Вирусы в js файлах !!!

***nikom11*** · 24.03.2012 16:00

Сообщение от exBitrix

Как происходит заражение сайта вирусами?

Сайты заражаются приблизительно так:

Заходите на сайт злоумышленника или уже зараженный сайт (причем, таким сайтом может оказаться и весьма популярный ресурс — подобные случаи уже были), в который встроен код, устанавливающий на компьютер посетителя вредоносную программу — «троянского коня». Троян «живет» в компьютере незаметно для его владельца и ворует пароли доступа к его сайтам по FTP.

Получив пароль, «троянский конь» отправляет его своему владельцу. Имея пароль FTP-доступа, злоумышленник вставляет в код главной страницы сайта (или всех страниц сразу) специально сформированный HTML-код, который может как заражать вирусами компьютеры посетителей, так и перенаправлять их на другие сайты, показывать рекламные блоки и т. п.

Все это происходит в автоматическом режиме, и поэтому, даже если владелец пострадавшего сайта удалит код со своих страниц и сменит пароль на FTP, пароль будет снова украден, а вредоносный код вставлен на сайт уже на следующий день.

Превентивные действия от этих проблем

Ограничить доступ по FTP

Для этого нужно создать файл .ftpaccess и вставить туда такие строки:

<Limit ALL>
Order allow,deny
Allow from ::ffff:ваш_ip
Deny from all
</Limit>

«Ваш_ip» необходимо заменить на ваш IP-адрес. Если ваш IP — 123.45.67.89, то в результате эта строка должна принять следующий вид:

Allow from ::ffff:123.45.67.89

Если доступ необходимо открыть для нескольких IP, добавьте несколько соответствующих строк. Если у вас динамический IP-адрес, и доступ надо открыть для подсети (например, для подсети 123.45.67.*) используйте следующую форму записи:

Allow from ::ffff:123.45.67.

Созданный таким образом файл .ftpaccess нужно поместить в корневую директорию вашего аккаунта. Кроме того, если у вас есть дополнительные FTP-аккаунты, привязанные к внутренним папкам, то по такому же файлу нужно положить и в них.

Эти ограничения работают, если сервер работает на апач и все, а если есть связка с nginx этот файлик уже не читается, и ограничений по фтп нет. Работа по фтп - не лакомый пирог для хакера. Если вы не используете ssh по управлению сервера, отключите, так как возможности куда больше сделать с вашим серваком. Стоит задуматься, над отключением различных библиотек php типа курла (список в сети есть) и установки suhosin от инъекций.

***АлексТ*** · 30.12.2012 11:34

у меня тоже обнаружены вирусы в скрипте. при попытке архивировать скрипт, архиватор постоянно останавливается для очистки от вирусов

***lenova*** · 30.12.2012 12:15

Попробовала. Заархивировалось. Касперский не ругается. А зачем нужно архивировать ведь на хостинге есть автоматическое создание резервных копий?

***exBitrix*** · 30.12.2012 19:15

Алех поищите по форуму Айболита. Григорий известный специалист в этой области и знает Виартшоп. Получите полный аудит по безопасности за разумные деньги.