Вирусы на сайтах: методы борьбы и профилактика заражения

[SDA]

Позволю себе немного отойти от темы раскрутки сайтов и рассказать о не менее важной для всех нас теме защиты своих компьютеров или же своих сайтов от вирусов, которые заражают компьютеры при посещении инфицированных сайтов. Несмотря на существующие на данный момент системы поиска и устранения подобных опасностей для компьютера рядового пользователя, проблема всё же остаётся актуальной, продолжая быть головной болью как владельца веб-сайта, так и рядового посетителя сайта. В этой статье я попробую вам рассказать об основных ошибках, которые допускают владельцы и посетители веб-сайтов. Эта статья будет также полезна и оптимизаторам сайтов, так как основную часть своей работы они выполняют в Интернете.
Основные проблемы, которые активно эксплуатируются создателями вирусов для заражения сайтов:

1) Среда разработки веб-сайтов (здесь с подавляющим преимуществом выигрывает операционная система Windows). Эта операционная система редко или даже вообще не обновляется, открывая возможные пути для проникновения вирусов в систему;
2) Некоторые оптимизаторы сайтов настолько считают себя компьютерными гуру, что позволяют себе отключать или даже удалять антивирусные пакеты, считая, что при появлении вируса они сами справятся с проблемой, тем самым играя в игру "Не пойман – не вор";
3) Следующая проблема – "особые" программы, т. е. такие программы, которые написаны неграмотными программистами или же программы, под которые очень часто пишутся вирусные программы. Ко второй категории программ можно отнести такие разработки как браузер Internet Explorer и FTP-клиент TotalCommander. Именно "жезл" IE и сохранение паролей в TC является одним из источников, в котором грамотно написанный сниффер может найти любую интересующую его информацию – в том числе и пару логин/пароль.
Принципы работы вируса, заражающего сайты

Как это не удивительно, но в подавляющем большинстве случаев причиной заражения собственных сайтов становится сам оптимизатор сайта или веб-мастер. Его халатность приводит к тому, что загруженный вирус (это может быть троянский конь, сниффер и другие их разновидности), который определённым образом крадёт данные об FTP-доступах на сайты веб-мастера и отсылает их создателю вируса. Тот же, в свою очередь (сам или посредством некоторых программ автоматически), через FTP-соединение обновляет индексную страницу того сайта, пароль от которого он получил, помещая на неё вирусный код, заражающий посетителей сайта таким же вирусом или же другим (на усмотрение автора вируса) при просмотре заражённого сайта. Почти всегда "первоначальный" вирус (тот, который запускается браузером на заражённом сайте) загружает свой основной код с сервера или же другой вирус.

Про вирусы, которые распространяются через всенародно любимую социальную сеть "В Контакте" следует, конечно, тоже сказать пару слов. Подобные вирусы работают в тесной связке с этой социальной сетью, т. к. их основная цель – рассылать спам как можно большему числу её пользователей. Для этого создаётся подставной сайт (обычно на бесплатном хостинге), в котором находится фрейм (об этом ниже), подгружающий вирусный код, а запустившийся вирус крадёт ваш cookies сервера социальной сети "В Контакте", в котором содержится связка логин/пароль, с целью дальнейшей рассылки спама от вашего имени вашим друзьям в этой социальной сети. Сейчас даже стало популярно создавать заражённые приложения flash, что позволяет даже заражать компьютеры в рамках самой социальной сети "В контакте".
Метод проверки сайта на наличие вируса:

Вирусы, распространяющиеся через сайты, очень часто создают фрейм, через который подгружают вирусный код с другого сайта. Реализуется подобный фрейм через HTML-тег <iframe>, в котором почти всегда содержится тег <script>, содержащий ссылку на подгрузку скрита, написанного на языке Javascript (часто сам URL в нём зашифрован). Бывает, что подобные сайты помечаются индексирующим пауком Googlebot как потенциально опасные, таким образом поисковая система Google предупреждает об опасности, если таковые сайты попадут в результаты выдачи по поисковым запросам. Помимо этой информации рекомендую ознакомиться с перечнем известных на сегодняшний день вирусов, заражающих сайты. Об этом чуть ниже.
Лечение сайта, заражённого вирусом

Для начала нужно просканировать операционную систему антивирусом с обновлённой вирусной базой и дезактивировать найденный вирус, удалить с сайта (обычно с индексного файла участки вирусного кода), затем сменить пароли на ВСЕ (!) ваши FTP-серверы.
Перечень самых распространённых вирусов, заражающих сайты:

1) Червь Mal/IFrame (дата обнаружения: 16 апреля 2007 года) - это самый распространённый вирус, который лидирует среди веб-угроз по всему Миру. Его доля встречаемости составляет более 50 % случаев;
2) Червь Mal/ObfJS (дата обнаружения: 11 апреля 2007 года) занимает вторую строчку нашего «хит-парада». Его доля более 19 %. Этот червь пытается загружать и устанавливать другие вирусные коды из Интернета на ваш компьютер (впрочем, как и наш лидер);
3) Троян Troj/DRClick (дата обнаружения: 23 ноября 2007 года) – более 14 % встречаемости. Этот вирус контролирует активность браузера, автоматически открывает некоторые веб-сайты;
4) Троян Troj/Unif (дата обнаружения 22: января 2008 года) – более 3 % встречаемости. Это опасный javascript-код, который перенаправляет браузер на сайты злоумышленника;
5) Троян Troj/Decdec (дата обнаружения 15 февраля 2007 года) – более 2 % встречаемости. Этот вирус загружает новые вирусные коды из Интернета на ваш компьютер и пытается их установить.
Рейтинг стран, на территории которых располагается больше всего заражённых вирусами страниц сайтов:

Китай (40,9 %), США (33,9 %), Россия (6,8 %), Германия (3,8 %), Украина (2,2 %), Турция (1,4 %), Великобритания (1,2 %), Польша (0,8 %), Нидерланды (0,7 %), Италия (0,6 %).
Что нужно делать, чтобы максимально обезопасить себя от вирусов на сайтах?

- Использовать альтернативные операционные системы (желательно Unix-подобные), если же нет, то следите за обновлениями операционной системы Windows и вовремя их устанавливайте (особенно следите за заплатками браузера Internet Explorer, через дыры которого проходит наибольшее число веб-вирусов);
- Использовать альтернативные браузеры последних версий (Opera, Firefox). Для пущей безопасности, например, в браузере Opera можно отключить обработку тега <iframe>;
- Использовать последнюю версию антивируса с обновлённой вирусной базой.

источник http://dataword.info/

[XP user]

Об 'устрашающем' новом модном слове clickjacking они в 31 августа 2008 г. ещё не слышали, конечно... Но даже если это вдруг действительно похоже будет на Апокалипсис, то тогда хорошо знать, что установленный NoScript в Firefox защищает (если запретить в нём плагины и адд-оны)...

Paul

[Ivaemon]

подозревается, что отключение скриптов и плагинов в браузерах — может как-то оттянуть конец пациента.

Это хорошо, но как-то двусмысленно...

[grishka]

Как защитить сайты от вирусов и аттак? Например есть таких несколько.
joomla
virtuemart
datsogallary
phpprobid