Мобільний редирект, itssupport
Значна кількість звернень в нашу компанію пов'язано саме з цим типом веб-зараження. Суть мобільного редиректу складається в перенаправлення відвідувачів зараженого сайту, що використовують браузери для мобільних пристроїв, на сторонній ресурс.
Для чого встановлюють мобільний редирект?
Перенаправлення користувача на інший ресурс, як правило, контрольований зловмисниками, робиться з однією з перерахованих нижче цілей (при цьому без відома і згоди користувача):
- Установка на мобільний пристрій шкідливого ПО (в основному - SMS-Сендер, рідше - банківські трояни);
- Установка на мобільний пристрій легітимного ПЗ (спосіб розкрутки нового додатка);
- Генерація трафіку на сторонній ресурс (спосіб розкрутки цього самого ресурсу).
Яким чином зловмисникам вдається розмістити на сайті шкідливий код, який зумовлює мобільний редирект?
Основні методи установки на сайт системи мобільного редиректу наступні:
- Підбір або компрометація (за допомогою шкідливого ПО) пароля до панелі адміністрування CMS сайту. Іноді в подібних випадках зловмисники встановлюють шкідливий модуль для CMS - фахівцям нашої компанії доводилося стикатися з шкідливими модулями для Joomla);
- Підбір або компрометація пароля для доступу до майданчика сайту по протоколу FTP;
- Завантаження на майданчик веб-шелла (web-shell) в результаті експлуатації уразливості CMS. Веб-шелл дозволяє зробити практично будь-які дії з файлами на майданчику.
Однією з функцій інфектора є видалення вже наявних в .htaccess директив. Зроблено це на той випадок, якщо файл вже був раніше змінений іншими зловмисниками - несанкціонована встановлюйте мобільні редиректу на скомпрометовані сайти зараз настільки популярна, що виникла конкуренція між шахраями. Через це один і той же сайт за короткий час може піддатися даного типу атаки кілька разів.
У деяких випадках файл .htaccess повністю затирається, що призводить до некоректної роботи сайту - наприклад, при переході по пунктах меню відвідувач бачить сторінку з кодом помилки 404. У процесі лікування ми відновлюємо .htaccess з оригінального дистрибутива CMS, якщо є така можливість.
Види реалізації мобільного редиректу
У нашій практиці ми зіткнулися з кількома типами реалізації мобільного редиректу:
- Модифікація файлу .htaccess
Поширений метод, який має суттєвий недолік (для зловмисника) - він працює тільки в разі, якщо заражений сайт використовує веб-сервер Apache (інші веб-сервери (nginx, lighttpd) не підтримують .htacces). Код .htaccess в даному випадку виглядає приблизно так:
- Вантаження зовнішнього скрипта в index.php через функцію require_once ()
Метод працює незалежно від типу використовуваного веб-сервера. Приклад коду:
- Власник веб-сайту самостійно розміщує шкідливий код з метою отримання додаткового прибутку.
Як правило, сам власник сайту навіть не підозрює, що стає співучасником протиправної діяльності. Найчастіше починається все з листа приблизно такого змісту:
Пропонуємо додатково заробити на вашому сайті *****. Ru.
За статистикою від 5% до 20% відвідуваності будь-якого сайту становить мобільний трафік.
Ці відвідувачі вам не приносять користі. Встановіть наш код і заробляйте на кожному мобільному відвідувача!
Викуповуємо 100% вашого WAP трафіку. Середня ціна по системі 25 $ за 1000 мобільних хостів.
...
P.S. Ви нічим не ризикуєте. Для пошукачів наш код не помітний. Просто будете отримувати додатковий дохід!
Скориставшись цією пропозицією, господар сайту позбавляється мобільного трафіку, буквально «продавши» його зловмисникам.
Складність у визначенні подібної «підстави» від «партнерів» в тому, що при відкритті на стандартному ПК сайт продовжує працювати в колишньому режимі, при натисканні на банер відкривається цілком легітимний сайт, про партнерство з яким і була угода. І лише при відкритті сайту з мобільного пристрою спрацьовує редирект і користувач переходить на підставний ресурс.
Для перевірки «чистоти» свого сайту, власник може використовувати плагін UserAgentSwitcher для FireFox, що дозволяє імітувати візит на сайт з різних платформ, в тому числі мобільних. Якщо при імітації мобільного пристрою сайт виглядає інакше - проблеми в наявності.
Наші фахівці завжди до Ваших послуг! Звернутися до нас можна будь-яким зручним для Вас способом: