Про віруси

Якщо Ви потрапили сюди, значить Вам прийшов лист від технічної підтримки про те, що ваш обліковий запис виявлені шкідливі скрипти.

Безперервний потік скарг користувачів на зараження сайтів вірусами змусив написати це.

З чого все починається?

Користувачі Вашого сайту починають скаржитися на те, що з вашого сайту до них завантажуються трояни. Ви набираєте в рядку браузера своє улюблене творіння, і «О! Жах!» Антивірус починає лаятися на скачування трояна.

Це в кращому випадку. Якщо Вас заразили старою версією, або у Вас найновіші бази антивіруса. В іншому випадку, Ви ще довго не будете знати, що у вас троян.

Як це відбулося?

Перша думка, звичайно, буде: "Файли лежать у хостера. У файлах з'явився вірус. Хостера зламали і мені дописали вірус." і, переповнені праведного гніву, пишіть / дзвоніть в технічну підтримку хостера.

Але Ви далеко не перший, і співробітник хостингу починає Вам втомленим голосом розповідати, звідки цей вірус.

Аналіз можливого зараження привів до парадоксального результату. Індексні сторінки змінювалися після того, як проводилася автореєстрація сайтів в каталогах за допомогою програми AllSubmitter або 1PS.ru.

Самі програми, звичайно, не винні, просто в базі даних знаходилися "заражені" посилання. Проста логіка говорить про те, що в цих базах знаходиться одна або кілька посилань на сайти, з яких завантажується вірус-троян.

Це, звичайно не єдиний шлях підхопити троян, але вельми популярний.

Знову ж проста логіка показує, що реєструють в каталогах свій сайт як правило творці сайту і вже після того як сайт розміщений на хостингу. А якщо є хостинг, то і фтп аккаунт є для підключення і завантаження туди файлів сайту.

А з огляду на лінь-матінку, через яку фтп паролі зберігають в фтп-клієнті, чому б не поцупити пароль з фтп-клієнта на хостинг?

Ось так і думає хакер. І підсадив на Ваш комп'ютер вірус-троян, викрадає паролі і за допомогою їх уже підключається до сервера хостинг і дописує в сторінки шкідливий код.

Хостера звинувачувати тут нема за що. Злому не було, перебору паролів не було. Просто до фтп підключився і ввів пароль з першого разу клієнт. Ось так це виглядає з боку хостингового сервера.

Що робити?

Нижчеописане робити тільки після перевірки локального комп'ютера на віруси !!!

По-перше: Негайно змінити пароль на фтп аккаунт.

По-друге: Негайно змінити паролі на підключення до бази, поштових скриньках, логіни і паролі, які зберігалися в конфігураційних файлах (хакер міг їх вже подивитися).

По-третє: перезалити _всі_ файли з бекапу. Саме всі. Вірус могли підсадити не тільки на самому видному місці файлу, але і десь глибше заховати.

При відсутності бекапу _просіть_ хостера відновити. Саме просіть, а не вимагайте. І це повинно бути проханням, а не вимогою, бо проблема це Ваша, і хостер тільки по доброті душевній береться її вирішити.

Як зробити щоб не повторилося?

По-перше: Ставте антивіруси !!! Вони допомагають. Не завжди, але допомагають.

По-друге: Якщо виходите в інтернет з певної кількості айпі адрес, то попросіть хостера обмежити підключення по фтп вашого профілю тільки з цих айпі.

Заражають Ваші файли, в основному, з азіатських заражених комп'ютерів, тому обмеження підключення тільки з українських провайдерів вже допоможе. А точніше обмеження зведе зусилля хакерів майже на нуль.

По-третє: не зберігайте паролі в фтп-клієнтах. Вони вразливі, і поцупити звідти пароль дуже легко. Пишіть пароль на папірці і зберігайте цей папірець в сейфі (ну або під матрацом, якщо сейфа немає :)).

По-четверте:! Регулярно! перевіряйте файли свого сайту.

***

Більшість користувачів не готові платити програмістам, які напишуть сайт і будуть підтримувати його "під них". Тому дуже велику популярність набрали так звані CMS (Content management system). Найбільш відомі - Joomla, WordPress, DLE, Drupal.

Це свого роду конструктор. З готових блоків дуже швидко збирається готовий сайт, в який дуже зручно і просто додавати інформацію може навіть зовсім непідготовлений користувач.

Великого поширення цих систем викликало інтерес до них з боку хакерів. Ще б пак, адже знайшовши один раз уразливість в скрипті CMS або плагін до неї, можна буде використовувати її на тисячах однотипних сайтів.

Практично кожен день в якомусь розширенні популярному, а то і зовсім в основному "движку", знаходять вразливість, але користувачі вперто не хочуть самостійно оновлювати або не вміють (а грошей програмістам заплатити не хочуть).

І ось в не дуже прекрасний день до Вашого сайту добирається робот хакера, який знаходить, що версія у вас старенька і можна це використовувати. До Вас в акаунт, використовуючи вразливість, завантажують скрипт для шкідливих дій (спам, злом сайтів і т.д.), і після цього ми знаходимо і блокуємо аккаунт.

Раніше ми лише видаляли скрипти, але вперте небажання користувачів нам допомогти, оновивши свої сайти, змусило нас діяти жорсткіше.

Як правило, в наших листах ми даємо список шкідливих файлів, але він може бути не повним. Сканувати додатково аккаунт або просіть у техпідтримки при розблокуванні і оновленні перевірити весь аккаунт.

Просте видалення шкідливих скриптів нічого не дасть! Адже вразливість залишиться, і дуже скоро (на наступний день) Вам знову завантажать скрипти.

Тому критично важливо періодично оновлювати CMS і всі встановлені модулі, розширення і теми до останніх стабільних версій.

Якщо якийсь модуль або тема не використовується на сайті - видаліть її, це зменшить кількість потенційних вразливостей і полегшить процес оновлення CMS.

Точно також повної гарантії не дасть лише оновлення CMS і плагінів. Адже оновляться лише певні файли, а скрипт, додатково завантажений, так і залишиться в обліковому записі.

Виходячи з усього вищесказаного, резюмуємо

Недостатньо просто створити сайт на CMS і розмістити його в інтернеті. Треба !!! регулярно !!! перевіряти його антивірусами. І оновлювати (сам "движок", теми, плагіни, розширення).