Вирус, внедряющийся на сайты по FTP.

Заметил у некоторых клиентов хитрый вирус.

Жизнедеятельность протекает следующим образом:
1. Каким-то образом при коннекте юзера к ФТП он считывает имеющиеся на сервере файлы, дописывает вконец (за пределами ?> или ?php>) джаваскриптовый вирус и заливает их на сервер.

2. Данный вирус в многочисленном повторении проявляется на сайте юзера, долбя дырявую защиту всех посетителей.

3. Если бы оно еще не мешало заходить в админку, так бы и остался незамеченным.

Выход: поставить самую последнюю версию антивируса и прогнать комп им либо загружаясь в ДОСе, либо в безопасном режиме винды.

После сего счастья, достать бэкап (у кого есть) и перезалить зараженный файлы. Если бэкапа нет, то руцями почистить все файлы от джаваскриптовых инъекций.

Ну и для верности поменять все пароли доступа (ФТП, Мускул, Админка).

Удачи!

Очень актуальная проблема на данный момент времени. Это даже не вирус а троян причем не всегда помогает антивирусы. Заражение компа происходит через дыры в экспорере. А дальше по разному - очень часто просто тырятся пароли из броузера ФТП клиентов и т. д. Иногда даже втуливают в сайт всякую фигню руками – когда например тырят пароль к оскомерсу.

Лечиться либо линуксом либо выпрямлением рук и покупанием лицензионной винды.

Ну этот червяк давний. У наших годик уже как периодически проскакивает.
Есть классная его модификация которая сама вливает ршелку и потом шарит если пхп от апача и на какие файлы на серваке права 777 стоят и туда тоже вписывает

этому КЛАССУ троянов уже действительно больше года.

логин и пароль к FTP тырится из сохраненных настроек популярных FTP клиентов. (FAR, TotalCommander, etc)
а также из IE.
Но с этим ка бороться идеи есть. Хуже другое.

Также тырятся логины и пароли из аутглюка, бата и др почтовых клиентов. А потом появляются попытки рассылки спама через авторизованный SMTP.

Самый веселый вариант - троян встраивается в IE, контролирует запуск java приложений, открывание java приложениями локальных файлов, и внимательно слушает
клипбоард и клавиатуру.
Internet-banking. "На мушке" около десятка самых популярных банков украины и не только.

Рекомендации - забыть об IE. Насовсем.

Как говорится - Internet Explorer очень полезная и удобная программа, с помощью которой можно зайти на сайт
http://www.mozilla.org/ и скачать оттуда свежий Firefox.

А еще лушче забыть о windows в целом. Хотя с игрушками под линуксом туговато ;-)

С рассылкой тоже можно. У нас робот сечет кто сколько отсылает. Если пошел всплеск резкий, то урезаем количество сообщений которые можно отправить и запрашиваем пользователя.

Хреново другое - пользователям хрен докажешь что это не взлом сервера, а их вина.

"
Как говорится - Internet Explorer очень полезная и удобная программа, с помощью которой можно зайти на сайт
http://www.mozilla.org/ и скачать оттуда свежий Firefox.

А еще лушче забыть о windows в целом. Хотя с игрушками под линуксом туговато ;-)"

ППКС (IMG:/smile.gif)
А игрушки и онлайновые неплохие есть.

онлайновые это в смысле airsoft.com.ua ? (IMG:/smile.gif)
кстати там и хостерам можно теоретически встретится...

В четверг обнаружил, что реселлерский сервер втыкает из-за одного сайта. Сайт вырубил при более внимательном рассмотрение увидел что весь сайт заражен таким вот вирусом. Я как всегда проявил доброту и не вырубил реселлера нафиг а просто написал ему про эту байду и зря.

В результате уже в суботу нигерийские хакеры пользуясь главным паролем к его акаунту назоводили себе сайтов и начали слать свой нигерийский сапам.

Пришлось таки его вырубать. Как он теперь будет менять пароли к 50 –100 сайтам кто всем акаунтам и почтовым ящикам я даже не представляю….

Мораль – если на вашем сайте такая ботва не медленно ставить чистую винду и менять абсолютно все пароли.

Up (IMG:/wink.gif)

Вчера чуть не матерился с клиентом.
Он мне все доказывал что хостинг-сервер дырявый.

Пришлось шедевр написать
http://besthosting.com.ua/virus-ftp.php

Делитесь как боритесь.
Малайзию на конект по фтп отрезаете ? Мне Куала-Лумпур изрядно уже поднадоел

Я вами горжусь. Статья - бальзам на израненную душу. Единственное что стоит дописать – покупать лицензионный виндовс и ставить все апдейты. А украл виндовс – убейся аб стену. (IMG:/smile.gif)

Каждый юзер который заявит что это проблема хостинга и на других хостингах такой проблемы нет получит статьей по голове (IMG:/smile.gif)

Вот Вам смешно. Только запостил тут как позвонил клиент по этой проблеме. 15 минут было потрачено по телефону чтобы его заставить помолчать минуту и убедить открыть ссылку и почитать.

Серьезно. Кто как борется?
Определенному фтп акаунту конект разрешать с определенных подсетей это костыли. Во-первых может динамика быть большая, а во-вторых есть модификация, которая конектится прямо с компа пользователя по фтп.
Временный конечно выход, но...

Прикрутка кламава к фтп не сильно помогает. Часть сигнатур не ловит.

Иммунитет на файлы,которые ломают это жестко, но кстати помогает. Большинство все равно редко меняют. Особенно если кмски.

Кто еще как борется?
Макс, Ваше "нах" как метод не рассматриваем (IMG:/smile.gif)

У кого какие идеи еще ?

Мне как раз не смешно у меня такое почти каждый день (IMG:/smile.gif) А сколько я потерял клинтов из-за "дырявого хостинга" хотя таких терять не жалко.

Бороться не побывал как идея – поставьте анализатор логов на ФТП – новая или несколько новых ИП с разных стран – гарантировано менять пароль и подымать сайт с бекапа.

Ездил на обед и думал на эту тему и пришел к выводу что в случае если машина клиента под контролем вируса/хакера то на стороне хостера бороться с этой проблемой не получиться в принципе. Максимум что можно получить это предупреждение о заражение сайта а предохраниться на 100% - нет.

Не согласен.
Я например неплохую базу сигнатур уже собрал в свой очиститель. Удобный скрипт для автомат очистки чтоб бекапы не тягать.

Прикрутить сигнатуры к кламаву, а кламав к фтп и сканировать на пропуск файлы с именами index.* login.* auth.* но как то муторно все это. Думал легче кто что придумал

Я встречался со случаями когда после вируса по сайту лазили живые люди руками. На такое фильтры не напишешь. А пойдет спам – прийдеться нах (IMG:/smile.gif)

Появились новые решения проверки и борьбы с ftp вирусами:
Защита сайта на стороне сервера от проникновения ftp-вирусов и ftp-червей.
Virustotal