Яндекс обнаружил вредоносные мобильные редиректы в дистрибутивах CMS

Прислано:30.12.2011 в 01:59
команда Яндекса предупредила владельцев сайтов о том, что во всех контрафактных дистрибутивах CMS DLE, опубликованных на www.softdle.com , в том числе в названных «чистыми», размещён код, выполняющий мобильный редирект на TDS www.vmaline.net .

Это значит, что владельцы сайтов, которые используют этот дистрибутив, полностью теряют посещения с мобильных устройств. При заходе на такой сайт с мобильного устройства, у пользователя в большинстве случаев начинается загрузка вредоносного мобильного приложения, причём именно того, которое предназначено для заражения устройств этого типа.

Так, при переходе на сайт, который использует данный заражённый дистрибутив CMS:
У пользователей Opera Mini для JavaME на обычных телефонах с сайта file21file.com начинается загрузка файла new_opera.jar (MD5: d2b9248d2340d349acab7199477801a6), заражённого Java.SMSSend.704, который на 29.12.2011 на virustotal.com детектирует 1 антивирус из 43;
У пользователей Web Browser для Symbian S60 c сайта mobiletds2.info загружается файл opera_mini_6r.jar (MD5: 1879cb916de4059481c6e727deea007e), заражённый Java.SMSSend.663, который на 29.12.2011 на virustotal.com детектируют 2 антивируса из 43;
У пользователей Android Browser с сайта mobiletds2.info начинает загружаться файл opera_mini_6.1.apk (MD5: c3a23174f88911591f3179c9b729f913), заражённый Android.SmsSend.253, который на 29.12.2011 на virustotal.com детектируют 11 антивирусов из 43.

В свою очередь, специалисты Яндекса рекомендуют владельцам сайтов очень внимательно относиться к дистрибутивам CMS, которые получены не с официальных сайтов, и тестировать свои сайты не только с помощью обычных компьютеров, но и с помощью мобильных устройств.

Чаще всего вредоносный код появляется на сайте в результате взлома или использования украденного пароля для доступа к сайту.

Злоумышленники получают пароли и ценную информацию при помощи вирусов, которые могут оставаться на личном компьютере вебмастера или администратора сайта длительное время. Поэтому перед тем, как удалять вредоносный код, советуем:
проверить рабочие станции и сервера антивирусом (о том какие бесплатные антивирусные утилиты для этого использовать, можно почитать здесь);
cменить пароли от FTP, административной панели CMS, СУБД, SSH (если используете данный протокол для доступа к веб-серверу), а также от панели управления веб-хостингом (DirectAdmin, cPanel, ISP Manager и т.п.);

В противном случае злоумышленники смогут снова внедрить вредоносный код в страницы вашего сайта.

Кроме того, имеет смысл проверить сайт на другие виды заражения, в качестве которого может выступать любой незнакомый вам обфусцированный (специально сделанный нечитаемым, например, закодированный) код, особенно содержащий функции:
eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13

Если найти вредоносный код не удалось, но вы уверены, что он присутствует на сайте, и помните время, когда примерно он стал себя проявлять, воспользуйтесь поиском файлов по дате изменения.

Также вредоносный код может располагаться в служебном файле .htaccess веб-сервера или в таблицах базы данных.

Чтобы в будущем не допустить заражения вашего сайта вредоносным кодом:
не сохраняйте пароли в веб-браузерах, файловых менеджерах, а также FTP-, SFTP-, SCP- и SSH-клиентах;
используйте стойкие пароли, регулярно меняйте их, чтобы злоумышленники не смогли подобрать пароль по словарям или перебором (рекомендуем использовать пароль из не менее чем 10 букв, цифр и специальных символов);
используйте на рабочих станциях и серверах антивирус, следите за тем, чтобы его ядро и базы регулярно обновлялись;
настройте файрволлы и сетевую инфраструктуру так, чтобы были разрешены только необходимые для работы соединения;
регулярно устанавливайте обновления для вашей CMS, а если используете CMS собственной разработки – применяйте WAF (Web Application Firewall) и правила безопасного программирования;
зарегистрируйте сайт в Яндекс.Вебмастере, чтобы иметь возможность самостоятельно запускать его перепроверку, а также посмотреть информацию о найденном коде в случае заражения.

Вы всегда можете отправить нам на анализ вредоносный код, который нашли на сайте. Подробная инструкция о том, как это сделать, располагается здесь.

Если у вас не получается найти вредоносный код на страницах своего сайта – зарегистрируйте его в Яндекс.Вебмастере, и в разделе «Безопасность» сможете увидеть список страниц, на которых найден вредоносный код, вердикты, описания способов удаления. А после того, как удалите вредоносный код, вы сможете сами запросить из вкладки «Безопасность» внеочередную перепроверку своего сайта.

Ну и ? Это не только яндекса.... смысл темы? не ставьте взломанное по?

жить становится всё опаснее и опаснее!

Jane, Ога - особенно кода чужим пользуешься ((

Krite, чем чужим?

Jane, ПО конечно

удаляю винду. это же чужое по. буду писать свое

Kip-OK, Полюбэ свое надежней.

Так! Теперь все дружно сносим джона! И идём писать свои cms!