[Из песочницы] Внедрение через URL: www.site.ru/?jn=xxxxxxxx
Буквально на днях столкнулся с новым (*?) вариантом спам-вируса для веб-сайтов. Гугл определяет его как «Внедрение через URL».
Описание
На вашем сайте появляются ссылки которых не было и быть не могло — вы, например, четко знаете структуру сайта и оригинальный вид URL, который отличается от «левых» URL. В частности, в индексе поисковиков появляются ссылки вида:
www.site.ru/?jn=xxxxxxxx
Поиск и устранение
Яндекс-Вебмастер пока не реагирует на них, а вот в инструментах Гугла для вебмастеров выдается предупреждение о возможном взломе сайта. Там же даны рекомендации по поиску. К сожалению они довольно общие и конкретный поиск проблемы занимает время. Антивирусы и он-лайн анализаторы сайтов — результата не дают. Только ручками.
Вариант А: Код не обфусцирован
Ищем в исходниках кто и как у нас пользует переменную $_GET['jn']
Далее по коду смотрим кто где гадит (например: jsswfuploadpluginsjquery)
Вариант Б: Код обфусцирован
Ищем каталог с файлами, названия которых идут после "?jn="
Ищем подозрительные исполняемые файлы типа images/c0nfv.php
Проверяем дату jquery.php и сравниваем ее с датой обнаружения вируса по мониторингу инструментов вебмастеров Гугла.
Встречается
CMS: Joomla, WordPress, DLE
Plugins: ImageZoomer, SWFupload
Велика вероятность появления практически во всех плагинах, которые используют JQuery и в тех местах, где у админов ручки не дошли до настройки.
Полный код (необфусцированного) зловредного кода под катом.
Читать дальше →
Описание
На вашем сайте появляются ссылки которых не было и быть не могло — вы, например, четко знаете структуру сайта и оригинальный вид URL, который отличается от «левых» URL. В частности, в индексе поисковиков появляются ссылки вида:
www.site.ru/?jn=xxxxxxxx
Поиск и устранение
Яндекс-Вебмастер пока не реагирует на них, а вот в инструментах Гугла для вебмастеров выдается предупреждение о возможном взломе сайта. Там же даны рекомендации по поиску. К сожалению они довольно общие и конкретный поиск проблемы занимает время. Антивирусы и он-лайн анализаторы сайтов — результата не дают. Только ручками.
Вариант А: Код не обфусцирован
Ищем в исходниках кто и как у нас пользует переменную $_GET['jn']
Далее по коду смотрим кто где гадит (например: jsswfuploadpluginsjquery)
Вариант Б: Код обфусцирован
Ищем каталог с файлами, названия которых идут после "?jn="
Ищем подозрительные исполняемые файлы типа images/c0nfv.php
Проверяем дату jquery.php и сравниваем ее с датой обнаружения вируса по мониторингу инструментов вебмастеров Гугла.
Встречается
CMS: Joomla, WordPress, DLE
Plugins: ImageZoomer, SWFupload
Велика вероятность появления практически во всех плагинах, которые используют JQuery и в тех местах, где у админов ручки не дошли до настройки.
Полный код (необфусцированного) зловредного кода под катом.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Распознаем STL-код легко: std::vector
- Есть ли жизнь после Cisco ISE? Распаковка и тест-драйв российского NAC от Eltex в сетевой лаборатории
- ИИ взломали. Кто бы мог подумать?
- DPI, ТСПУ и операторы: архитектура блокировки трафика в России
- Максим Котенков: Мы сделали своё API для семантического анализа — и это убрало 70% рутины при подготовке SEO-ТЗ
- Почему автотесты пропускают изменения в API и как это исправить с Pydantic
- Что сегодня действительно важно в AI: 10 направлений по версии MIT Technology Review
- АЙNET: АЙNET: 30% крупных брендов отказываются от лендингов в пользу чековых ботов, а интерес к промо в Max вырос на 40%
- Как мы написали свой forward-proxy на Go и отказались от VPN для доступа к админкам
- i-Media: 43% потребителей идут на маркетплейсы за эмоциональной подзарядкой, а нейросети вытесняют поисковики: i-Media выпускает обзор digital-рынка за Q1 2026