Поиск и удаление редиректов с сайта

Григорий Земсков, компания “Ревизиум”

SeoPult.tv

Редирект – несанкционированная переадресация В большинстве случаев является следствием взлома По типу срабатывания и назначению

Мобильные Поисковые Редиректы на загрузку вредоносных и рекламных файлов

На редиректах зарабатывают деньги Воровство посетителей Мобильные партнерки Drive-by download

Как работают редиректы Учитывается набор параметров посетителя

(строка user agent, ip адрес для определения мобильной сети или страны, время захода, cookie, ссылающийся сайт или поисковая система, url страницы)

Статические Наблюдаются постоянно для фиксированного набора параметров

посетителя Представляют собой вставку в .htaccess, nginx.conf, в javascript

или скрипт .php Динамические

Воспроизводятся эпизодически, учитывают куки, время, страну посетителя

Обычно оформлены в виде модуля веб-сервера, модуля php, javascript или вставки .php

Анализ редиректа сторонними сервисами Панель вебмастера Яндекса Панель вебмастера Google Сервис zorrobot.ru/tool/yago.php (серверные редиректы) sitecheck.sucuri.net/scanner/

Серверные Через HTTP 301/302

Браузерные <script src=“http://site.ru/?id=234”></script>

Смешанные Вставка скриптами <script src=“http://site.ru/?id=234”></script>

Анализ серверных редиректов Особенности: выполняются на стороне сервера, с отключенными

javascript не воспроизводятся Для детекта: запросы с подменой User Agent и поля Referer

(инструменты Simple REST Client, Chrome UA Spoofer, HTTP Sniffer’ы / Wireshark)

Инжекты в сервер: nginx, модулях apache, динамических библиотеках

Поиск серверных редиректов в отчете AI-BOLIT

AI-BOLIT детектирует вредоносные вставки в скриптах и .htaccess Пример обнаруженного редиректа в скриптах

Поиск серверных редиректов в отчете AI-BOLIT

Пример обнаруженного редиректа в .htaccess

Анализ браузерных редиректов более сложно детектировать, загружаются с внешних сайтов представляют собой серию переадресаций,

могут быть частью виджета (часы 101widgets.com), известного сервиса (ulogin, odnaknopka) или “партнерки”

Инструменты разработчика Снифферы трафика: Wireshark,

Internet Explorer 11

Снятие HTTP сессии редиректа Подключить мобильное устройство к компьютеру в режиме

“интернет через компьютер” (internet pass-through)

Очистить куки браузера и историю посещений в мобильном браузере

Зайти в поисковую систему, набрать адрес сайта Запустить Wireshark в режиме сбора пакетов Кликнуть по странице сайта в результатах поискового запроса

Анализ мобильного или поискового редиректа Фильтр по http Начинаем анализировать с последней переадресации Используем Follow TCP Stream Выстраиваем цепочку переходов Выясняем исходный домен Ищем его в коде скриптов, конфигах или базе данных

Как правильно “лечить” редиректы

Добиваемся 100% воспроизводимости редиректа Удаляем инжект из .htaccess, .php скрипта, базы данных или .js

файла Проверяем, что редирект исчез Выполняем полное сканирование сайта на наличие

вредоносных скриптов (например с помощью AI-BOLIT) Удаляем найденные шеллы, бэкдоры, хакерские инжекты Устанавливаем защиту от взлома Настраиваем мониторинг сайта через специальные сервисы

или панель вебмастера поисковой системы

Редирект – следствие взлома Значит есть уязвимости Лечить и обновлять CMS Ставить защиту Обратиться к профессионалам

Полезные ссылки http://www.wireshark.org/ http://zorrobot.ru/tool/yago.php http://sitecheck.sucuri.net/scanner/ http://revisium.com/ai/ http://webmaster.yandex.ru/ http://www.google.com/webmasters/