[Geek]

Крупнейший почтовый сервис Yahoo! Уличен в том, что на главной странице своего портала открыто без цензуры, откручивал своим посетителям рекламные объявления, кликая по которым, компьютер пользователя становился инфицированным, при чём вся реклама шла с их внутренней рекламной сети - ads.yahoo.com. Сама угроза была обнаружена нидерландской компанией Интернет безопасности Fox-IT, которая тут же на своём блоге выложила отчёт по проведённой вирусной атаке с сайта Yahoo.

Все вредоносные рекламные объявления были в виде плавающего фрейма, загружаемого с посторонних доменов:

• blistartoncom org (192.133.137.59), registered on 1 Jan 2014
• slaptonitkons net (192.133.137.100), registered on 1 Jan 2014
• original-filmsonline com (192.133.137.63)
• funnyboobsonline org (192.133.137.247)
• yagerass org (192.133.137.56)

При клике по фрейму происходил редирект на случайные поддомены:

• boxsdiscussing net
• crisisreverse net
• limitingbeyond net
• и другие

Все эти домены хостятся на одном и том же IP-адресе 193.169.245.78 – сам IP-адрес территориально принадлежит Нидерландам. Во время самой атаки происходит нарушение работоспособности виртуальной платформы Java на ПК пользователей, после чего идёт удалённая загрузка на подверженные данному вектору атаки компьютеры вирусы, которые похищают личные данные пользователей от банковских счетов и т.д.: ZeuS, Andromeda, Dorkbot/Ngrbot, Advertisement clicking malware, Tinba/Zusy, Necurs.

Схематически вирусная атака выглядит так:

Если учесть, что первые рекламные фреймы появились в Yahoo! 30 декабря 2013 года, то по мнению самих экспертов из Fox-IT, вирусы могли инфицировать до 27 тысяч пользователей в час. Наибольшее число зараженных компьютеров пользователей приходится на такие страны

Сами представители из Yahoo!, подтвердили факт распространения вредоносной рекламы и заявили, что 3 января 2014 года угроза локализована и все могут использовать сервис без опасения.

[stomatolog]

Под раздачу малвары так или иначе попадают многие сервисы, тем более такие крупные как Yahoo. Меня вот интересует, а существуют ли вообще на рынке решения типа прокладки, которая мониторила бы вредоносную активность. Допустим, появился на форуме рекламодатель, повесил баннер и в 4 часа ночи резко стал редиректить весь форумный траф на малвару.

Конечно, юзеры могут создать топик на форуме, мол туда не ходи - снег башка попадёт. Но пока админ проснётся и снимет этот баннер, инфицирована будет добрая половина всего форума. Какие на данный момент существуют методы предотвращения подобного беспредела - кто знает?

[Geek]

stomatolog- вы о том, что на варез-форумах такое практикуют хитрые рекламодатели?
Вот о самой защите тоже бы хотел услышать от тех кто в теме?

[stomatolog]

Да это без разницы где - хоть на форуме, хоть на фотохостинге. Появился хитрожопый рекламодатель, на пару часов поставил свой чистый белый сайт, а потом разместил эксплойт.

[Alsu]

А я об этом ещё раньше этих секьюрити написала в своем топе - Yahoo стал заниматься рассылкой спама ? и сделала это ещё 12 декабря 2013, на 18 дней раньше

stomatolog - давай уже колись, сто пудова у тебя свой метод козырный имеется?

[Ребиллер]

Alsu, Как раз вспомнил о вашем случае когда прочитал заголовок. Выходит Yahoo подвергся довольно умелому нападению и махинациям. От этого точно никто не застрахован. stomatolog, как отследить - ну можно раз в час, например проверять контент сайта на который стоит ссылка на наличие какого-то контрольно блока. если он отсутствует - смс на телефон . Думаю такие сервисы должны существовать, надо искать. Принцип то несложный

[ZUBASTiK]

Сообщение от Ребиллер Думаю такие сервисы должны существовать, надо искать.

Есть такие платные и бесплатные, к примеру бесплатный сервис, который тут же оповестит вас о падении сайта - uptimerobot com

Сам сервис каждые 5 минут проверяет ваш сайт на доступность. Если
ваш ресурс окажется по каким-то причинам недоступным, сервис сразу же оповестит вас по электронной почте.

Еще приятным моментом является то, что есть возможность добавить 50 своих
сайтов. А также выбрать вариант оповещения по SMS.

[Midas]

Сообщение от Ребиллер Принцип то несложный

Вы уверены? А если он оставит сайт как был а в него добавит код? Вы представляете объемы материала? Тут надо ресурсы иметь большие, а при сопоставлении количество заказчиков-стоимость работы цена такой услуги будет ох какая не маленькая

Сообщение от ZUBASTiK Сам сервис каждые 5 минут проверяет ваш сайт на доступность

Опять же - а если я куплю рекламу на яндексе, а потом в код сайта добавлю експлойт? ваши сервисы будут бесполезны

[stomatolog]

Сообщение от Ребиллер ну можно раз в час, например проверять контент сайта на который стоит ссылка на наличие какого-то контрольно блока. если он отсутствует - смс на телефон

От редиректа спасёт. Тем более, что даже без малвары это будет нарушение правил - нельзя менять адрес рекламируемого сайта без повторого аппрува. Но ведь могут просто и на своём сайте эксплойт заюзать, а потом просто сказать, что они и сами не знали, что их типа похакали.

Сообщение от Alsu stomatolog - давай уже колись, сто пудова у тебя свой метод козырный имеется?

Свой козырный метод имеется, но хотелось бы предварительно мнения других участников выслушать.

[Midas]

Сообщение от stomatolog Но ведь могут просто и на своём сайте эксплойт заюзать, а потом просто сказать, что они и сами не знали, что их типа похакали.

О чем я и говорю. Но тут должен только детектор на что-то быть. Причем если он написан на javascript тем более внешнем - ничего не поможет

Сообщение от stomatolog Свой козырный метод имеется

или все-таки поможет?