Viele wissen bereits, dass Rostelecom mit Unterstützung von Mail.ru mit der Einführung seiner Werbebanner auf Websites begonnen hat, die nicht durch das HTTPS-Protokoll geschützt sind . Sie können sich vor ihrem Auftreten auf Ihrer Website schützen, indem Sie es auf HTTPS übertragen. Aber was ist, wenn Sie keine solche Gelegenheit haben oder es für Sie zu zeitaufwändig ist? Ich habe meine kleinen Nachforschungen angestellt und möchte einen einfachen und dennoch wirksamen Weg gegen diese Infektion aufzeigen.Zu diesem Thema gab es bereits Untersuchungen zu Habré, auf die ich mich verlassen habe:Es ist bekannt, dass Banner implementiert werden, indem die ursprüngliche JavaScript-Datei durch eine Umleitung durch eine böswillige ersetzt wird. Und schon fügt er ein Banner auf der Webseite ein und lädt die Originaldatei hoch. Daher ist es bei der Suche nach Viren unmöglich, sofort zu erkennen, wie Werbung auf der Website geschaltet wurde, weil Die Originaldateien werden nicht geändert, und die Umleitung wird in einem bestimmten Intervall durchgeführt, und es ist ziemlich schwierig, sie zu erkennen.Für die Recherche benötigen Sie eine Site, die das HTTP-Protokoll verwendet und JS-Dateien enthält. Als Beispiel habe ich den Standort des Museums von Kirow genommen . Mit einiger Periodizität können Banner darauf beobachtet werden.
Ich habe ein spezielles Dienstprogramm geschrieben. Sie stellt in regelmäßigen Abständen eine Anfrage unter einer bestimmten URL und vergleicht den empfangenen Inhalt mit dem vorherigen. Wenn der Inhalt der Antwort unterschiedlich ist, wird sie für das Studium gespeichert. Bei der Analyse von Anforderungen für ein kleines Skript http://muzey43.ru/js/script-eye.jswurde festgestellt, dass immer derselbe Inhalt zurückgegeben wird - es erfolgt keine Umleitung.
Wie erscheint dann das Banner? Bei der Untersuchung des Quellcodes einer Site wurde eine andere JS-Datei entdeckt, die von HTTP heruntergeladen wird, jedoch mit einem anderen Host : http://ajax.googleapis.com/ajax/libs/jquery/1.7.0/jquery.min.js. Bei der Analyse dieser Anfrage beobachten wir regelmäßig den Empfang des Inhalts einer schädlichen Datei.
Der Screenshot zeigt, dass schädliche Inhalte ungefähr zweimal pro Minute heruntergeladen werden, es jedoch zu kurzen Unterbrechungen bei der Weiterleitung kommen kann. Der Inhalt der Malware ändert sich jedes Mal durch Verschleierung des Codes und enthält einen Link zum ursprünglichen Skript.Höchstwahrscheinlich gibt es eine bestimmte „weiße Liste“ von Hosts, für die die JS-Umleitung verboten ist. Zum Beispiel der Standort des Kulturministeriums der Region Kirow . Trotz der Tatsache, dass es über das HTTP-Protokoll funktioniert, werden keine Banner darauf angezeigt. Auf der Kirov Museums-Website gibt es jedoch ein Banner, obwohl es keine Weiterleitung für seine Skripte gibt, aber durch die Weiterleitung eines Skripts von einem anderen Host wird ein Banner darin eingebettet. Um die Sicherheitsanfälligkeit in diesem Fall zu beseitigen, reicht es höchstwahrscheinlich aus, die Datei unter Verwendung des HTTPS-Protokolls anzufordern, d. H. Ersetzen Sie einfach die Skript-URL durchhttps://ajax.googleapis.com/ajax/libs/jquery/1.7.0/jquery.min.js
Aber was ist, wenn Ihre Site nicht auf der „weißen Liste“ steht und Sie Ihre eigenen Skripte verwenden müssen? Ich habe einen einfachen Weg gefunden, um eine JS-Umleitung zu vermeiden. Es reicht aus, der Skript-URL einen beliebigen Parameter hinzuzufügen: https://ajax.googleapis.com/ajax/libs/jquery/1.7.0/jquery.min.js?banner=offDie Umleitung wird nicht ausgeführt.
Dies geschieht wahrscheinlich, damit die Umleitung den Betrieb komplexer dynamischer JS-Sites nicht beeinträchtigt oder die erforderlichen Dateien einfach durch die Erweiterung identifiziert werden .js. In jedem Fall reicht es jedoch aus, den URLs von Skripten auf den Seiten Ihrer Website zufällige Parameter und Werbebanner von Rostelecom hinzuzufügen.PSWie aus den Kommentaren richtig hervorgeht, wird die am besten geeignete Lösung für Website-Besitzer die Umstellung auf HTTPS sein, zumal einige Hosting-Unternehmen jetzt die Installation eines kostenlosen Zertifikats direkt vom Panel mit einer Schaltfläche anbieten. Schließlich kann Rostelecom morgen den Umleitungsalgorithmus problemlos straffen, und die oben angegebene Lösung funktioniert nicht mehr. Das Blockieren einer Umleitung durch einen Filter auf dem Client kann, wie einige vermuten, nur das Problem des Clients lösen. Es wird kein Banner geben, aber das ersetzte Skript wird nicht ersetzt, und die Funktionalität der Site kann darunter leiden.