Зарание прошу прощения, но обращуюсь к Вам немного не по правилам, поскольку ситуация у меня не совсем стандартная. У меня сайт лежит на американском хостинге. И недавно постигла напасть - посетители стали жаловаться, что со страниц сайта к ним в компьютер ломится какой-то троян. Открываю код страниц и вижу занятный придаток, заключённый в теги , который к моему коду никакого отношения не имеет. Кому интересно, придаток могу показать.
Мой антивирусник сначала ничего не находил. Но потом, когда я открыл страницу сайта интернет-эксплорером, выдал сообщение о трояне. Троян, видимо, в мой компьютер всё же проник, т.к. после этого появился процесс svchost.exe который стал проситься на адрес http://x-victory.ru/... С помощью файрвола (Outpost) я пресёк эти попытки, и теперь он (троян) у меня сидит, так сказать, в заперти.
Но это меня сейчас не столь сильно беспокоит. Появится время, я непременно проделаю все процедуры, которые записаны у Вас в правилах, и выложу логи. Буду Вам очень благодарен, если Вы в дальнейшем взглянете на них и поможете мне избавиться от этой заразы.
Но сейчас особенно остро стоит вопрос спасения моего сайта. Ибо во-первых, не могу понять, как туда вообще проник этот червь. Во-вторых, после того, как я в ручную чищу код заражённых страниц, через день или два они снова заражаются, несмотря на то, что уже несколько раз менял пароль от ftp.
Заражёнными оказываются преимущественно индексные файлы index.html, index.php почти во всех вложенных папках. Но вот сегодня обнаружил живность в файле login.php (элемент скрипта форума phpBBgroup). На сайте стоит форум, гостевая (и то и др на php) и набор html-страниц. Больше ничего. Не могу понять, что заражает страницы - что-то извне, или изнутри аккаунта. Платформа хостинга Unix, вебсервер Apache 1.3.
Ftp-логов пока не добился от хостера.
Я понимаю, что информации я предоставляю не много для того, чтобы о чём-то предметно разговаривать. Но единственное, что могу показать сейчас, это примеры заражённых страниц с вредоносным кодом - его сразу видно. Может быть, кто-нибудь может поделиться советом, откуда на сервер может проникать зараза? Я в полном недоумении по этому поводу, ибо смена пароля ничего не дала. Пришлось пока запретить посещение сайта пользователями.
Вообще, теоретически, скрипт форума или гостевой может быть источником заражения? Я их не писал, а взял готовые скрипты, довольно известные - phpBBgroup форум и Advanced Guestbook - гостевая.
Может быть есть какие-то дополнительные меры безопасности, которые я мог бы предпринять?
Код-то я могу вычистить, но в этом нет никакого смысла, пока не странить угрозу повторного заражения.
Ещё раз прошу прощение за нарушение правил. Если надо предоставить какую-либо информацию, постараюсь сделать, что в моих силах, пишите, что именно.
Буду благодарен любому совету!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Всё-таки выполните правила - во-первых, что-то у вас живёт, во-вторых, не исключено, что это парольный вор. Зачиститься надо.
Кто у вас хостер? Насколько он надёжен сам по себе? Может ли предоставить статитику авторизованного FTP-доступа (интересуют IP-адреса - по ним можно определить, не ходил ли кто посторонний)?
Advanced Guestbook - про это у меня информации нет, посмотрите сами на сайте разработчика, нет ли информации о дырах. А в phpBB дырки находили, поэтому опять же идите к разработчику и читайте, какими болезнями больна установленная у вас версия.
Всё-таки выполните правила - во-первых, что-то у вас живёт, во-вторых, не исключено, что это парольный вор. Зачиститься надо.
Спасибо, что не прошли мимо!
Вы, конечно, правы, зачиститься надо. Приступил к выполнению правил. Поставил КИС-7, обновил базы, сделал проверку. Каспер нашёл пару троянов, которых старый антивирусник не видел:
Trojan-Proxy.Win32.Ranky.hb - этот, думаю, у меня давно жил
Trojan-Downloader.HTML.IFrame.af - а этим, скорее всего, заразился от своего же сайта.
Подозрительной активности на домашнем компе теперь вроде бы не замечаю. Однако смущает то, что я примеры заражённых индексных файлов у себя сохранил в отдельной папке. В некоторых из них каспер находит вирусы, а в некоторых - нет. Раз он не видит их в файлах, в которых они на 100% есть, то значит мог пропустить и в комп. А я разок по собственной оплошности залез на сайт Оперой со включённым выполнением ява-скриптов.
Запустил, значит AVZ. Дважды пытался выполнить "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info", как написано в правилах, но оба раза программа выдала ошибку следующего содержания (см. вложения).
Поэтому файла virusinfo_syscure.zip нету.
Сбор информации AVZ выполнил. Лог Hijack'a тоже прилагается.
Это как нибудь может помочь узнать, что с моим компом? Если не трудно, взгляните, пожалуйста.
Сообщение от pig
Кто у вас хостер? Насколько он надёжен сам по себе? Может ли предоставить статитику авторизованного FTP-доступа (интересуют IP-адреса - по ним можно определить, не ходил ли кто посторонний)?
Я бы сам с большим интересом посмотрел на статистику авторизоанного ftp-доступа. К сожалению, уже больше недели не могу добиться от хостера внятного ответа по этому вопросу. Суппорт у них тугой до невозможности. Хостер 3ix.com - это видимо дочерний бренд какого-то другого хостера. Не знаю, насколько он надёжен.
Зато нашёл много интересного в http-логах. Вы были правы, активно ломились через скрипт гостевой и форума. Пока ещё не знаю, через что именно залезли, но попыток инклюда было масса!
Вот наиболее яркие примеры:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Ну, это сейчас утечка не у меня. Кто знает, что было до того, как я каспером проверился.
Конечно, уже перевёз сайт на новый хостинг. Пока, правда, только статику html. Форум и гостевую не ставил. Нашёл в интернете информацию, что дыры в гостевой есть на 100%, а в форуме возможно есть.
Ладно, большое спасибо за участие! В следущий раз буду бдительнее.
Успехов!
Уважаемый(ая) Flexis, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: