kpv
|
![[*]](./images/xmbforum/default_icon.gif) когда размещено 10.4.2007 в 20:41 |
|
|
iframe или "у меня на сайте вирусы!"
В последнее время участились случаи обращения в службу поддержки по данному вопросу.
1. Заходя на свой сайт, пользователь получает предупреждение от антивируса о том что сайт заражен. (Иногда вместо этого отображается просто белая
страница или куски кода на ней.)
2. При просмотре исходного кода страницы обнаруживает чужеродный код (чаще всего заключенный в тэг <iframe>...</iframe>).
В подавляющем большинстве случаев выясняется, что у него были украдены пароли доступа к аккаунту.
Кратко раскроем механизм того, как это происходит.
На большинство используемых уязвимостей Microsoft (а в большинстве случаев используются уязвимости именно в продуктах этого производителя ПО) уже
давно выпустил заплатки
например*,
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=78107
| Код: |
Exploit.HTML.Iframe.FileDownload
исправление выпущено компанией Microsoft 29 марта 2001 г.
|
*заплатка на данную уязвимость приведена как пример, полный список уязвимостей и заплаток ищите на сайте http://www.microsoft.com
Но не все пользователи заботятся об установке подобных исправлений.
Получая заражённое таким образом письмо или посещая сайт с таким эксплоитом Вы, сами того не ведая, загружаете на свой компьютер (и запускается он
автоматически) другой вирус, чаще всего троян, который ворует Ваши пароли.
Например такой
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=147349
Пароли на кошельки webmoney, Яндекс-деньги, ftp аккаунты Ваших сайтов и так далее оказываются вруках злоумышленника и в один прекрасный день Вы
видите на своём сайте очередной код затрояненой странички (добавляется к вашей станичке пара строчек), а у себя в кошельке видите одни нули. Вычислить
интернет-преступников очень тяжело, если сказать точнее, то практически невозможно. И если восстановить сайт достаточно просто из backup, то денег на
электронных счетах Вам, практически, больше не увидеть.
http://mastertalk.ru/topic25547.html
http://forum.drweb.com/viewtopic.php?t=4406
Пример кражи ftp-паролей из Total Commander подробно описан здесь:
http://forum.ruweb.net/viewthread.php?tid=2548
ЧТО ДЕЛАТЬ?
1. прежде всего вычистить свой компьютер от различной "заразы", например, установив антивирус со свежими
обновлениями. в критических случаях Вам придётся полностью переустановить систему, так как внедрение вирусов на Ваш компьютер может дойти до такой
степени, что лечению это не поддаётся.
2. поставить ВСЕ ЗАПЛАТКИ (сервис-паки) на свою операционную систему, убирающие уязвимости windows известные компании microsoft до
текущего времени.
3. сменить все свои пароли, в том числе и на почтовые ящики на бесплатных хостингах. пароли, полученные для доступа к нашим услугам,
можете по этим инструкциям
http://forum.ruweb.net/viewthread.php?tid=1829
4. кардинальный способ: заблокировать ftp доступ к сайту. пример для тех серверов, где proftpd:
http://www.proftpd.org/localsite/Userguide/linked/x1021.html
создайте, например, файловым менеджером директадмина
http://site-helper.ru/uploading.html#filemanager
файл .ftpaccess
с таким содержанием
| Цитата: |
<Limit>
DenyAll
</Limit>
|
если же есть полная уверенность, что с Вашей сети, например, заражение не произойдёт, а от всех остальных хотелось бы закрыть доступ, то можете
разрешить доступ с некоторго диапазона адресов, например так
| Цитата: |
<Limit ALL>
Allow 192.168.0.1/32
DenyAll
</Limit>
|
на серверах с панелью DirectAdmin можно воспользоваться этой возможностью http://forum.ruweb-nn.ru/viewtopic.php?f=2&t=7
Очень часто от клиентов, когда даём данный материал к ознакомлению, слышим примерно следующее:
| Цитата: | | быть такого не может, у меня стоит на компьютере антивирус и никаких троянов он не обнаруживает.
|
То что на Вашем компьютере не обнаружено троянов ещё не значит что их у Вас нет. Трояны в базу антивируса каким-то образом должны попасть.
У меня есть личный пример из практики - на одном из компьютеров отловили трояна, вирус обезвредили и положили в отдельную папочку до лучших времён.
Спустя почти полгода я вспомнил про него и к своему удивлению тройка антивирусов так и не обнаружила его. Отправил вирус для анализа в лабораторию
Касперского, вирус оперативно добавили в базу и только после этого он стал обращать внимание на этот файл. Вирусописатели оперативно полиморфят свои
вирусы, просто на детекторы антивирусов по сигнатуре вирус уже практически нельзя поймать. Первоначальный отлов можно произвести уже по подозрительной
деятельности, которую начинает вести троян на Вашем компьютере.
Не теряйте бдительности, утешая себя мыслью "А я не пользуюсь IE, я работаю под FireFox (Opera, Chrome и так далее, можете подставить в этот список
свой любимый браузер), там нет уязвимостей. Это не так, уязвимости периодически обнаруживают в любом ПО.
Кроме того, помимо браузеров заражение также пожет происходить например через продукты Acrobat ( Reader ) и Flash Player, которые установлены на
большинстве машин. И на них точно также необходимо накатывать патчи безопасности от производителей.
Как Не Заразиться И Как Правильно Лечиться
* материал взят из поста ЗАРАЗА на локальном форуме sanet.nnov.ru 25.10.2007
Сейчас поколения троянских программ меняются по несколько раз в сутки, причем некоторых - автоматически при выходе обновленных баз к популярным
антивирусам. Поэтому наличие антивируса, даже регулярно обновляемого, снижает риск, но совсем не гарантирует безопасности. Желательно, соблюдать
элементарные меры гигиены. А именно:
1. Иметь в системе несколько учетных записей. Для работы с Интернет и закачки подозрительного содержимого держать отдельную учетную запись без прав
администратора. Мера по надежности лучше любого антивируса.
2. Загружать исполняемый файлы только из известных и проверенных источников. Если качается какая-то новая программа - найти через Google официальный
сайт и скачать оттуда. Ни в коем разе не с торрентов, тем более внешних, даже если это свежая игрушка. Если по другому ну совсем никак - закачать,
подождать пару дней, проверить свежим антивирусом. Тоже касается кряков к программам.
3. Лучше использовать альтернативный браузер, Mozilla или Opera. Особенно любителям porno, warez, кряков и иже с ним. Ошибок в них не меньше, но
ломают их реже.
4. Обновлять антивирус перед каждым выходом в интернет и не реже чем раз в 3 часа при активном браузинге. Лучше чаще.
5. Использовать какие-либо альтернативы антивирусам. Например http://www.gentlesecurity.com/ - достаточно надежный способ защиты.
Если все-таки заразились, то лечиться следующим образом. Антивирусом с самыми последними базами (причем иметь ввиду, что Dr.Web, AVG, NOD32, McAfee
работают очень неоперативно, даже если выпускают обновления часто. Kaspersky, Symantec выпускает обновления достаточно шустро. Panda - сносно).
Убедиться, что боновление баз прошло успешно. Лучше скачать пару антивирусов, хотя бы триальных версий того же Касперского.
1. Перегрузиться в безопасный режим. Найти/удалить троянцев.
2. Перегрузиться в обычный режим. Подождать немного.
3. Перегрузиться опять в безопасный режим. Если троянцы опять есть - oops. Если не умеем чистить вручную, то форматируем диск.
4. Достаточно свежая утилитка, можно потестировать:
http://www.online-solutions.ru/osam_autorun.php
5. Для очень продвинутых пользователей - AVZ ( http://www.z-oleg.com/secur/avz/ ).
Обязательно включать AVZGuard.
6. По окончании лечения проверить c:\windows\system32\drivers\etc\hosts - удалить лишние записи.
[Отредактировано 16.10.2009 кто timru]
[Отредактировано 24.2.2010 кто kpv]
|
|
|
|
