Beaucoup savent déjà que Rostelecom, avec le soutien de Mail.ru, a commencé la mise en place de ses bannières publicitaires sur des sites non protégés par le protocole HTTPS . Vous pouvez vous protéger de leur apparition sur votre site en le transférant vers HTTPS. Mais que se passe-t-il si vous n'avez pas une telle opportunité ou si cela prend trop de temps pour vous? J'ai fait mes petites recherches et je veux partager un moyen simple et efficace contre cette infection.Il y avait déjà des enquêtes à ce sujet sur Habré et je me suis appuyé sur elles:Il est connu que les bannières sont implémentées en remplaçant le fichier JavaScript d'origine par un fichier malveillant via une redirection. Et déjà, il insère une bannière sur la page du site Web et télécharge le fichier d'origine. Ainsi, lors de la recherche de virus, il est impossible de détecter immédiatement comment la publicité est apparue sur le site, car les fichiers d'origine ne sont pas modifiés et la redirection est effectuée à un certain intervalle et il est assez difficile de la détecter.Pour la recherche, vous avez besoin d'un site qui utilise le protocole HTTP et contient des fichiers JS. À titre d'exemple, j'ai pris le site du Musée de Kirov . Avec une certaine périodicité, des bannières peuvent être observées dessus.
J'ai écrit un utilitaire spécial. Elle fait une demande à une URL spécifique à intervalles réguliers et compare le contenu reçu avec le précédent. Si le contenu de la réponse est différent, il est enregistré pour étude. Lors de l'analyse des demandes pour un petit script http://muzey43.ru/js/script-eye.js, il a été constaté que le même contenu est toujours renvoyé - il n'y a pas de redirection.
Alors, comment la bannière apparaît-elle? Dans l'étude du code source d'un site a été découvert un autre fichier JS qui est téléchargé par HTTP, mais avec un autre hôte: http://ajax.googleapis.com/ajax/libs/jquery/1.7.0/jquery.min.js. Lors de l'analyse de cette demande, nous observons périodiquement la réception du contenu d'un fichier malveillant.
La capture d'écran montre que le contenu malveillant est téléchargé environ deux fois par minute, mais il peut y avoir de courtes interruptions dans la redirection. Le contenu du malware change à chaque fois en obscurcissant le code et contient un lien vers le script d'origine.Il existe très probablement une certaine «liste blanche» d'hôtes pour lesquels la redirection JS est interdite. Par exemple, le site du ministère de la Culture de la région de Kirov . Malgré le fait qu'il fonctionne via le protocole HTTP, aucune bannière n'apparaît dessus. Mais sur le site Web des musées Kirov, il y a une bannière, bien qu'il n'y ait pas de redirection pour ses scripts, mais grâce à la redirection d'un script à partir d'un autre hôte, une bannière est intégrée. Afin d'éliminer la vulnérabilité dans ce cas, très probablement, il suffit de demander le fichier en utilisant le protocole HTTPS, c'est-à-dire il suffit de remplacer l'URL du script parhttps://ajax.googleapis.com/ajax/libs/jquery/1.7.0/jquery.min.js
Mais que faire si votre site n'est pas dans la «liste blanche» et que vous devez utiliser vos propres scripts? J'ai trouvé un moyen simple d'éviter la redirection JS. Il suffit d'ajouter un paramètre arbitraire à l'URL du script: https://ajax.googleapis.com/ajax/libs/jquery/1.7.0/jquery.min.js?banner=offet la redirection ne sera pas effectuée.
Ceci est probablement fait pour que la redirection n'interfère pas avec le fonctionnement des sites JS dynamiques complexes, ou que les fichiers nécessaires soient simplement identifiés par l'extension .js. Mais dans tous les cas, il suffit d'ajouter des paramètres aléatoires et des bannières publicitaires Rostelecom aux URL des scripts sur les pages de votre site.PSComme les commentaires l'indiquent correctement, la solution la plus appropriée pour les propriétaires de sites Web sera de passer au HTTPS, d'autant plus que certaines sociétés d'hébergement proposent désormais d'installer un certificat gratuit directement à partir du panneau avec un seul bouton. Après tout, demain Rostelecom pourra facilement resserrer l'algorithme de redirection et la solution donnée ci-dessus cessera de fonctionner. Et le blocage d'une redirection par un filtre sur le client, comme certains le suggèrent, ne peut que résoudre le problème du client - il n'y aura pas de bannière, mais il n'y aura pas de substitution du script qu'il a remplacé et les fonctionnalités du site peuvent en souffrir.