалению они довольно общие и конкретный поиск проблемы занимает время. Антивирусы и он-лайн анализаторы сайтов — результата не дают. Только ручками.
Вариант А: Код не обфусцирован
Ищем в исходниках кто и как у нас пользует переменную $_GET['jn']
Далее по коду смотрим кто где гадит (например: jsswfuploadpluginsjquery)
Вариант Б: Код обфусцирован
Ищем каталог с файлами, названия которых идут после "?jn="
Ищем подозрительные исполняемые файлы типа images/c0nfv.php
Проверяем дату jquery.php и сравниваем ее с датой обнаружения вируса по мониторингу инструментов вебмастеров Гугла.
Встречается
CMS: Joomla, WordPress, DLE
Plugins: ImageZoomer, SWFupload
Велика вероятность появления практически во всех плагинах, которые используют JQuery и в тех местах, где у админов ручки не дошли до настройки.
Полный код (необфусцированного) зловредного кода под катом.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Пошаговое руководство по внесению ПО и ПАК в Минцифры в 2025 году
- Взлом уязвимой операционной системы Vulnix. Уязвимая служба/протокол smtp
- НКО научат создавать качественный контент
- Скрытые языки: как инженеры передают информацию внутри команды, избегая документации
- [Перевод] Пишем на C самоизменяющуюся программу x86_64
- Riverstart: Рэд-флаги в аутстаффинге — как не нарваться на «кота в мешке»? Riverstart Подкаст #3
- Zenlink: KPI в SERM: как измерить успех кампании по работе над репутацией бренда
- Креативное бюро Пинк: Брендинг в «Дефиците». Как мы сделали и согласовали концепцию, но решили «забрить» и сделать брендинг бара заново
- Четыре взлома ИТ-инфраструктуры, один из которых выдуман. Какой?
- Red Digital и хлебцы Kruazett: KRRустящий кейс