Banyak yang sudah tahu bahwa Rostelecom, dengan dukungan Mail.ru, telah memulai implementasi spanduk iklannya di situs-situs yang tidak dilindungi oleh protokol HTTPS . Anda dapat melindungi diri dari penampilan mereka di situs Anda dengan mentransfernya ke HTTPS. Tetapi bagaimana jika Anda tidak memiliki kesempatan seperti itu atau itu terlalu memakan waktu untuk Anda? Saya telah melakukan riset kecil saya dan ingin berbagi cara sederhana namun efektif melawan infeksi ini.Sudah ada penyelidikan tentang masalah ini pada HabrΓ© dan saya mengandalkan mereka:Diketahui bahwa spanduk diimplementasikan dengan mengganti file JavaScript asli dengan jahat melalui redirect. Dan dia sudah memasang spanduk di halaman situs web dan mengunggah file aslinya. Jadi, ketika memeriksa virus, tidak mungkin untuk segera mendeteksi bagaimana iklan muncul di situs, karena file asli tidak diubah, dan redirect dilakukan pada interval tertentu dan cukup sulit untuk dideteksi.Untuk penelitian, Anda memerlukan situs yang menggunakan protokol HTTP dan berisi file JS. Sebagai contoh, saya mengambil situs Museum Kirov . Dengan beberapa periodisitas, spanduk dapat diamati di sana.
Saya menulis sebuah utilitas khusus. Dia membuat permintaan pada URL tertentu secara berkala dan membandingkan konten yang diterima dengan yang sebelumnya. Jika konten jawabannya berbeda, maka disimpan untuk dipelajari. Saat menganalisis permintaan untuk skrip kecil http://muzey43.ru/js/script-eye.js, ditemukan bahwa konten yang sama selalu dikembalikan - tidak ada arahan ulang.
Lalu bagaimana spanduk muncul? Dalam studi tentang kode sumber dari sebuah situs ditemukan berkas JS lain yang di-download oleh HTTP, tetapi dengan host yang berbeda: http://ajax.googleapis.com/ajax/libs/jquery/1.7.0/jquery.min.js. Saat menganalisis permintaan ini, kami secara berkala mengamati tanda terima dari konten file jahat.
Tangkapan layar menunjukkan bahwa konten jahat diunduh kira-kira dua kali semenit, tetapi mungkin ada jeda singkat dalam pengalihan. Isi malware setiap kali berubah dengan mengaburkan kode dan berisi tautan ke skrip asli.Kemungkinan besar, ada "daftar putih" host yang untuknya pengalihan JS dilarang. Misalnya, situs Kementerian Kebudayaan wilayah Kirov . Terlepas dari kenyataan bahwa ia berfungsi melalui protokol HTTP, spanduk tidak muncul di sana. Tetapi di situs web Museum Kirov ada spanduk, meskipun tidak ada redirect untuk skripnya, tetapi melalui redirect skrip dari host lain spanduk tertanam di dalamnya. Untuk menghilangkan kerentanan dalam kasus ini, kemungkinan besar, cukup untuk meminta file menggunakan protokol HTTPS, mis. ganti saja URL skrip denganhttps://ajax.googleapis.com/ajax/libs/jquery/1.7.0/jquery.min.js
Tetapi bagaimana jika situs Anda tidak ada dalam "daftar putih" dan Anda perlu menggunakan skrip Anda sendiri? Saya menemukan cara mudah untuk menghindari redirect JS. Cukup menambahkan parameter sewenang-wenang ke URL skrip: https://ajax.googleapis.com/ajax/libs/jquery/1.7.0/jquery.min.js?banner=offdan pengalihan tidak akan dilakukan.
Ini mungkin dilakukan agar pengalihan tidak mengganggu operasi situs JS dinamis yang kompleks, atau file yang diperlukan hanya diidentifikasi oleh ekstensi .js. Tetapi bagaimanapun juga, cukup menambahkan parameter acak dan spanduk iklan Rostelecom ke URL skrip pada halaman situs Anda di dalamnya.PSSeperti yang ditunjukkan oleh komentar dengan benar, solusi yang paling tepat untuk pemilik situs akan beralih ke HTTPS, terutama karena sekarang beberapa perusahaan hosting menawarkan pemasangan sertifikat gratis langsung dari panel dengan satu tombol. Bagaimanapun, besok Rostelecom dapat dengan mudah memperketat algoritma pengalihan dan solusi yang diberikan di atas akan berhenti bekerja. Dan hanya memblokir pengalihan oleh filter pada klien, seperti yang disarankan beberapa orang, hanya dapat menyelesaikan masalah klien - tidak akan ada spanduk, tetapi tidak akan ada subtitusi dari skrip yang diganti dan fungsi situs mungkin menderita.