Как бороться с вредоносным редиректом на сайты *.in

Об этом подробно рассказал блог команды Безопасного Поиска Яндекса.

Не так давно были обнаружены вредоносные редиректы на сайты в зоне *.org.in. Команде Безопасного Поиска Яндекса удалось разобраться, каким образом происходит заражение.

Во всех изученных Яндексом случаях злоумышленники взламывали сервер, после чего подменяли исполняемый файл веб-сервера на заражённый. Для маскировки изменялись дата и время создания заражённого файла на соответствующие атрибуты оригинального файла. Но, как правило, оригинальный и заражённый файлы были разного размера. По данным сервиса VirusTotal.com на 27 июля 2012, эти вредоносные файлы не обнаруживаются ни одним антивирусным движком. Более того: файлы также не детектируются ни одним из известных антируткитов для *nix.

Как не допустить заражения сервера и вылечить его:

1. Пользоваться дистрибутивами веб-серверного ПО из первоисточников, по возможности собирать его из оригинального исходного кода самостоятельно.

2. После установки и обновления компонентов веб-сервера снимать с них контрольные суммы и регулярно проверять, не изменялись ли файлы. Контрольные суммы нужно снимать не только с директорий сайтов, но и с директорий, в которых лежат файлы веб-сервера.

3. Вовремя обновлять веб-серверное ПО, чтобы в нём было меньше известных уязвимостей. Закрывать неиспользуемые порты и сервисы. Использовать сложные логины и пароли. Не допускать заражения рабочих станций, которые используются для работы с веб-сервером.

Подробности заражения.