Trismegist
Аццкий металлер
 | Фото | Цитата | В оффлайне | IP
Ух ты, забавный вирус подхватил. Вернее, банальный.  Backdoor октябрьской модификации, который незаметно живет на компе и по команде хозяина выполняет всякую подрывную деятельность навроде спама.
Пропалил я его быстро, после того, как заметил на своем сайте в конце индексной странички пару левых строк.
<div id="***" style="display:none"></div>
<iframe src="http://***" width="9" height="10" style="visibility: hidden;"></iframe>
Удаляешь их, буквально через час сами вновь появляются. Кто сайты не делает и в коде не ковыряется - хрен заметит. В чем/ком причина - вариантов немного, в итоге основная версия свелась к моему собственному недосмотру. Вирус вызнал мой пароль к фтп и передал налево, откуда простой робот через тот же фтп оптом пихает свою пару строк кода на всё, к чему у него появился доступ.
Играем в Шерлока Холмса дальше. Чищу хтмл на сервере, далее хостер (а не я сам) меняет мне пароли к фтп. Смотрим, ждем в засаде сутки. Лишние строки не появляются. Отлично. Проверяем домашний и рабочий компьютеры касперским (сволочь, допустил!). На работе чисто, на домашнем находим этот самый Backdoor. Отлично. Находим его в папках фара, через который я ходил на фтп (фанфары, теория подтверждается), а также в опере и аутлуке. На аутлук насрать, я им никогда не пользовался, почте ничего не угрожает. С оперой веселее. Повезло, что она у меня только для теста работоспособности сайтов, поэтому тоже "пронесло". А ведь самый безопасный браузер с минимум нацеленной на него вирусятины! По счастью, фаерфокс не заразился. Но все равно, зараза нешуточная. Хоть и вылечил, но пароли надо сменить.
Чешем репу: а если вылечилось не всё или криво? Копаем червячков и идём на рыбалку. Наживкой будет мой безопасный сайтик, на который заходим через фтп с домашнего компа под новым паролем. Никаких сюрпризов не появляется? Чисто. Теперь можно и остальные пароли сменить. А если бы с перепугу полез менять сразу, то... ничего и не изменилось бы, новые пароли сразу улетели бы налево.  Судя по зараженным программам, вирус передавал пароли от фтп (скрытая реклама/заражение/накрутка), почты (для спама) и... от всего что угодно (что паролилось в браузере). Вопрос лишь в том, на что нацеливался "хозяин" вируса. По счастью для меня, всякого ущерба я вроде бы избежал. =)
В связи с этим детские советы для сайтовладельцев:
1. Нет безопасных фтп-клиентов, и проблема в хранении пароля, даже зашифрованного. Вот вы и не храните. Надо зайти на свой сайт - вбивайте пароль ручками. Если память подводит, то пароль можно хранить где угодно в простом текстовом файлике и копипастить оттуда. Само собой, речь о доступе к вашему сайту, где вы владелец всех прав, а на чужие пофиг - раз там нет прав на запись у вас, то и у злоумышленника их не будет.
2. Периодически проверяйте главную страничку своего сайта: после тэга </html> не должно быть никаких левых строк, особенно скриптов или тэга <iframe>. Не проверишь - не заметишь. Впрочем, есть сайты-помощники, которые сами вас предупредят.
3. Не полагайтесь на антивирус, он иногда совсем тупой. А потом будет поздно. Но антивирусы рулят. Делайте чаще _полную_ проверку системного диска. Конечно, можно задать делать это автоматически.-----
GEO: играй знаниями. Географическая энциклопедия. |
| 2489 | Дата рег-ции 22 Авг., 2005 | Отправлено: 13:04 - 2 Дек., 2010 | Исправлено: Trismegist - 2 Дек., 2010 (13:06) | 15 |
|
|
Читать 
но потом как-то всё же вырубил. 
- найдёшь решение проблемы стопудово.
Вот: 
