Блог о заработке в Интернет — Я креветко

Вы посещаете сайт, который выглядит хорошо и чисто. Однако, если вы держите страницу открытой, то может быть через 20-30 секунд, вас перенаправят в казино или на pharma партнерку или еще куда-то . Что происходит спросите вы?

Я называю эти задержки редиректом, и он становится все более распространенным в наши дни. Вместо инъекционных вредоносных программ, или выполнения переадресации через javascript, атакующие добавляют опцию обновления в HTTP-заголовки. Например вот таким образом:

HTTP/1.1 200 OK
Date: Tue, 29 Jan 2020 17:18:02 GMT
Server: Apache
Refresh: 25; url="httx://www.dodonet.biz"

Этот код говорит браузеру что нужно сделать перенаправление на вредоносный домен через 25 секунд. Обратите внимание, что домен и время обновления варьируется в зависимости от инфекции. Это некоторые из доменов, которые я наблюдаю для данного типа атаки, их может быть больше:

http://www.dodonet.biz

http://bluehost-dz.com/done

Заражение

Эта зараза, похоже, в основном ориентирована на устаревшие Joomla сайты (версия < 1.5.25), но, это становится все более распространенным, скорее всего, начнут использовать его против всех CMS приложений. Если вы подозреваете, что ваш сайт может быть заражен, вы можете проверить это на бесплатном сканере SiteCheck.

Вы также можете найти в своем PHP-коде подобную запись которая добавляет Header заголовок (помните, что он может быть закодирован с использованием base64 или hex):

$x0b="header"; $x0b("Refresh:"25;"url=\"httx://bluehost-dz.com/bord\"");

Этот метод также смущает многие сканеры вредоносных программ/безопасности, потому что большинство из них не будет ждать, 20+ секунд, чтобы увидеть, что происходит.

автор: Антон \\ теги: header, joomla, malware, refresh, вирус, переаправление