Яндекс научился определять цепочки заражения веб-ресурсов

Александр Панасенко 22 Мая 2012 - 09:58

Общее

Яндекс

Средства поиска уязвимостей

Вредоносные программы

Уязвимости программ

...

По статистике Яндекса, ежесуточно заражению вредоносным кодом повергается около 4 тыс. веб-страниц, а всего в базе зараженных адресов Яндекса уже находится более 680 тыс. ресурсов. Для оповещения пользователей о зараженном веб-ресурсе Яндекс использует специальную маркировку в поисковой выдаче, а также блокирует веб-ресурс средствами Яндекс.Бара в веб-браузерах Opera и Firefox.

Ранее оповещение вебмастера о заражение веб-ресурса производилось через систему сообщений специализированного интерфейса Яндекс.Вебмастер. Теперь, в этом интерфейсе появился дополнительный раздел «Безопасность». В этом разделе владельцу веб-сайта предоставляет подробный отчет о заражение ресурса и показываются цепочки заражения веб-сайта. Цепочки заражения отображают адрес зараженной веб-страницы, а также обнаруженные там ссылки на вредоносные ресурсы, передает uinc.

Таким образом, администратор веб-ресурса получает информацию о том, что и где надо искать. Как правило внедрение вредоносного кода происходит при помощи конструкций тегов <iframe> или <script>. Для устранения уязвимости достаточно удалить конструкцию, содержащую вредоносную ссылку, указанную Яндексом в цепочке заражений. При поиске и удаление водоносного объекта следует уделить особое внимание закодированным областям операторами: "eval", "base64_decode", "gzuncompress", "gzinflate", "ob_start", "str_rot13", "assert", "create_function", "preg_replace" и др.

В случае использования на веб-сервере PHP-скриптов, необходимо проанализировать код на включение неизвестных ресурсов, функциями "file_get_contents", "curl_exec", "include", "readfile" и т.п. Еще одним источником вредоносного кода может стать модификация файла ".htaccess", содержащего перенаправления на вредоносные веб-ресурсы. Если для управления веб-сайтом применяется автоматизированная система публикации контента (например: Joomla, WordpPress или Drupal), модифицированными могут оказаться файлы настроек, а также страницы технических работ и системных ошибок.

Однако, после очистки зараженной веб-страницы от вредоносных внедрений, код может появиться вновь через некоторое время. Причинами этого могут стать уязвимости серверного программного обеспечения, слабая парольная защита или компрометация пароля вебмастера, а также наличие вредоносного расширения в веб-браузере администратора веб-ресурса. Напомним, что отображение цепочек заражения также реализован поисковой системой Google, однако там источник вредоносного кода может просмотреть любой пользователь сети на специальной веб-странице, без необходимости регистрироваться в дополнительных сервисах.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 02 Апреля 2025 - 09:24

Утечки информации Умышленные утечки информации Инсайдеры Кража данных Малый и средний бизнес Корпорации Атом Безопасность

Как распознать инсайдера в офисе: эксперты назвали пять признаков

Как выяснили специалисты, одним из признаков того, что сотрудник может пытаться «слить» корпоративные данные, является его интерес к делам, не входящим в сферу его обязанностей. Всего эксперты насчитали пять таких признаков.

Директор по продукту компании Staffcop Даниил Бориславский в интервью «Газете.Ru» перечислил пять признаков потенциального инсайдера с недобрыми намерениями.

Он подчеркнул, что злоумышленник не будет действовать открыто — воровать документы или явно обходить системы безопасности. Вместо этого он попытается замаскировать свои действия под обычную рабочую активность. Тем не менее существуют признаки, позволяющие распознать опасность на раннем этапе.

Первым признаком, по словам Бориславского, является повышенный интерес сотрудника к внутреннему устройству корпоративной сети и системам безопасности. Особенно это настораживает, если подобные вопросы задаёт рядовой сотрудник, в чьи должностные обязанности это не входит — и делает это слишком часто или с чрезмерной настойчивостью.

Второй признак — частое подключение к рабочему компьютеру личных накопителей, таких как флешки или внешние жёсткие диски. Также насторожить должны попытки самостоятельно разбирать системный блок или ноутбук, а также просьбы о предоставлении повышенных прав доступа — например, для установки программ. По словам Бориславского, это может свидетельствовать о попытках обойти контроль.

Третий признак — использование личного компьютера для рабочих задач, в том числе прямо в офисе. Сюда же относятся заявления о пропаже служебных устройств — ноутбуков или планшетов. За такими случаями может скрываться передача техники на анализ хакерам или конкурентам.

Четвёртый признак — попытки получить доступ к данным, не относящимся к непосредственным обязанностям сотрудника. Особенно это вызывает подозрение, если человек при этом активно интересуется ситуацией в других отделах или явно стремится к такой осведомлённости.

Пятый признак — избыточная активность на рабочем месте. Например, если сотрудник регулярно печатает большие объёмы документов, навещает серверные помещения, хотя его работа никак с этим не связана. Также тревожными сигналами являются ранние приходы в офис и задержки после окончания рабочего дня.

При этом Бориславский отметил, что обнаружить «крота» среди руководителей значительно сложнее, чем среди рядовых сотрудников. Руководители и так имеют доступ ко всем нужным данным, поэтому их действия не вызывают подозрений.

«Самые частые причины утечек у управленцев — это деньги, конфликты или банальная халатность. Коммерческий директор перед увольнением может скачать клиентскую базу, финансовый — использовать инсайдерскую информацию для личной выгоды, а кто-то просто возьмёт ноутбук домой, даст его супругу, и конфиденциальные данные окажутся в облаке», — отметил эксперт.

Яндекс научился определять цепочки заражения веб-ресурсов

Читайте также