Что это такое?
В последнее время получили распространение вирусы, заражающие сайты и наносящие ущерб посетителям заражённых сайтов.
Вирусы, поражающие сайты, можно разделить на две большие группы - вирусы, представляющие собой ява-скрипт, исполняющийся в браузере посетителя, и вирусы, представляющие собой скрытый встроенный фрейм, в котором содержится ссылка на вредоносный контент.
Вирусы-скрипты представляют собой элемент script, содержащий в себе функции с явно случайно сгенерированными именами, представляющими собой бессвязные наборы символов, и шифрованное тело вируса, представляющее собой сплошную строку символов длиной от сотен байт до 20-30 килобайт.
Вирусы-фреймы не так заметны в тексте страницы. Они представляют собой элемент iframe с атрибутом "скрытый" или включённый в неотображаемый блок, этот фрейм содержит ссылку на ресурс-источник вредоносного кода, самого кода на странице не содержится. Владелец такого вируса имеет возможность изменять и временно отключать вредоносную функцию.
Признаки заражения сайта могут быть такими:
Что они делают?
Вирусы, заражающие сайты могут делать самую разную работу. Самое безобидное, что могут делать эти вирусы - реклама порнографических ресурсов без нанесения ущерба компьютеру посетителя. Однако чаще эти вирусы производят установку вредоносного ПО на компьютеры посетителей. После установки это ПО может похищать пароли, рассылать спам, уничтожать данные, таким образом, наносимый ущерб может оказаться весьма значительным.
При заражении сайта вирус может повреждать страницы до невосстановимного состояния и в любом случае наносит серьёзнейший ущерб репутации сайта и его владельцев.
Откуда они берутся?
Пути заражения сайта могут быть самыми разными. Вирус может попадать на сайт как с компьютера владельца сайта, так и с любого другого компьютера.
Если компьютер, с которого осуществляется легальный доступ к сайту заражён, то вирус может воспользоваться открытой ftp-сессией для выполнения заражения. Также вирус может не заражать сайт непосредственно с компьютера владельца, а похищать сохранённые пароли, отправлять их в другое место и уже оттуда производить заражение. При этом после заражения сайта или отправки паролей вирус может самоудаляться с компьютера для затруднения обнаружения заражения.
Другой путь заражения - использование уязвимостей в скриптах системы управления контентом. В этом случае вирусу нет необходимости заражать компьютер, с которого осуществляется легальный доступ: если есть уязвимость, доступ можно получить с любого компьютера.
Обращаем Ваше внимание, что мы не несём ответственности за сохранность пароля пользователя и действия, совершенные при неправомерном использовании пароля.
Что делать?
При обнаружении вируса на сайте в первую очередь необходимо проверить все компьютеры, с которых осуществлялся легальный доступ к сайту, свежими антивирусными программами, чтобы исключить в дальнейшем этот путь заражения.
Следующее, что необходимо сделать - заменить пароль для доступа по ftp. Это можно сделать написав нам заявку в тикет или на support@crcxlab.ru (в том случае если у вас есть доступ на FTP)
Если у Вас используется система управления контентом, то надо также поменять пароль к административной части этой системы
После проверки компьютеров и смены паролей надо почистить сайт. Это можно также сделать, написав нам заявку в тикет или на support@crcxlab.ru Удаление вирусов из текста страниц полностью очищает сайт от вирусов. Если после очистки восстановить работоспособность сайта не удастся, мы можем восстановить его из резервной копии.
Если у вас есть доступ на FTP, для очистки от вирусов надо зайти на сайт через ftp и просмотреть все файлы на предмет вирусов. Вирусы-скрипты очень хорошо заметны в тексте, вирусы-фреймы заметить несколько сложнее, может понадобиться контекстный поиск. Очень удобно производить контекстный поиск с помощью встроенных ftp-клиентов FAR и Total Commander: эти программы позволяют искать на ftp точно так же, как и в локальной директории.
На сайте могут быть заражены любые файлы, отображаемые как text/html: *.htm, *.html, *.php, *.shtml, *.inc и т.д. Также могут быть заражены файлы, хранящие ява-скрипты: *.js. Никогда не могут быть заражены файлы, отображаемые как изображения: *.gif, *.png, *.jpg и т.д., если вирус попытается заразить такой файл, то он его только испортит. Если на Вашем сайте используются включаемые файлы (все системы управления контентом используют включаемые файлы), то может быть заражён не сам файл, который запрашивает посетитель, а любой файл, который он включает, что осложняет поиск вируса.
Как избежать?
Избежать заражения сайта или, как минимум, существенно снизить риск заражения вирусами можно, соблюдая простые правила безопасности:
Бережно относитесь к паролям, не передавайте пароли посторонним лицам. Если Вы по необходимости передали пароль постороннему лицу, немедленно после окончания работ измените пароль. Не реже двух раз в год меняйте пароли на ftp и к системе управления сайтом, даже если не было признаков компроментации пароля и каждый раз в случае компроментации пароля (то есть в ситуации когда пароль стал известе или мог стать известен посторонним лицам, в том числе - при увольнении работника). Никогда не вводите пароль с чужих компьютеров, особенно - с компьютеров в интернет-кафе и в других публичных местах доступа.
Установите на своих компьютерах антивирусное программное обеспечение, регулярно обновляйте его, ограничьте число компьютеров, с которых осуществляется работа с сайтом.
Ограничьте права доступа к файлам Вашего сайта: нормальный режим доступа к файлам - 644 в обозначениях unix, то есть полный доступ только для владельца, всем остальным - только чтение. Установка таких прав снизит опасность заражения через уязвимости скриптов
Храните у себя локальную копию сайта. Мы производим резервное копирование, но копии хранятся только месяц, существование более старых копий не гарантируется, а если Вы обнаружили заражение через 4-5 месяцев, то мы возможно ничем не сможем помочь. Любая существующая у нас резервная копия сайта может быть предоставлена Вам по Вашей заявке.
