Яндекс ужесточает блокировку зараженных веб-сайтов

29/07/2011 15:30

Компания Яндекс опубликовала изменения в правилах предупреждения пользователей о заражённых страницах. Ужесточение правил по словам Яндекс является вынужденной мерой и связана с учащением случаев заражения веб-сайтов, предоставляющих свои поддомены в свободное пользование. Как считают специалисты Яндекс, заражение веб-сайта является основанием для блокировки всех поддоменов, поскольку в большинстве случаев страницы сайтов, расположенных на поддоменах, тоже начинают распространять вредоносный код. Чтобы более точно и оперативно предупреждать пользователей о вредоносном коде на страницах таких сайтов, теперь Яндекс считает страницы заражёнными по следующим правилам:
1. Если сайт на домене заражён – все сайты на его поддоменах автоматически считаются заражёнными.
2. Если сайт на поддомене заражён, сайты на домене и других поддоменах этого домена считаются заражёнными, только если на них тоже найдены страницы, распространяющие вредоносный код.
3. Если организованный в виде отдельных директорий хостинг, блогохостинг, хостинг файлов или автоматический редиректор сокращённых ссылок содержит заражённые объекты, то заражённым может считаться как весь сайт, так и отдельные директории или даже отдельные страницы. Что именно будет считаться заражённым, зависит от расположения объектов с вредоносным кодом, истории предыдущих заражений, общего количества страниц на сайте и других факторов.
Кроме того, если есть признаки массового заражения сайтов на поддоменах или объектов в папках, прогрессирующего заражения или «бегущей волны», то заражёнными считаются все страницы сайта во всех директориях и на всех его поддоменах. Такой подход к блокировке веб-ресурсам по мнению экспертов является необдуманным, поскольку случаев массового заражение всех поддоменов одного домена на практике встречается редко. Если говорить о сервисах, предоставляющих пользователям свои поддомены, то, как правило, причиной распространения на них вредоносного кода является слабая парольная защита учетных записей, а не уязвимости ПО, хотя и второй случай так же вероятен, но в меньшей степени. Как показываю наблюдения, чаще всего зараженными оказываются веб-сайты, размещаемые на одном веб-сервер, используемом для виртуального хостинга. Причинами такого массового заражения становится объединение двух факторов - уязвимости ПО и некорректная настройка прав доступа. Виртуальные хостинги зачастую являются открыты к такому типу уязвимостей, как выход из домашнего каталога, что по сути открывает путь для распространения вредоносного кода на все веб-сайты хостинга. Идентифицировать заражение новыми мерами Яндекс будет не в силах, так как здесь нет общих доменов. Единственным общим критерием будет являться IP-адрес, блокировка которого позволит обозначить зараженные интернет-системы. Однако такая блокировка, пока не реализована компанией Яндекс. Другая возможность определения зараженных веб-страниц - это идентификация версии зараженного ПО и блокировка всех ресурсов, где такое ПО установлено, но эту технологию в компании Яндекс, с существующим подходом блокировки веб-ресурсов, реализуют не скоро.
Источник