ОБЪЕКТИВНОСТЬ БЕЗ КОМПРОМИССОВОбъективность Без Компромиссов В Мире Компьютеров
НОВОСТИ САЙТАТЕСТИРУЕМ ВМЕСТЕИНТЕРНЕТ и ПОВСЯКО-РАЗНОСОФТ ПРОЕКТЫНАШИ ССЫЛКИ
ГЛАВНАЯ >> ИНТЕРНЕТ и ПО >> ХОСТИНГ: Помогите, вирус на сайте!

НАЗВАНИЕ СТАТЬИ: Помогите, вирус на сайте!
АВТОРСТВО: Алексей Набережный, Анна Нартова
ДАТА НАПИСАНИЯ: Январь 2009 года
ДАТА ПЕЧАТНОЙ ПУБЛИКАЦИИ: Март 2009 года ( ISSN 0235-3520 )
ДАТА ПОСЛЕДНЕЙ РЕДАКЦИИ: Февраль 2009 года
Анна Н.Алекс Н.

СОДЕРЖАНИЕ

  • Вступление
  • Как это работает
  • Что делать?
  • В системе "1С:Битрикс"
  • Заключительный этап Format C:

    Пока информационные порталы вроде веб-сайта радиостанции "Эхо Москвы" будут иметь завирусованные разделы, владельцам домашних страниц и любительских сайтов надо быть начеку. Стоило месяц назад разозлиться на медлительность "Касперского" и отключить его совсем, как на собственном сайте появились сразу два "новомодных" вируса: Trojan-Downloader.JS.Psyme.aml и Trojan-Clicker.HTML.IFrame.ey. Повезло еще, что случайный посетитель с антивирусным пакетом сразу заметил заразу и предупредил о ней.

    "Антивирус Касперского" заблокировал доступ к сайту радиостанции "Эхо Москвы", обнаружив там сразу два вируса

    Трояны поразили рабочий ПК сквозь очередную дыру в браузере Internet Explorer, когда в нем был открыт какой-то инфицированный сайт (вероятно, http://echo.msk.ru). Алгоритм вируса, встроенного в страницу зараженного веб-проекта, записал на клиентской машине с ОС Windows XP SP3 в папку Temporary Internet Files специальный Java-код, который еще и "прописался" на автозапуск в Реестре. После очередной перезагрузки компьютера вредоносная программа просканировала содержимое менеджера паролей FTP-клиента и взяла оттуда данные авторизации для соединения. Непростая ситуация получается с паролями: поставишь простое слово - хакеры смогут его подобрать, задашь сложное сочетание символов - придется хранить его в менеджере.
    Далее вирус самостоятельно открыл FTP-сессию, получил на сервере листинг всех файлов и перезаписал ключевые файлы. Интересен критерий отбора: заражаются любые файлы, имеющие в названии слово index, например index.php, learn_course_index.php, helpindex.html и т.п. К тому же пострадали и другие важные файлы: component.php, header.php, footer.php.
    В выбранных файлах на последних строках вредоносная программа вписала лишние теги <script> и </script>, а между ними - нелепую комбинацию знаков. Это дополнение сформировало html-элемент iframe, вызывающий вредоносный код со специального сервера-рассадника. Разумеется, неискушенные посетители становятся жертвами злого умысла, и если с их компьютеров управляются личные сайты по протоколу FTP, то эпидемия распространяется дальше.

    "Касперский 2009" заблокировал доступ к популярному файлообменнику, пораженному вирусом HEUR:Trojan.Script.Iframer

    Что делать? Сложно дать исчерпывающий ответ на такой вопрос, поскольку со временем появляются все новые и новые модификации вируса: механизм заражения и функционирования постоянно совершенствуется. Не исключено, что скоро следует ожидать варианты вредоносных алгоритмов, перехватывающих нажатия клавиш на пользовательских ПК и заражающих php-движки сайтов. Но пока есть пара правил, которая выручит владельцев сайтов в большинстве случаев. Во-первых, не храните даже сложные автопароли в FTP-менеджерах - лучше приклейте стикер с комбинацией символов к монитору. Во-вторых, установите надежную антивирусную программу. Например, возьмите с журнального диска "Антивирус Касперского 2009" и пользуйтесь им абсолютно бесплатно, ведь со многими журналами раздаются лицензионные ключи.
    А что делать, если ваш сайт уже поражен? Мы поможем вам ответить на этот вопрос, поделившись своим опытом исцеления сайта BikeNews с установленной CMS "1С:Битрикс" (Content Management System - система управления содержанием) на хостинге Uploader. Перво-наперво, поменяйте пароль на FTP-доступ через панель управления хостингом. Зайдите на сервер, чтобы изучить содержание таких ключевых страниц, как index.php или index.htm. Помните, в FTP-панели зараженные файлы выделяются большим размером и свежей датой модификации. Внутри html-кода удаляйте вирусные теги <script>...</script>, они располагаются либо в самом начале файла, либо в самом конце. Но встречаются и более хитрые варианты: смотрите сразу после открывающего тега <body>. Таким образом, вы сделаете первые шаги к выздоровлению.

    Пример зараженного файла module_admin.php

    Если веб-сайт содержит сотни страниц, будет разумным заархивировать все содержимое в один файл и переписать его на локальный ПК. В системе "1С:Битрикс" есть удобная функция резервного копирования ("Настройки"-"Резервное копирование"-"Архивировать"), после ее активации архив окажется в папке /bitrix/backup - перепишите его. Натравите "Антивирус Касперского" на архивный файл. Хотя обезвредить объект не получится, "Касперский" выдаст отчет, содержащий полный список пораженных страниц. Затем идите на сайт, чтобы избавиться от вирусных тегов в определившемся круге, и не забудьте удалить созданный ранее архив. Публичная часть сайта исцелена.
    Теперь, необязательная часть работы по восстановлению ядра установленной CMS "1С:Битрикс" - расчет на вирусы будущего. Установите самые свежие обновления CMS ("Настройки"-"Обновления"-"Установить рекомендуемые обновления"). Зайдите в файл include.php из папки /bitrix/modules/main и после первой строки "<?" вставьте свою "define('ENCODE','Y');". В знакомой вам вкладке "Настройки"-"Обновления" появится новая кнопка "Загрузить исходные тексты", - нажмите ее. В результате выполненных действий  ядро продукта будет восстановлено, однако на вашем компьютере осталась клиентская часть вируса.

    Хитрая кнопка "Загрузить исходные тексты"

    Если у вас несколько ПК с FTP-подключением к сайту, придется запрашивать лог-файлы у хостинг-провайдера и вычислять зараженный компьютер по дате и времени вирусных модификаций на сервере. По пути получите много дополнительной информации о напасти.
    Как только определитесь с пораженным терминалом, приготовьтесь к заключительному этапу противостояния под кодовым названием Format C: - шутка, но очень полезная. Дело в том, что "Антивирус Касперского" легко выявляет зараженные html-страницы, но когда дело касается исполнительного кода в пораженной системе, он спасает не всегда. Придется анализировать элементы автозагрузки в настройках системы. Нажмите кнопки Windows+R, в командной строке введите msconfig, откройте вкладку "Автозагрузка" и внимательно изучите ее содержимое - там спрятан след вируса. Отключите все подозрительные автозапуски, перегрузите систему и впредь в закладке "Общие" останавливайтесь на варианте "Выборочный запуск". Вот вроде бы и все. И на этот раз пронесло!

    Элементы автозагрузки. Где спрятался вирус?
     

    >> НАВЕРХ СТРАНИЦЫ <<