Посмотрел свои два сайта на джумле, один на мамбо - на всех в конце код видаИ дальше ничего нет.Код:<!-- 1179142442 -->
Посмотрел свои два сайта на джумле, один на мамбо - на всех в конце код видаИ дальше ничего нет.Код:<!-- 1179142442 -->
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А что тогда?Сообщение от anton_dr
1.http://antimalware.ru/index.phtml?pa...wsid=120&arc=0Я отписал в саппорт Валуехост
2. http://www.viruslist.com/ru/weblog -
Копирайт -Алиса ШевченкоВ последнее время участились случаи взлома веб-серверов и размещения вредоносных скриптов на главных страницах сайтов. Внедряемый скрипт — Trojan-Downloader.JS.Psyme — использует старые уязвимости в Microsoft Internet Explorer для загрузки на машину посетителя взломанного сайта троянца-шпиона. В ссылке на вредоносный код фигурирует имя файла скрипта sp.php.
Как происходят подобные заражения? Три варианта:
«Живое» хакерское вторжение.
Большое количество однотипных случаев сводит вероятность данного сценария к минимуму.
Массивная автоматическая эксплуатация сервисов веб-серверов.
В случае с доступными мне для анализа зараженными серверами, скрипты загружались в директории веб-сервисов по протоколу FTP, причем с использованием уже существующего в системе логина.
Это означает, что хакер (кем или чем бы он ни был) имел доступ к учётным записям и паролям сервера — по крайней мере, некоторым. Быть может, хешированный при помощи не вполне актуального на сегодняшний день криптоалгоритма MD5 файл с паролями «вытаскивали» через дыру в каком-нибудь из веб-сервисов?
Однако и этот сценарий маловероятен — ввиду того, что модификация серверов производилась абсолютно «чисто»: в логах не зафиксированы ни предварительные попытки логина, ни какие-либо подозрительные манипуляции с сервисами — ничего, кроме легального входа на FTP.
Что же остается? Если отбросить более чем сомнительную идею о сниффинге, то...
Воровство паролей с машин конечных пользователей FTP веб-сервера.
Речь идет о вероятном троянце, который, будучи запущен на Windows-машине администратора сайта с сохраненными на ней данными для доступа к FTP (например, в Total Commander), воровал бы эти данные.
Количество доводов в пользу этого сценария увеличивается, если поразмыслить, почему заражаются именно те сервера, которые заражаются, не будучи связанными друг с другом никакой очевидной логикой. Ведь воруя пароли с машины пользователя, программа забирает их вместе с IP-адресом целевой машины.
Причем, эти пароли даже не обязательно куда-то отсылать — сам троянец может «на месте» инициировать FTP-сессию с использованием найденных реквизитов и загрузить на сервер вредоносные скрипты — при наличии у FTP-аккаунта достаточных на то привилегий.
По моей оценке, сейчас мы практически наверняка имеем дело со сценарием №3, в связи с чем противодействие «эпидемии взломов» сводится к стандартным антивирусным рекомендациям:
обязательно устанавливать на компьютеры администраторов сайтов все актуальные «заплатки» от Microsoft;
регулярно обновлять базы антивируса на таких компьютерах;
и снабдить их нормальным межсетевым экраном.
Плюс набившие оскомину предосторожности: не запускать незнакомые файлы или выключать по возможности автозагрузку ActiveX в браузере.
Очевидно и частное решение: избегать хранения паролей доступа в FTP-клиентах (и не только в них), но кто в наши дни сможет похвастаться достаточной для этого памятью?
Еще комменты.Как сотрудник техподдержки в Зеноне, могу дополнить статью еще парой фактов.
Заходят именно под логином-паролем пользователя на его фтп аккаунт. Судя по фтп - логам, вирус получает листинг файлов на глубину до трех директорий. Скачивает файлы index*.* и через мгновение закачивает файлы обратно.В некоторых случаях изменениям также подвергались файлы main*.* и login*.*
Вирус дописывает строчку iframe либо после тега body, либо после /html. Если файл был, скажем php и тегов не содержал даже никаких, то вирус просто дописывает фрейм в конец файла, после ?> и соответственно в большинстве случаев это срабатывает.
В последнее время вместо фрейма вирус прописывает трехетажный кусок яваскрипта, в теле которого зашифровано что-то, предположительно тоже фрейм.
Я, к своему стыду, тоже словил на работе этот вирус, открыв один из зараженных клиентских сайтов. У меня в тоталкомандере были прописаны несколько фтп-аккаунтов для моих сайтов и проектов. Через пару дней на них тоже появились вредоносные фреймы
Пароли поменял и больше не сохранял. С тех пор проблем не имею.. Но зараженные сайты попадаются все чаще и чаще, начинаю подумывать о смене первичного браузера ИЕ.. Потому что не знаю, какие еще заплатки нужно ставить, вроде все критические стоят, а ИЕ регулярно падает на некоторых сайтах и антивирус (увы, не касперский) ругается на заблокированные троянцы в системной папке.
Последний раз редактировалось Alex_Goodwin; 14.05.2007 в 15:53.
Ну это понятно, что у них вири, ведь тот сайт, на который я зашёл имнно у них хостится.. но мой таки совсем не на валуе, и появился этот код, после того, как я отписал в саппорт Валуя.. совпадение?
Уважаемый(ая) Crave, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
