hello
Воскресенье, 03 Марта 2013 23:38

Борьба с перенаправляющим вирусом.

Автор
Оцените материал
(1 Голосовать)

tre

Сегодня целый день потратила на борьбу с этим кошмаром. Началось все с легких симптомов: опера предупреждает, что сайт небезопасен.  Затем продолжилось темой на форуме и выяснением того, что при нажатии на ссылки поисковиков (любых!) человек попадает не сюда, а на какой-то левый сайт, судя по всему вредоносный. Оттого и эта блокировка.


Начала я смотреть внутри php - файлов. Выяснилось, что там в начале лежал некий подозрительный код. Начинался он со слов "eval(base64_decode". Все бы ничего, если бы он был в одном файле, но нет - он был раскидан по всему сайту, внедряясь в каждый php.

Проблема оказалась серьезнее и сложнее, чем я думала, и я стала обращаться за помощью. Сама бы я ни за что не догадалась, как справиться с этой гадостью! Но меня выручили, подав четкую инструкцию, что надо делать.

И вот теперь, когда угроза уже, судя по всему, миновала,  я тут подумала, а вдруг эта информация поможет кому-нибудь из вебмастеров. И поэтому напишу, как с этим бороться:

1) Делаем бекап больного сайта к себе на диск.

2) Открываем Notepad ++ и там нажимаем "Поиск- Найти в файлах". Там пишем этот вредоносный код и выбираем папку, где наш бекап. Там есть кнопка "Заменить в файлах". Эта программа должна автоматически заменять все эти участки на пробелы, вам не придется это делать вручную. Ждать придется довольно прилично - файлов дофига.

3) Меняем пароль для входа в ФТП

4) Проверяем все антивирусом, также рекомендуется скачать Anti-Malware и проверить им. И базы антивирусов обновить. Возможно (как в нашем случае), будут попадаться зараженные файлы внутри сайта. Если у них название левые, то удаляем, а если не левые, такие как index.php, то аккуратненько их вручную переправляем, удаляя вредоносный код, но при этом ни в коем случае не открывая в браузере, а тольков текстовом редакторе. В этом я неопытна, и попросила товарища помочь.  Если не уверены, будьте осторожны!

Кстати: Простая онлайн-проверка сайта вирусов внутри не выявила, хоть они там и были. Такие онлайн-проверки смотрят только в запускаемых и основных страницах, а вирус злоумышленики прячут куда-то вглубь сайта.

5)  Заходим по FTP на сайт. Пароль сохранять не рекомендуется, дабы избежать повторных атак. 

6) Загружаем файлы из исправленного бекапа, поставив галочку "Заменить, если отличается размер". Не забываем удалить те файлы, которые были удалены антивирусом.

После этого перенаправлений быть больше не должно, если все прошло гладко.

В заключении хочется еще раз сказать спасибо за помощь отзывчивым и понимающим людям, которые спасли сайт, а также спасибо, что вы все остаетесь здесь несмотря ни на что! И еще хочется добавить пару ласковых в адрес создателей этого вируса - "паразиты вы гадючие, чтоб вам пусто было"! Целое воскресенье коту под хвост - ну ничего, я уверена, им это аукнется! Все зло имеет свойство возвращаться!

Прочитано 15414 раз Последнее изменение Понедельник, 04 Марта 2013 00:32
AnnTenna

Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
Другие материалы в этой категории: « Перевод статьи "Slippery Slope and Perpetual Comeback" Еще одна атака. »

12 комментарии

  • Комментировать Dash Xeneder Понедельник, 04 Марта 2013 02:51 написал Dash Xeneder

    Как же он проник на сервер? Удивительно.

    Пожаловаться
  • Комментировать AnnTenna Понедельник, 04 Марта 2013 11:06 написал AnnTenna

    Судя по всему, проник через троян у меня на компе и как-то перехватил пароль для доступа к фтп, и потом, получив доступ, загрязнил сайт до основания.

    Пожаловаться
  • Комментировать Dash Xeneder Понедельник, 04 Марта 2013 13:36 написал Dash Xeneder

    Ставь адблок@ставь антивирус@проверяй. Таки.

    Пожаловаться
  • Комментировать Lekste Понедельник, 04 Марта 2013 21:25 написал Lekste

    Угу. И пароль с вирт. клавиатуры набирай.

    Пожаловаться
  • Комментировать Dash Xeneder Вторник, 05 Марта 2013 13:58 написал Dash Xeneder

    А ещё почитал, что это может быть из-за 777 прав доступа на все подряд файлы. То есть их в таком случае может изменять вроде как вообще любой. ;/

    Пожаловаться
  • Комментировать AnnTenna Вторник, 05 Марта 2013 23:47 написал AnnTenna

    Специально проверила, стоит 755. И насчет вирт-клавиатуры слышу впервые..мда, такой вот я админ >_

    Пожаловаться
  • Комментировать Skyblade Среда, 06 Марта 2013 21:29 написал Skyblade

    >>Судя по всему, проник через троян у меня на компе и как-то перехватил пароль для доступа к фтп, и потом, получив доступ, загрязнил сайт до основания.
    Слишком сложно для вируса, это уже домыслы из разряда голливудских фильмов. В PHP много дыр, очевидно, нашли и использовали одну из них: http://stackoverflow.com/questions/5922762/eval-base64-decode-php-virus

    Пожаловаться
  • Комментировать Skyblade Среда, 06 Марта 2013 21:31 написал Skyblade

    Кстати, если почитать ссылку, то можно узнать, что этот код через некоторое время появляется снова, даже если его удалить. Значит где-то на сайте есть контент, который при его загрузке исполняет вирусный скрипт.

    Пожаловаться
  • Комментировать AnnTenna Четверг, 07 Марта 2013 00:25 написал AnnTenna

    Будем надеяться, что эта гадость к нам больше не пристанет. Все-таки помимо тех файлов внутри скрипта, мы же удаляли еще какие-то левые файлы, на которых ругался антивирус. Предположительно, они этот скрипт и выполняли.. или служили роль дешифратора для тех абракадабр внутри евал.

    Не представляю, что за контент такой там может быть, но у джумлы есть уязвимости- это бесспорно. И под нее наверно специально есть свой вид вирусов.

    Пожаловаться
  • Комментировать Николай Пятница, 15 Марта 2013 23:33 написал Николай

    на ссылку приведённую в коментарии от 6-го марта у меня ругается антивирус...

    Пожаловаться
Авторизуйтесь, чтобы получить возможность оставлять комментарии

Панель входа

Добро пожаловать!

Заходите. Чувствуйте себя как дома.

Мы в контакте

(скорее всего это пойдёт на хостинг)

Опрос о новых играх.

Какого жанра хотите нашу новую игру?
 

Это из галереи!

  • fon_s_2
  • Описание: Фон для Смайликов в стадии разработки

Проект Phantasy Star... 20ty Years Past участвовал в выставке "Старкон 2015"

А знаете ли вы...

ste2

сайт другаСветлая зона и Академия РПГ Мейкераkn4kn5Плагины для RPG MakerДневник одной нэкоknНовая Реальность Топ Разработка игр