[Из песочницы] Внедрение через URL: www.site.ru/?jn=xxxxxxxx
Буквально на днях столкнулся с новым (*?) вариантом спам-вируса для веб-сайтов. Гугл определяет его как «Внедрение через URL».ОписаниеНа вашем сайте появляются ссылки которых не было и быть не могло — вы, например, четко знаете структуру сайта и оригинальный вид URL, который отличается от «левых» URL. В частности, в индексе поисковиков появляются ссылки вида: www.site.ru/? jn=xxxxxxxx
Поиск и устранение Яндекс-Вебмастер пока не реагирует на них, а вот в инструментах Гугла для вебмастеров выдается предупреждение о возможном взломе сайта. Там же даны рекомендации по поиску. К сожалению они довольно общие и конкретный поиск проблемы занимает время. Антивирусы и он-лайн анализаторы сайтов — результата не дают. Только ручками.Вариант А: Код не обфусцирован Ищем в исходниках кто и как у нас пользует переменную $_GET['jn'] Далее по коду смотрим кто где гадит (например: \js\swfupload\plugins\jquery\) Вариант Б: Код обфусцирован Ищем каталог с файлами, названия которых идут после »? jn=» Ищем подозрительные исполняемые файлы типа images/c0nfv.php Проверяем дату jquery.php и сравниваем ее с датой обнаружения вируса по мониторингу инструментов вебмастеров Гугла. Встречается CMS: Joomla, WordPress, DLE Plugins: ImageZoomer, SWFupload Велика вероятность появления практически во всех плагинах, которые используют JQuery и в тех местах, где у админов ручки не дошли до настройки. Полный код (необфусцированного) зловредного кода под катом. '.join (», file ($ftdavmbe.»/$uhvuusgp»)).' Причины взлома Вариантов, скорее всего, 3: Открытый на запись каталог на сервере; Уязвимость в программном обеспечении, которое работает на сайте, как правило это бесплатные CMS (системы управления контентом). Например, если вы используете устаревшую и небезопасную версию; Взламывают сторонние плагины на сайте (работающие с JQUERY).
