Как известно хост ajax.googleapis.com является CDN-хостингом для множества библиотек, в том числе и jQuery. И вот сегодня обращается знакомый, который говорит, что при заходе на его сайт Yandex Safe Browsing сильно ругается и рекомендует не посещать, внезапно ставший опасным сайт.
Ссылка на сайт сразу же отправилась в онлайн антивирус и в анализатор кода сайта. И вот что выяснилось.
А выяснилась простая вещь, что сам сайт не заражен. Вирусного кода нет ни в коде страниц, также на самом хосте отсутствуют модификации каких либо скриптов или подгруженных файлов. .htaccess также девственно пуст.
При этом из внешних ссылок на сайте присутствуют только ссылки на пару счетчиков и на пресловутую библиотеку jQuery хостящуюся на ajax.googleapis.com. И вот с ней то как раз и проблема.
Вот что выдал уже Google Safe Browsing про свой же собственный сайт:
Произошло во время последнего посещения этого сайта компанией Google?
На 0 из 10 страниц сайта, протестированных нами за последние 90 дней, происходила загрузка и установка вредоносного ПО без согласия пользователя. Последнее посещение этого сайта системой Google произошло 2012-03-18; последний раз подозрительный контент был обнаружен на этом сайте 2012-03-18.
Вредоносное ПО включает 44 scripting exploit(s), 29 exploit(s), 1 trojan(s).
Сетей, в которых размещался этот сайт: 8 (в том числе AS15169 (Google Internet Backbone), AS9318 (HANARO), AS23338 (DCS)).
Был ли этот сайт промежуточным звеном в дальнейшем распространении вредоносного ПО?
По всей видимости, за последние 90 дней сайт ajax.googleapis.com использовался в качестве промежуточного звена для заражения других сайтов. Число зараженных сайтов: 6 (в том числе interkambio.com/, laisla.com.co/, animetoplist.org/).
Размещалось ли на этом сайте вредоносное ПО?
Да. За последние 90 дней на этом сайте размещалось вредоносное ПО. Число зараженных им доменов: 8 (в том числе pumpthebeat.com/, trackingvinceyoung.com/, by-murat.at/)
Подробнее и со ссылками можно посмотреть здесь.
Как видно сейчас сайт уже вылечен.
Но куча сайтов с которых идет обращение к jQuery (другие библиотеки не смотрел) на ajax.googleapis.com до сих пор блокируются Яндексом.
Гуглинг, яндексинг ничего не дал о подробностях взлома или проблемы. Есть у кого-то догадки или подробности?
PS. Я знаю, что довольно часто встречается подгрузка библиотеки jQuery c ajax.googleapis.com в составе инжектированного кода, но в этом случае это не тот случай.
Автор: kinofob