Вірус на сайті і способи перевірки і боротьби

FTP-віруси, подібні Downloader.JS.Psyme.ct або Троян, поширюються в такий спосіб:

1. Вражають комп'ютер клієнта, з якого був доступ до вашого сайту по ftp, якщо:
   • ви зайшли на інфікований сайт небезпечним браузером (наприклад, якщо не встановлені всі останні оновлення для браузера від його виробника);
   • ви запускали програми, які вже заражені вірусами;
   • ваш комп'ютер не захищений FireWall і антивірусником;
   • і інші причини.
2. Зламує сервера (поштові, файлові), на яких у вас зберігаються паролі до фтп і інших ресурсів.
3. Зламує сервера, через які проходить маршрут до вашого сайту або зламує ваш комп'ютер, але не краде паролі, а відстежує активні ftp-з'єднання. Після того як ви завершили працювати з сайтом, він використовує ваше відкрите з'єднання і робить свої чорні справи, для цього йому навіть не потрібно знати ваші логіни і паролі, так як він дає змогу з'єднуватися на відкритому стані. Але це найрідкісніший випадок.

Зазвичай вірус відстежує логіни і паролі від FTP-з'єднань в популярних програмах FTP-клієнтів під windows або в поштових скриньках, потім підключається з даними логінами і паролями по протоколу FTP і замінює один або кілька індексних файлів на сервері, дописуючи в них свій код приблизно такого змісту:

<Iframe src = "http: //41.75 ... / traf / ..." width = 1 height = 1> </ iframe>

або такий:

<Iframe src = http: //****************.com/sp/ frameborder = 0 width = 1 height = 1 scrolling = no> </ iframe>

В результаті сайт інфікується і теж починає брати участь в поширенні вірусу.

Або вірус повністю видаляє ваш сайт з сервера.

Якщо ви напишете в супорт, то вам повідомлять, з яких IP відбувалися FTP з'єднання з вашим аккаунтом. Але легше вам не стане, тому що все одно, з яких IP заходив вірус

Деякі модифікації вірусу крадуть логіни і паролі з Outlook, The Bat та ін. Поштових клієнтів, а потім намагаються розсилати спам через авторизований SMTP.

Якщо ви виявили дані зміни на сторінках своїх сайтів, будь ласка, обов'язково перевірте свій локальний комп'ютер і сайт на наявність вірусів платними антивірусними програмами або безкоштовної Virustotal , Видаліть внесені вірусом зміни на своїх сайтах і змініть паролі для ftp-акаунтів на cервер, поштою та інших програмах, до яких міг отримати доступ фтп-вірус. Встановіть на свій сайт програму stop-ftp-virus , Яка захистить його від зловмисників, які отримали доступ до сайту по ftp.

Ось деякі рекомендації від адміністраторів, що надають хостинг:

• ставте антивіруси !!! Вони допомагають. Не завжди, але допомагають;
• якщо виходите в інтернет з певної кількості IP адрес, то попросіть хостера обмежити підключення по фтп вашого профілю тільки з цих IP;
• Ніколи не зберігати паролі в фтп-клієнтів. Вони вразливі і вкрасти звідти пароль дуже легко. Пишіть пароль на папірці і зберігайте цей папірець в сейфі (ну або під матрацом якщо сейфа немає :)).
• регулярно перевіряйте файли свого сайту.

Наша команда згодна з адміністраторами, це насправді може збільшити безпеку вашого сайту, але не завжди можливо дотримуватися цих порад, і не завжди можуть допомогти ці запобіжні заходи, так як:

• якщо проект часто модифікується і розвивається, то постійно вводити паролі дуже незручно. А якщо над проектом працюють кілька людей, то складно простежити, щоб ці паролі все зберігали на папірці;
• фільтрація IP допомагає теж частково, так як, якщо вірус не може з віддаленого комп'ютера зайти по ftp, то він без проблем зробить це з вашого комп'ютера, тобто з дозволеного IP;
• регулярно перевіряти свої сайти досить накладно: не наймати ж окремої людини, який би перевіряв сайти на вірус :)

Це ще раз даказивает, що наш софт життєво необхідний і важливий для стабільності роботи вашого сайту!

джерело: http://www.seomax.ru/vir2.htm