Заражение сайта через инфицированный плагин браузера

За последние несколько месяцев к нам все чаще обращаются клиенты с сайтами, у которых был посторонний javascript код в базе данных.

вирус в базе

Выглядит этот инжект всегда одинаково: к “свежим” записям в таблице страниц или постов приклеивается достаточно “жирный” фрагмент обфусцированного javascript с iframe, который для посетителя сайта подгружает порцию рекламы, обычно в виде всплывающих баннеров с предложением познакомиться, поиграть в казино и т.п. Внедренный код был на сайтах, которые работают на различных CMS: wordpress, joomla, форумные движки, DLE и пр. Это классический Adware.

вирус в базе

Ни анализ запросов в логах на подозрение в эксплуатации SQL инъекций, ни сканирования файлов на аккаунте хостинга на предмет взлома и наличия хакерских скриптов не давали положительного результата. Сайты всегда были чистые. По журналу веб-сервера также не было видно атак или несанкционированных операций, с помощью которых можно было бы внедрить вредоносный код.

Мы поискали упоминания данного кода в поисковике и обнаружили больше сотни тысяч сайтов, на которых он был проиндексирован.

завирусованные страницы

В результате сбора и анализа информации по зараженным клиентским сайтам, было выявлено, что причиной данного кода является зараженный  браузер у владельца сайта или его администратора. Администратор ничего не подозревая размещал новые посты, при этом к POST запросам формы приклеивался «вредонос».  Например, запрос сохранения публикации в Joomla с зараженного компьютера выглядел так:

вирус в запросе

Как можно заметить, это очень эффективный способ распространения “малвари”. Печально то, что фактически сам владелец сайта или его контент-менеджер заражает сайт. При этом многие находили этот код в базе (число вставок там обычно больше сотни), вычищали его и через некоторое время база снова заполнялась обфусцированным javascript.

Проблема решается с помощью лечения компьютера коммерческим антивирусом, удаления зараженного плагина или переустановкой браузера. У одного клиента в браузере Chrome было установлено легитимное расширение, в котором был "вредонос":

пример завирусованного плагина

После удаления расширения код перестал добавляться в базу. Другой клиент вылечил свой Firefox антивирусом Касперского, и также после этого код базе больше не появлялся:

лечение зараженного браузера

Если у вас подобное заражение и вам потребуется помощь в удалении заражения в базе, обращайтесь к нашим специалистам.