Как защитить пользователей мобильной версии сайта/форума от вредоносных банеров/скриптов?

Question

[Михаил]

Являюсь админом одного посещемого форума и сейчас хочу внедрять мобильную версию — в обсуждении получил ряд предупреждений/жалоб такого рода что народу с мобильников пролезает много червей/вирусов с мошенническими подписками на платные смс.



Пользователи часто жалуются на банеры возникающие при просмотре мобильных версий форумов и сайтов. Банеры ведут на фальшивые обновления Opera и другие способы мобильного мошенничества с отправкой платных СМС и тд.



Например тема atvclub.ru, forum.atvclub.ru/showthread.php?t=59667&page=2 (извиняте за ссылку, это не мой форум, просто чтобы не перепечатывать тут дословно).



Раньше с этим не сталкивался, подскажите куда смотреть почитать чтобы и юзеров проинструктировать и знать что все для безопасности сделано.



Форум на лицензионной vBulletin 4.1

Answer 1

[Евгений Борисов]

А вы уверены что все?
Проверяйте .htaccess наличие подобных инструкций
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|bada|windows\ phone) [NC] RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|yahoo!\ slurp|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]

Проверяйте все javascript которые подгружаются вашим сайтом. Возможна установка вирусятины была произведена через внедрение кода в JS файлы или банально в html коде страницы дописали <script type="text/javascript" src="http://example.com/xxxx.js"></script>

Возможна еще установка кода в php файлы, но тут уже исходники анализировать нужно.

В общем алгоритм проверки заражен ли ваш сайт такой:
— смотрим .htaccess
— смотрим какие файлы выкачиваются из сети при обращении к сайту
Если все чисто, то с вероятностью 90% ваш сайт чист. Остальные 10% приходятся на тех, у кого подгрузка вируса прописана в php файлах.

Comments

[Руслан]

А каким образом происходит заражение .httacces? Извините за оффтоп. Просто вчера столкнулся с такой проблемой на своем сайте.

[Иван Байдин]

Взламывают FTP, или заливают shell, через уязвимости скриптов.

[Михаил]

внешние скрипты jquery c cdn и вроде все
за состоянием php файлов следим — чтобы не дописали через дырки
версию vBulletin обновляю строго по мере выхода

[Евгений Борисов]

Сценариев проникновения может быть уайма. Вот еще в довесок
— подобран пароль к хостинг-панели
— подобран пароль от phpmyadmin
— Залит шелл через соседние сайты на этом же хостинг-аккаунте
— наличие тестовых отладочных скриптов типа test.php, example.php, 1.php и т.п.
— возможность скачать дамп сайта прямо из веба dump.sql.zip, sitename.tar.gz, sql.sql.zip и т.д.

Answer 2

[Артем]

Так просто не ставьте рекламу от данного рекламодателя на мобильную версию сайта. Зарегистрируйтесь например на wapstart'е и на мобильной версии используйте только их рекламу.

Comments

[Михаил]

вобще нет рекламы на мобильной версии. на десктопной морде есть AdScence только для гостей
тоесть «левая» реклама лезет именно через рекламые блоки?

[Артем]

Не знаком конкретно с AdScence, не знаю как она себя ведет для мобильных устройств. Проверить показывается ли она под мобильной версией легко: достаточно открыть код страницы мобильной версии в браузере и присутствует ли там этот код… Если есть можно попробовать убрать ее. Если же нет, то скорее всего вас действительно взломали и встроили свою рекламу. Например, лично видел вирус, который ворует пароли от Filezilla, подключается по FTP и вставляет свой

Answer 3

[Дмитрий Спирин]

А такое решение не хотите использовать?
www.tapatalk.com/