Троянский вирус ворует пароли от FTP
Автор: Довбня Сергей
Вторник, 1 мая 2007 11:42
Вниманию всех владельцев сайтов!
Появилась троянская программа нового поколения. Если у Вас есть Веб-сайт значит Вы в группе риска. Не игнорируйте данное сообщение, срочно проверьте свои сайты и примите меры по повышению безопасности.
Как внедряется и работает троянская программа
При заходе браузером Internet Explorer на зараженную страницу происходит внедрение троянской программы.
Windows XP SP2, Internet Explorer пропатченный, DrWeb с актуальными базами, Outpost Firewall 4 – эти меры мне не помогли избежать заражения. Internet Explorer я не пользуюсь для серфинга, но использую AllSubmitter, который построен на ядре Internet Explorer.
Из чего вывод: данная троянская программа пока не блокируется штатными средствами и уязвимости подвержены все приложения, использующие ядро Internet Explorer.
Далее программа берет все логины и пароли из программ для работы с FTP и передает их владельцу троянской программы.
Владелец внедряет в Ваш сайт в невидимом фрейме страницу с троянской программой. В итоге все посетители Вашего сайта тоже заражаются.
Когда я впервые услышал про это на “Форуме поисковых систем”, то подумал что обманывают, и такого вируса быть не может, и уж тем более мне это не грозит. Но на днях обнаружил на своих сайтах вирусные коды.
Создалось впечатление, что код в сайты внедрялся в автоматическом режиме (неаккуратно и местами некорректно). Время внедрения 2 часа ночи, у меня в это время компьютер был выключен, значит, у владельца троянской программы уже были пароли к FTP.
Как проверить свои сайты
Пройдитесь по своим сайтам и посмотрите в код. Инфрейм обычно находится внизу страницы, под всем кодом.
Если Вы обнаружили чужеродный код, то нужно оперативно его убрать со всех страниц сайта и сменить пароли для доступа к FTP и акаунту на хостинге.
Вообще лучше соблюдать меры, чтобы предотвратить заражение.
Рекомендации по безопасности
Пользуйтесь альтернативными браузерами Opera или Mozilla Firefox, они неподвержены данной уязвимости.
Заблокируйте в файрволе скрытые фреймы. В Outpost Firewall это делается так: Параметры – Подключаемые модули – Интерактивные элементы – Свойства – Скрытые фреймы – установите переключатель в положение “Запретить”.
Не храните пароли к FTP в FTP-клиентах. При внедрении троянской программы злоумышленнику не составит никакого труда взять пароли.
Выполняйте регулярные обновления системы и антивируса. Это не защитит Вас от редких или новых вирусов, но сильно уменьшит вероятность заражения.
Регулярно делайте резервные копии сайта. Лучше, если у Вас будет ежедневный бекап с сохранением предыдущих бекапов хотя бы за неделю.
Не забывайте про Ваши сайты и регулярно проверяйте их жизнеспособность. Несколько суток простоя чревато выпадением сайта из индекса поисковых систем.
Внедренный вирус это причина, по которой Гугл выбрасывает из индекса. Для англоязычных сайтов это 100%, т.к. уже был прецедент с сайтом очень известной компании. Их сайт восстановили через месяц, но Вы же не крупная и известная компания, и процесс восстановления может затянутся.
Выводы
Совершенно очевидно, что данный вирус создали в коммерческих целях, и возможно это пока только тестирование. Целью троянской программы может быть все что угодно, и распространяется она весьма агрессивно.
Также возможно внедрение в сайты кода со ссылками на дорвеи и “плохие” сайты. Пользователь и Веб-мастер могут их вовсе не заметить, зато поисковая система учтет. Дорвеям повышение рейтинга а Вашему сайту бан.
В свете этих событий нужно ужесточить меры по безопасности. Если раньше делали простые дефейсы чтобы показать друзьям, с то сейчас коммерческая направленность проявляется все больше и четче. Есть 1000 способов использовать Ваш сайт в коммерческих целях без Вашего ведома. Будьте бдительны!
спасибо, слышала уже о таком от знакомых, но мне повезло. Я лисой (фф) пользуюсь
Спасибо за информацию, но она немножко позновата я уже попался, меня сломали, и через меня поламали сервак хостера на котором сижу в целях нероспостряниния не пишу адрес сайта. Так как могут узнать адрес хостера и его рейтинг упадет.
Та бывает. У хостеров и не такое бывает, причем в одинаковой мере и у дорогих и у дешевых.
Судя по всему уже несколько разновидностей данного троянца есть. Уж очень широка сфера применения: полученые ссылок с взломаных ресурсов, спам, слив скриптов и баз данных и еще много занимательного.
Нужно бдительность соблюдать.
Привет.
Нормальная статья, но недостаточно информации по безопасности.
Также не рекомендуется использовать новые билды ФФ и оперы, так как они еще не оттестированы.
и прочие нюансы.
Если заинтерисовало – отпиши мне на мыль, пообщаемся на эту тему…
Да пока сами разработчики не подтвердят плагины, нельзя их устанавливать.
Думаю, что дело не только в IE. Некоторые версии FF также подвержены уязвимости.
FAR особенно подвержен этой хрени, не знаю уж, с чем это связано..
Я тоже попался, но вырубило меня то, что этот троян сменил код рисунка INDEX.GIF на свой iframe bla bla bla!
Причем тут вообще хостер? Это вирус для клиентской машины. На хостеров как обычно вину сливают, даже не разобравшись в проблеме
>> Причем тут вообще хостер
Под линуксом тоже вирусы бывают. Если почитать статьи вирусмейкеров, то можно узнать много навороченых и сложных алгоритмов, и это только то, что есть в паблик.
У себя я ничего так и не нашел, хотя машину сканировал разными антивирусами с актуальными базами. Может плохо искал.
Хостера я не обвинял (думаю мне бы сказали, не первый год знакомы). Я только предположил такую возможность.
как обнаружить код чужеродного вируса и истребить его?
>>как обнаружить код чужеродного вируса и истребить его?
Вопервых установить антивирус и фейрвол. Или антивирус ругатся начнет, или фейрвол на подозрительное приложение, лезущеее в сеть.
Если не поможет, копаться в реестре, в секции автозагрузки. Хотя троян может загружатся как плагин вместе с браузером.
Почитайте тематические сайты по безопасности.
Благо-ря вашей статье починил сайт действительно вредоносный код находится в низу страници(а точнее в 2-х местах)wp-admin и в самом корне сайта ) . У меня вопрос после очистки “вредоносного кода” у меня пропала возможность заходить в админку (т.е. выдаёт пустой лист)как это дело поправить?
Stim, просто скопируйте файлы из дистрибутива WordPress (той же версии), заменив ними “сломаные”, и все должно заработать.