Вирус забирается ко мне на сайт и инфицирует его
Добрый день!
Несколько дней назад хакеры поздравили меня с 8 марта баннером с порнухой, с которым боролись целый день. К вечеру порнуху убрали (добрые люди сгенерировали код и баннер убрался).
Но с тех пор вирусы регулярно инфицируют мой сайт. Каждый день убираю из ФТП левые папки.
Проверилась, прочитав раздел "Правила", вложила файлы.
Хотя проверялась целый день, не уверена, что вирусов не осталось.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Добрый день!
Выполните скрипт
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\plugin.exe',''); DeleteFile('C:\Program Files\plugin.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end.
Обновите базы АВЗ.Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Обновленные логи:
- сайт находится на той же машине, с которой выложены логи?..
С уважением,
Alex Plutoff
А. ПЛАТОВ
Да
Ищите iframe и удаляйтеЧасто многие, особенно начинающие вебмастера, после выкладывания своего сайта на хостинг, при проверке своего сайта замечают переходы на URL-ы, не прописанные изначально в коде сайта, или установленный на компьютер антивирус сигнализирует о том, что на посещаемом сайте находится вирус.
При просмотре кода сайта, в основном индексной страницы обычно видно, что в код добавлена ссылка на сайт, который содержит вирус-троян вида:
iframe src=http://ссылка_на_сайт_с_троянской_программой
Также бывает, что такая ссылка закодирована, обычно в base64.
Т.е. при переходе на такую страницу автоматически подгружается троянская программа, которая пытается заразить компьютер посетителя страницы. Кто же виноват и как бороться с этой проблемой?
Обычно пользователи при возникновении такой проблемы обвиняют хостера, но в 99.9% случаев проблема возникает из-за того, что вебмастер, или тот, кто имеет пароли на ftp-доступ к хостингу заражается троянской программой, которая ищет сохраненные пароли в наиболее распространенных ftp-клиентах(чаще всего Totat Commander), mail-клиентах(чаще всего Outlook-подобные) и передает их на специальный хост в интернете. Заражение в 90% случаев проиходит через уязвимости Internet Explorer и Outlooк. Используя украденный с помощью трояна ftp-доступ, специальные программы модифицируют сайт, внося во многие страницы вредоносный код iframe, про который мы написали выше. В основном заражаются индексные страницы - index.html, index.php и т.п., но бывает, что заражаются также все файлы с определенными расширениями.
Как же бороться с этой проблемой, если она уже возникла? Прежде всего вам, и всем, кто имеет доступ к изменению вашего сайта, необходимо проверить компьютер на вирусы антивирусом с последними антивирусными базами, при чем проверить не одним антивирусом, а несколькими, от разных производителей, и только после полной чистки компьютера, сменить все пароли на хостинг - ftp-доступ, панель управления и т.д. Только после того, как вы все это проделали, необходимо вычистить с кода сайта все вредоносные iframe-ссылки, тогда они уже больше не появятся. Но, если вы не нашли вирусы, которые у вас украли пароли, то у вас очень быстро украдут новые пароли, по которым снова вставят вредоносные iframe-ссылки. Также, если вы не смените все пароли, то вам опять с помощью украденного ftp-доступа вставят вредоносные iframe-ы. Имейте это в виду!
Для того, что-бы предотвратить возникновение подобных проблем, лучше всего не использовать windows-системы для работы, тогда у вас просто не смогут украсть паролей, так как вирусы в основном расчитаны на windows-системы. Но это очень радикальный метод и очень многим не подойдет. Но очень сильно снизить вероятность возникновения проблемы можно. Для этого лучше всего вообще не использовать Internet Explorer и Outlook, как потенциально уязвимые, не сохранять пароли на ftp-доступ в программах-клиентах таких как Total Commander и прочих, своевременно обновлять Windows, так как вирусы, крадущие пароли в основном используют уязвимости операционной системы Windows.
Посмотрела исходники, нет в них ифреймов и base64
За 4 года жизни сайта такое случилось впервые.
Может, пароли поменять?
Поменяла уже. Только пока не хочу ходить по ФТП, чтобы не захватили новый пароль.
У меня вирус пробрался, как оказалось, в Мета-теги (ключевые слова, описания) - вместо того, что было написали: пту, училище, секс, порно и т.д. Появился какой-то стиль "RED".
Сейчас один сайт, вроде, в полном порядке уже.
А на втором пока с некоторых страниц идет левая ссылка, благо, выскакивает предупреждение, что там вирусы.
Надеюсь, до понедельника никто по той ссылке, где предупреждение, не пойдет, а в понедельник вызвала специально обученного человека, будем искать вирус ручками и бить его.
Скажите пожалуйста. а если вирус забрался в .htaccess и дописал в правила, чтобы со страниц шли переходы не на те страницы, которые указаны в html-страницах, а на какой-то сайт, название типа "похерру" (тот самый, который распространяет инфекцию дальше), - такая перезапись могла произойти с моего компа, или, все-таки, дело в хостерах?
У себя я так и не нашла ничего, но сегодня почистили комп, нашли пару следов от вируса, и больше ничего, полезли на сайт - я все рылась в своих страницах, а посмотреть .htaccess не приходило в голову. И нашли ту запись, которую удалили.
И вот ползает в моей голове подозрение, а не в хостере ли дело?
Э-э-э-э... был же вопрос:
И был ответ на него:Сообщение от Alex Plutoff
А теперь на горизонте хостер замаячил. Давайте уточним тогда. У вас хранятся исходники сайта. И есть сам сайт на сервере у хостера имярек. Так? Исходники заливаются на сервер через FTP и/или через некую панель управления сайтом. Так? Где исходно происходит порча - у вас или на сервере хостера?
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) faceculture, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
