Как сообщает блог Sucuri, хакеры, атакующие веб-сайты, нашли способ оставаться на скомпрометированных сайтах, не вызывая подозрений. Они указывают себя в качестве владельцев сайтов в консоли Google Search Console, ранее известной как Google Webmaster Tools. Это весьма полезный сервис, при помощи которого администраторы помимо прочего могут получать уведомления, если на сайте наблюдается подозрительная активность, и следить за позициями своего ресурса в поисковых выдачах Google. Последнее особенно важно в свете того, что снижение позиции сайта и снижение объемов трафика на сайт могут указывать на заражение ресурса: пользователи, нажавшие на подозрительную ссылку, получают предупреждение и уходят с потенциально вредоносного сайта, что провоцирует потери трафика. Эти уведомления исчезнут только в том случае, если владелец сайта решит проблему.

По правилам Google владельцами сайта могут являться несколько человек: попросить о таких правах можно в консоли Google Search Console. Это достаточно простой процесс: верификация владельца через Google Search Console происходит различными способами, но легче всего это сделать, выложив HTML-файл с уникальным кодом в корневой каталог сайта.

При компрометации какой-либо уязвимости злоумышленники могут внедрить вредоносный код, который позволит создавать файлы и сохранять их на веб-серверах, в том числе и для верификации себя как владельцев сайта.

Такие методы применяются хакерами все чаще — об этом доложила компания Sucuri, которая отметила многочисленные жалобы со стороны администраторов сайтов, обнаруживших неизвестных людей в списке верифицированных владельцев сайтов. В одном случае их было более 100.

Многие хакеры используют скомпрометированные сайты, чтобы создавать веб-страницы для перенаправления трафика на спам-страницы (такая техника получила название «хакерская поисковая оптимизация» — black hat search engine optimization, или BHSEO). Пребывание в роли владельца скомпрометированного сайта помогает хакерам отслеживать результаты своих спам-кампаний и управлять их ходом — например, продвигать спам-страницы в топ поисковой выдачи, перехватывать уведомления о том, что Google пометила страницу как скомпрометированную, и, что самое ужасное, убирать легитимных владельцев сайта из консоли.

Конечно, при добавлении новых владельцев в консоль существующая администрация получает уведомление, но, если она пропустила его по какой-либо причине, злоумышленники могут убрать легитимных пользователей из консоли, удалив их HTML-файл верификации. Если Google обнаружит, что сайт скомпрометирован, он пошлет уведомления владельцам, но злоумышленники могут перехватить это сообщение раньше. Немного «прибрав» за собой, хакеры могут запросить проверку со стороны антиспам-команды Google и, разблокировав таким образом сайт, снова приняться за старое. Если легитимные владельцы теряют место в списке администрации, они могут никогда не узнать, что с сайтом происходит что-то странное, а хакеры тем временем продолжат его эксплуатировать. Убрать незваных гостей из списка владельцев тем не менее нелегко.

Исследователи Sucuri уже заметили атаки, которые полагаются на правила замены URL в файле htaccess и динамически создают страницы. Роботы Google, ответственные за верификацию, в этом случае обнаруживают необходимый для этого HTML-файл, даже если он физически не хранится на сервере, и настоящие администраторы сайта не могут его видеть.

Представитель Sucuri Денис Синегубко заверил, что у администраторов сайтов есть несколько вариантов противостояния таким атакам. Прежде всего им нужно верифицировать себя как владельцев всех своих сайтов, даже если они не планируют активно пользоваться консолью Google. Затем необходимо установить дополнительные методы верификации, принимаемые Google и непростые для отключения хакерами, скомпрометировавшими сайт. Таким образом злоумышленники не смогут убрать легитимных владельцев из списка, просто удалив соответственные HTML-файлы. Также при получении уведомления о добавлении нового владельца в список настоящие владельцы обязательно должны подробно рассмотреть каждое из них.

«В большинстве случаев это будет обозначать, что хакеры получили полный доступ к вашему сайту и вам необходимо закрыть все уязвимости и удалить любой вредоносный контент, который могли создать хакеры», — подчеркнул Синегубко.

Категории: Мошенничество, Спам, Хакеры