В последнее время резко выросло число зараженных серверов вредоносными редиректами в зоне *.org.in.
Как происходит заражение сайтов, как избежать и вылечить его?
Согласно информации на блоге Безопасного поиска Яндекса, злоумышленники взламывали сервер и подменяли исполняемый файл веб-сервера на зараженный, изменив дату создания зараженного файла на соответствующие атрибуты оригинала.
По данным сервиса VirusTotal.com на 27.07.2012, эти вредоносные файлы не обнаруживаются ни одним антивирусным движком.
Чтобы не допустить заражения сервера и вылечить его команда Безопасного поиска советует:
- Пользуйтесь дистрибутивами веб-серверного ПО из первоисточников, по возможности собирайте его из оригинального исходного кода самостоятельно.
- После установки и обновления компонентов веб-сервера снимайте с них контрольные суммы и регулярно проверяйте, не изменились ли ваши файлы без вашего ведома. Как это сделать – написано, например, здесь. Помните, что контрольные суммы нужно снимать не только с директорий сайтов, но и с директорий, в которых лежат файлы веб-сервера.
- Вовремя обновляйте ваше веб-серверное ПО, чтобы в нём было меньше известных уязвимостей. Тщательно закрывайте неиспользуемые порты и сервисы. Используйте сложные логины и пароли. Не допускайте заражения рабочих станций, которые используются для работы с веб-сервером. Обо всём этом написано в соответствующем разделе Яндекс\.Помощи.
- Чтобы вовремя узнавать о заражении своего сайта и быть в курсе актуальных векторов атак на веб-серверы, рабочие станции и мобильные устройства, можете воспользоваться нашим сервисом Яндекс\.Вебмастер.
Если у вас есть любой подозрительный код, конфигурационные файлы и логи, относиящиеся к данному виду заражения и не только, вы можете прислать их на анализ по адресу virus-samples@yandex-team.ru .