Как стать автором
Обновить

Комментарии 16

было уже у 5 клиентов
пароли к фтп воровались из Тотал Командера

простенькое решение… старый оставляем, пароли в нем сносим или забиваем левые, ставим новый тотал в другую папку не в Program Files обзываем папку по другому

пока оно срабатывало

Ничего себе «новый» бич :)
Слишком много — раньше такой волны не было.
Было, на самом деле, особенно часто я замечал в ВордПрессе версии 2.5.

У меня на работе коллега даже сделал скриптик на РНР, которые пробегает по всем директориям сайта и проверяет файы на наличие внедренных «iframe»ов. Затем, если позволяют права и найденные «iframe»ы именно те, которые сеют зло, он удалял весь этот мусор (на случай если прав нет писался вариант скрипта, который соединяется с сайтом по ФТП и дальше от имени владельца делает дела. К сожелению это решение до конца не было доведено).
Убедили — изменил название топика.
да было несколько таких случаев. Ручками все зачищал.
от себя добавлю что после 2х, 3х дней сайт может получить целую кучу банов, вашу почту перестанет принимать mail.ru, rambler, yandex и тп…

как-то пришлось писать в суппорт.

хуже ситуация, которую мне также в последние времена всё чаще докладывают: браузер показывает, что сайт заражен, а на самом деле заражен сайт–сосед на хостинге. таким образом, как зараженный регистрируется айпи–адрес, с которого выходят сайты, и зараженные и нет.
в таких случаях, после проверки своего сайта мадо обращаться к хостеру и просить о переезде на другой айпи–адрес. какой будет ответ, мне предположить трудно: зависит от суппорта. могут сказать «без проблем», а могут наверно даже сказать «айпи только с выделенным сервером будет» – расскажите, кстати, у кого опыт есть.
в германии с переездом на другой айпи проблем нет (пришлось проверить самому), и купить свой личный айпи–адрес на любой вид хостинга стоит дополнительно 1–1,5 евро в месяц.
Проблема решается на хостинге, ограничением доступа к FTP только с определенных IP адресов, а владелец сайта из панели управления задает с каких IP или подсетей он хочет заходить по FTP, ну а для тех кому это не удобно есть отдельная галочка «открыть доступ со всех IP».
у меня как раз из-за такой фигни два сайта пару дней назад легло. крутились сайты на одном хостинге, а я дурак туда поставил нуленную ipb 3 beta посмотреть что да как. а так как сайты на одном хостинге то легли оба. гугл заблокировал достаточно быстро: через 2 дня после заражения. Но на мою радость, после того как все почистил, разблокировали в течение суток после запроса (может и раньше, но я спал, а потом работал, поэтому хз). никогда теперь нули ставить не буду на рабочие сайты :-D
Столкнулись с такой проблемой: тоже самое у клиентов спионерили пароли от фтп, заразили сайт. Мы все почистили, пароль поменяли. НО! Произошла какая-то мистика. По прямой ссылке на сайт заходит нормально. Если же заходить по запросу из гугла идет редирект на левые сайты. .htaccess чистый. Было ли у кого-то подобное и как с этим бороться?

PS. Когда-то давно эта тема поднималась, но сейчас никак не могу найти ответ.
Рерайты записаны в .htaccess
У меня было. Смотри .htaccess не в корневой папке сайта (htdocs например), а в папке выше — троян его прописывает туда, а апач читает все .htaccess на пути к сайту по иерархии, не важно, в DocumentRoot или нет они лежат.
Уже разобрался, но все равно спасибо. Действительно прописывает в папке выше.
можно прописать в .htaccess что-нибудь типа
php_value auto_append_file /path/to/script.php
и тогда в конце вызова каждого скрипта будет вызываться и этот файл, который помимо прочего может и вставлять iframe.

насчет проходиться скриптом и проверять на iframe-код файлики — никто не мешает закриптовать html-код и иметь в файлах что-то типа
echo base64_decode ('PGlmcmFtZSBzcmM9Im9sb2xvIiB3aWR0aD0iMTAwIiBoZWlnaHQ9IjIwMCIgc3R5bGU9ImRpc3BsYXk6bm9uZTsiPjwvaWZyYW1lPg== ');

для движков очень интересен такой вариант — модифицируем один главный файл обработчик, который инклудится постоянно и показываем ифрейм-код только уникальным посетителям (фильтрация хотя бы по куке) — то есть зашел, подхватил ифрейм, а в след раз уже ничего не увидишь. существенно можно повысить незаметность ифрейма.

ну и еще стоит отметить, что мало кто использует в открытом виде ифрейм-теги, обфускация дело нехитрое.
Главный способ заражения сайтов — это увод у администратора сайта фтп паролей от сайта.
Следовательно чтобы не заражались сайты необходимо прежде всего, минимизировать заражения персональных win32 тазиков.

Соответственно и рецепт для этого:
— не сидеть на неапгрейдящейся windows
— иметь маломальски продвинутый файрвол (не тот что встроен в windows)
— иметь маломальски продвинутый антивирус с постоянным апдейтом баз (и тут тот же касперский далеко не худший вариант)
— пользоваться свежим firefox + noscript + addblockplus
— и главное: НЕ ЗАПУСКАТЬ ВСЕ В ПОДРЯД и скаченное из сомнительных источников, НЕ КЛИКАТЬ по всем ссылкам из спама
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории