Nomiki, покуда вы не поменяете ftp пароли и не найдете на компе, с которым работаете по ftp, вирусняк, и покуда вы не обновите хотя бы виртуальную машину Ява, заражения ваших сайтов будут повторяться. /ru/forum/comment/10254609
Leibnitz, у вордпресса именно со сменой паролей неизвестными, не сталкивались. А так вордпресс вообще очень уязвим, если его своевременно не обновлять, постоянно ломают сайты на ВП, заражают вирусней, дефейсы делают.. Погуглите "wordpress exploit" и ужаснитесь, что называется..
Почему причина неизвестна-то?:)
Работа вируса известна - он использует последние уязвимости в ПО java. Вот такие например: http://krebsonsecurity.com/2012/04/urgent-fix-for-zero-day-mac-java-flaw/
Заходит человек со старой явой на зараженный сайт любым браузером, вирус активируется, через дыру в яве получает доступ к файловой системе компьютера, сканирует ftp пароли, сливает их злоумышленникам. Те запускают бота, который ходит по украденным ftp учеткам, и добавляет тело эксплойта в Js файлы. И все это замыкается в замкнутый круг, сеть зараженных сайтов растет, база украденных паролей растет.
Два золотых правила - не сохранять пароли в ftp клиентах, и своевременно обновлять браузеры и их компоненты (ява, adobe flash) - спасли бы мир, если бы все следовали этим правилам.
Некоторые клиенты считают, что это хостер виноват, и его поломали. Ну в таком случае было бы гораздо больше пострадавших (у нас - меньше 1% от общего количества ftp логинов). И в списке пострадавших фигурируют дополнительные ftp логины, криптованная база которых лежит вообще в отдельной песочнице. Так что, любители пообвинять хостера во всех смертных грехах - начните, пожалуйста, с себя. Поменяйте пароли и обновите наконец, интернет эксплорер, яву и адобе флеш.
Ибо если ява пропустит трояна, не поможет даже касперский, в случае если троян свеженький. Погуглите "ftp pinch". Найдете море инструкций, что такое пинч, из каких программ он может красть пароли, как самому создать пинча, как его закриптовать, чтобы антивирусы не находили..
infin1ty, запускаясь в браузере, данный яваскрипт начинает стягивать эксплойт со стороннего сайта. Заметно по статусбару, там пишет типа "ожидается ответ от XXXXXXXXXXX.com"
Ко всем пострадавшим от массового заражения js файлов:
Если у вас есть навыки работы в
unixshell, и ваш тарифный план позволяет подключиться к unixshell, то
данный вирус можно очень быстро удалить из всех js файлов:
> find . -type f -name "*.js" | xargs -n 1 sed -i.bak 's/^var.*Array.prototype.slice.call.*arguments.*join.*try{throw.*//g'
> find . -type f -name "*.bak" -delete
Первой командой мы ищем файлы js, список файлов пропускаем через
строчный редактор sed, который удаляет строку с вирусом по заданному
куску кода, характерному для этого вируса.
Второй командой мы удаляем резервные копии js файлов, образовавшиеся в
результате работы редактора sed.
Не забудьте поменять пароли к ftp и проверить компьютеры, с которых велась работа с этими ftp логинами, на вирусы!
В связи с сетевыми проблемами был затруднен доступ к серверам, расположенным на наших площадках.
Приносим свои извинения за доставленные неудобства.
на всякий случай, вдруг кому пригодится - заблокировали на уровне nginx рефспамеров так:
if ($request_method = HEAD) { set $ddos 1 ; } valid_referers none somehost.ru; if ($invalid_referer) { set $ddos "1$ddos"; } if ($ddos = 11) { return 403; }
то есть отталкиваемся от того, что честный HEAD запрос с реферером прийти не может.
Нужно зарегистрировать сайт в google webmaster tools, после чего там же можно будет посмотреть, какие страницы гугль посчитал опасными. И на них уже смотреть в код, а так же в код всего, что на страницу подгружается (js, css).
Да, действительно, в реферерах целый зоопарк :) Как-то не обратил внимания, спасибо!
