Масовое обнаружение вредоносных кодов на сайтах

Юзай Gimp. Покруче фотожопы будет.:)

Digital-angels добавил 20.08.2010 в 17:47

Ну, тут ведь в основном дяди взрослые.:)

Вам хорошо говорить, а если у меня 100 сайтов, и в день полюбому на 5-10 заходишь по фтп, а сохранёные пароли очень экономят время. Что посоветуете юзать в таком случае?

На всякий случай спрошу, в Filezila тоже лучше пароли не хранить?

Проверьте руками-глазами ВСЕ директории (включая images и пр.) на наличие чужих .php файлов. Могут маскироваться в названиях типа jpg.php, gif.php или еще как-то.

Тот же совет ТС.

bober добавил 20.08.2010 в 22:28

svaxa, чаще не через Ваш комп влезают, а через серверные дыры, тем более если стоит нормальный антивир. Это хостингов проблема.

Может, все-таки это
?:)

Полностью поддерживаю! ;)

Я вообще не представляю как сейчас можно под вендой в инет выходить. это же равно самоубийству :)

Все чисто. После того как поменял пароль, код уже не добавляется.

Господа, вы не там копаете.

Кроме того, что пароль мог уйти из-за заражения вашего компьютера, есть ещё один, более вероятный и более массовый - элементарная уязвимость на сайте.

Если вам залили шелл, вам необходимо:

1) обнаружить его. Попробуйте поискать по серверу файлы, содержащие текст "wso", "shell", "eval(gzinflate", "eval(base64"

Обнаруженные файлы проанализируйте - и если файл вам незнаком, или его содержимое зашифровано, он был создан недавно, он был создан не от вашего стандартного пользователя, его права и дата модификации отличаются от файлов, которые его окружают - это с большой вероятностью шелл.

Удаляйте все такие файлы.

2) Ждите какое-то время.

Если проблема появится вновь - значит, взлом был не массовый, и вам необходимо заказывать аудит безопасности вашего сайта - вам закроют все найденные уязвимости.

Впрочем, представьте, как можно спрятать шелл, зная все вышеперечисленное? Найти его не будет представляться возможным.

Поэтому, если у вас серьёзный проект - заказываете аудит, чистите от шеллов - если проблема повторяется - то поднимайте старый бекап на чистый диск. Вы исключите возможность изменения системных файлов в худшую сторону, и удалите все глубоко запрятанные шеллы.

Удачи всем разобраться с этим!

На компе удаленно запускается вредоносный код через уязвимости системы (антивирь тут не поможет, а дырку уже залатали новым патчем). Выполнение вредоносного кода сводится к тому, что он считывает пароли в файлах менеджеров ФТП и отсылает их владельцу.

Последовательность действий к решению проблемы такова:

- Скачать антивирусную улититу AVZ. (линк можно найти на странице правил форума "вирусинфо")

- Найти уязвимости на своем компе посредством выполнения в AVZ этого скрипта (Путь в интерфейсе AVZ - Файл>>Выполнить скрипт).

- Программа в протоколе оставит прямые ссылки для скачивания обновлений.

- Установить все обновления и перегрузить комп.

- Удалить все файлы на сайте.

- Сменить пароли на FTP и НЕ сохранять их в программах для работы с FTP.

- Залить подчищенные от вредоносного кода файлы на хост. Вредоносный код находится во всех javascript и файлах с именами index, default, main. Еще лучше использовать раннюю копию сайта без этих кодов.

- Зайти в google.com/webmasters/tools/ и там кликнуть по линку, который отправляет запрос на снятие предупреждения в поиске. Если этого не сделать, то сайт может оказаться в карантине до 90 дней и не индексироваться.

rexona добавил 21.08.2010 в 15:36

http://virusinfo.info/pravila.html

Совершенно верная инструкция, даже добавить нечего. Особо подчеркну

Сам пару месяцев назад нарушил это правило с FileZilla и где-то месяц назад уже сидел и перебирал файлы (бэкап устарел). После нажатия кнопки о перепроверке сайта примерно через 12 часов гугляндексы перестали пугать людей и посещаемость нормализовалась.

Попробуйте поюзать эту эту штучку. Только пароль к ней на компе не сохраняйте.:)

И ваще, лучше не создавать геморой, соблюдая простые правила, чем потом героически бороться с последствиями.😂