О вирусах

Если Вы оказались на этой странице, значит Вам пришло письмо от технической поддержки про то, что в вашем аккаунте обнаружены вредоносные скрипты.

Непрекращающийся поток жалоб пользователей на заражения сайтов вирусами заставил написать сие.

С чего все начинается?

Пользователи Вашего сайта начинают жаловаться на то, что с Вашего сайта к ним загружаются трояны. Вы набираете в строке браузера свое любимое творение, и «О! Ужас!» антивирус начинает ругаться на скачивание трояна.

Это в лучшем случае. Если Вас заразили старой версией, или у Вас самые новые базы антивируса. В противном случае, Вы еще долго не будете знать, что у вас троян.

Как это произошло?

Первая мысль, конечно, будет: "Файлы лежат у хостера. В файлах появился вирус. Хостера взломали и мне дописали вирус." и, переполненные праведного гнева, пишите/звоните в техническую поддержку хостера.

Но Вы далеко не первый, и сотрудник хостинга начинает Вам уставшим голосом рассказывать, откуда этот вирус.

Анализ возможного заражения привел к парадоксальному результату. Индексные страницы менялись после того, как проводилась авторегистрация сайтов в каталогах с помощью программы AllSubmitter или 1PS.ru.

Сами программы, конечно, не виноваты, просто в базе данных находились "зараженные" ссылки. Простая логика говорит о том, что в этих базах находится одна или несколько ссылок на сайты, с которых загружается вирус-троян.

Это, конечно не единственный путь подхватить троян, но весьма популярный.

Опять же простая логика показывает, что регистрируют в каталогах свой сайт как правило создатели сайта и уже после того как сайт размещен на хостинге. А если есть хостинг, то и фтп аккаунт есть для подключения и загрузки туда файлов сайта.

А учитывая лень-матушку, из-за которой фтп пароли сохраняют в фтп-клиенте, почему бы не своровать пароль из фтп-клиента на хостинг?

Вот так и думает хакер. И подсадив на Ваш компьютер вирус-троян, похищает пароли и с помощью их уже подключается к серверу хостинг и дописывает в странички вредоносный код.

Хостера винить тут не за что. Взлома не было, перебора паролей не было. Просто к фтп подключился и ввел пароль с первого раза клиент. Вот так это выглядит со стороны хостингового сервера.

Что делать?

Нижеописанное делать только после проверки локального компьютера на вирусы!!!

Во-первых: Немедленно сменить пароль на фтп аккаунт.

Во-вторых: Немедленно сменить пароли на подключения к базе, почтовым ящикам, логины и пароли, которые хранились в конфигурационных файлах (хакер мог их уже посмотреть).

В-третьих: Перезалить _все_ файлы из бекапа. Именно все. Вирус могли подсадить не только на самом видном месте файла, но и где-то глубже спрятать.

При отсутствии бекапа _просите_ хостера восстановить. Именно просите, а не требуйте. И это должно быть просьбой, а не требованием, ибо проблема это Ваша, и хостер только по доброте душевной берется её решить.

Как сделать чтобы не повторилось?

Во-первых: Ставьте антивирусы!!! Они помогают. Не всегда, но помогают.

Во-вторых: Если выходите в интернет с определенного количества айпи адресов, то попросите хостера ограничить подключение по фтп вашему аккаунту только с этих айпи.

Заражают Ваши файлы, в основном, с азиатских зараженных компьютеров, поэтому ограничение подключения только с украинских провайдеров уже поможет. А более точное ограничение сведет усилия хакеров почти на ноль.

В-третьих: Не сохраняйте пароли в фтп-клиентах. Они уязвимы, и своровать оттуда пароль очень легко. Пишите пароль на бумажечке и храните эту бумажечку в сейфе (ну или под матрасом, если сейфа нет :)).

В-четвертых: !Регулярно! проверяйте файлы своего сайта.

***

Большинство пользователей не готовы платить программистам, которые напишут сайт и будут поддерживать его “под них”. Поэтому очень большую популярность набрали так называемые CMS (Content management system). Наиболее известные - Joomla, WordPress, DLE, Drupal.

Это своего рода конструктор. Из готовых блоков очень быстро собирается готовый сайт, в который очень удобно и просто добавлять информацию может даже совсем неподготовленный пользователь.

Большое распространение этих систем вызвало интерес к ним со стороны хакеров. Еще бы, ведь найдя один раз уязвимость в скрипте CMS или плагине к ней, можно будет использовать её на тысячах однотипных сайтов.

Практически каждый день в каком-то расширении популярном, а то и вовсе в основном “движке”, находят уязвимость, но пользователи упорно не хотят самостоятельно обновлять или не умеют (а денег программистам заплатить не хотят).

И вот в не очень прекрасный день до Вашего сайта добирается робот хакера, который находит, что версия у вас старенькая и можно это использовать. К Вам в аккаунт, используя уязвимость, загружают скрипт для вредоносных действий (спам, взлом других сайтов и т.д.), и после этого мы находим и блокируем аккаунт.

Раньше мы лишь удаляли скрипты, но упорное нежелание пользователей нам помочь, обновив свои сайты, вынудило нас действовать жестче.

Как правило, в наших письмах мы даем список вредоносных файлов, но он может быть не полным. Сканируйте дополнительно аккаунт или просите у техподдержки при разблокировании и обновлении перепроверить весь аккаунт.

Простое удаление вредоносных скриптов ничего не даст! Ведь уязвимость останется, и очень скоро (на следующий день) Вам снова загрузят скрипты. 

Поэтому критически важно периодически обновлять CMS и все установленные модули, расширения и темы до последних стабильных версий. 

Если какой-то модуль или тема не используется на сайте - удалите ее, это уменьшит количество потенциальных уязвимостей и облегчит процесс обновления CMS.

Точно также полной гарантии не даст лишь обновление CMS и плагинов. Ведь обновятся лишь определенные файлы, а скрипт, дополнительно загруженный, так и останется в аккаунте.

Исходя из всего вышесказанного, резюмируем

Недостаточно просто создать сайт на CMS и разместить его в интернете. Надо !!!регулярно!!! проверять его антивирусами. И обновлять (сам “движок”, темы, плагины, расширения).