Дорвеи являются элементом “черного” SEO, с помощью которого выполняется недобросовестное поисковое продвижение коммерческих сайтов. Дорвеи перелинковывают страницы (в данном случае, японских интернет-магазинов), что позволяет увеличивать ссылочную массу сайта, вес страниц и поднимать позицию страниц в поисковой выдаче, а также увеличивать показатель PR страниц в Гугле.
Благодаря хитрому алгоритму скриптов недобросовестных SEOшников, перелинковка выполняется через цепочку взломанных сайтов (их десятки тысяч). Уязвимый сайт взламывают, загружают на него несколько вредоносных скриптов – бэкдоров, и далее на хостинг автоматически и непрерывно загружаются страницы со ссылками на такие же спам-страницы, но размещенные на других взломанных сайтах. В итоге перелинковываются все спам-страницы между собой, и каждая из них ссылается на соответствующую продуктовую страницу продвигаемого сайта. Получается своеобразный связный граф. Надо отдать должное, реализовано все профессионально и со знанием дела.
Дорвеи загружаются по нескольку страниц в секунду, поэтому за пару дней число html файлов может вырасти до 50 000. Кроме того что данные страницы замусоривают хостинг, поглощая мегабайты дискового пространства и тысячи inode, они также индексируются поисковыми системами и пагубно влияют на поисковую выдачу взломанного сайта. Удаление данных страниц из поисковой выдачи, к сожалению, очень небыстрый процесс, так как не достаточно просто удалить их с хостинга, необходимо, чтобы поисковый бот выполнил полную переиндексацию сайта, обнаружил, что страницы исчезли, а затем обновил поисковый индекс, удалив страницы из выдачи. Данный процесс зависит от скорости индексации сайта, и в некоторых случаях может занимать несколько месяцев.
Процесс лечения является достаточно типичным для сайта, взломанного в результате нецелевой атаки. обнаруживает все вредоносные скрипты, с помощью которых выполняется загрузка спам-страниц. Паттерн заражения выглядит так:
Поэтому для лечения сайт необходимо просканировать в параноидальном режиме, а затем аккуратно удалить все вредоносные скрипты (бэкдоры) по отчету, а после этого и сами спам-страницы. Откатывать сайт из бэкапа бессмысленно, так как его снова взламывают и повторно загружают дорвеи. После лечения необходимо сразу закрывать уязвимости (обновлять CMS и плагины и/или выполнять ).
Нам захотелось разобраться с механикой загрузки дорвеев на сайт. Сложность в том, что все запросы к хакерским скриптам выполняются с помощью POST запросов. При POST запросах в журнале веб-сервера можно увидеть только адрес скрипта, к которому обращались, но не его “начинку”. Поэтому мы установили расширенный мониторинг на одном из взломанных сайтов и проанализировали запросы к бэкдорам.
Запрос загрузки дорвей-страницы обычно идет к скрипту, размещенному в корневом каталоге сайта. В данном случае – cod.php.
Скрипт cod.php выполняет PHP код, который передается ему через переменную “yt”.
Далее, как в матрешке, в переменную “yt” передается еще один фрагмент PHP кода, который выполняет то, что закодировано в переменной “z0” в base64 формате.
Если расшифровать закодированный фрагмент, то это будет
Как мы видим, это снова base64 фрагмент. Расшифровываем и его.
Полная версия публикации на сайте:
