«Идея такого заражения не нова, - сообщается в блоге Поиска. - Но сейчас оно носит массовый характер и обладает новыми особенностями, с которыми мы раньше не сталкивались. Поэтому мы решили ещe раз напомнить о существовании такой проблемы и о способах еe устранения».
По словам специалистов Яндекс.Поиска последняя волна заражений была связана в основном с сайтами, которые используют CMS Joomla, но это не значит, что сайты на базе других CMS не могут также оказаться взломанными и, как следствие, быть исключенными из результатов поиска.
Механизм заражения достаточно прост: сначала злоумышленник получает доступ к сайту, использовав одну из его уязвимостей, затем он загружает на сайт файл .php, содержащий вредоносный код, или дописывает этот код в уже существующие файлы. Вредоносный код выдаeт страницу со ссылками только роботам поисковой системы. В страницах, которые выдаются обычным пользователям, таких ссылок нет, не видны они и в исходном коде страницы, если смотреть через браузер.
Вредоносный код, который в последнее время используется, чтобы выдавать роботам страницы со спам-ссылками, с большой вероятностью содержит функции “eval”, “base64_decode”, “json_decode” или “gzuncompress”, при этом использует переменные user_agent и referer. Но такой код постоянно эволюционирует, поэтому его признаки и принципы действия могут измениться в любой момент.
Сайтам, которые уже испытали на себе все прелести взлома, в качестве профилактических мер рекомендуется:
1. Сменить все пароли доступа к сайту: от ftp, административной панели, базы данных, SSH и панели управления веб-хостингом.
2. При дальнейшей работе с сайтом не сохранять эти пароли в браузерах, ftp-клиентах, файловых менеджерах и т.д.
3. Обновить CMS до последней версии и регулярно обновлять её в будущем.
4. Использовать надежную антивирусную программу и также следить за ее регулярным обновлением.