Как вирус-троян похитил пароли фтп-доступа к сайтам, и как мне удалось выпутаться из этой ситуацииМоя
история о том, как вирус-троян похитил пароли фтп-доступа к сайтам, которые я администрирую, и как мне удалось выпутаться из этой ситуации.
Я давно искал повод, чтобы поделиться с заинтересованными лицами этой историей. И этот конкурс пришелся как нельзя кстати.
Моя история не столько устрашающая, сколько поучительная. И еще это мучительное воспоминание для меня. Впрочем, как и для всякого другого, кто попадет в такую ситуацию.
Я на протяжении многих лет связан с интернет-технологиями. И довольно давно занимаюсь администрированием сайтов для удаленных заказчиков. Работаю с ними, естественно, через интернет, и имею под своей опекой на текущий момент несколько десятков довольно солидных проектов.
Работа эта ответственная, но непыльная. Деньги капают регулярно. Все, собственно, работает на автомате :-). Плюс оплата за непредусмотренные договором капризы сайтовладельцев. Им это выгодно, т.к. ко мне они обращаются нечасто, а держать для таких случаев специально оплачиваемого капризного тунеядца, накладно.
Потерять такой налаженный источник дохода - большой удар для меня.
И вот однажды прекрасным солнечным утром, когда, казалось, ничто не предвещало беды, я, как обычно, с чашечкой кофе в руке, удобно расположился за компьютером, чтобы проверить вверенное мне хозяйство.
Открывая по очереди все мои сайты, я отметил, что они, как-будто,
грузятся медленнее, чем обычно. При этом вид самих сайтов не изменился
Присмотревшись, я обнаружил, что в процессе загрузки в строке состояния браузера отображаются ссылки на внешние подгружаемые элементы. Причем их УРЛ-адреса содержали фрагменты типа sex, porno, anal, fuck и т.п.
Я не ханжа, но сам с такой информацией никогда не работал, да и мои заказчики работают совсем в других сферах, имеют солидный, респектабельный бизнес и соответствующий имидж. И они явно не обрадовались бы тому, что я обнаружил.
Поэтому, в первый момент был шокирован. А представив себе последствия, означавшие конец моего тихого финансового благополучия, потерю заказов и т.п., я покрылся холодным потом. Сердце билось неровно, мозг сигнализировал о крайней степени опасности... В общем, можете себе представить мое состояние.
Первое, что я сделал, - открыл исходный код одного из сайтов в браузере, чтобы убедиться, что это не плод воображения. К сожалению, это была страшная действительность - внутри моего кода содержались чужеродные фрагменты, которые подгружали невесть что с незнакомого мне адреса и тянули трафик. То же самое было и на втором и на третьем и на десятом сайтах ...
К моему облегчению, "чужие" фрагменты кода внедрились только в страницы, лежащие в корне каждого сайта. Поэтому я, мысленно поздравив себя с тем, что заботливо хранил локальные версии сайтов, немедленно обновил эти страницы по anh? и сайты заработали как новые.
Поскольку я имею привычку вставать рано, с первыми лучами солнца, да еще учитывая, что с большинством из моих заказчиков я живу со значительной разницей во времени, никто из них ничего не заметил.
Вздохнув с облегчением, я накатал гневное письмо всем хостерам, обвинив их в том, что на хостинге поселился вирус, который заставил меня проделать так много лишних движений, а главное - заставил излишне поволноваться.
Но не тут-то было. Службы техподдедржки всех хостеров отреагировали довольно быстро (я, как профессионал, работаю с лучшими!), но однотипно - "на хостинге нет никаких вирусов, ищите причину у себя".
Это был второй удар! И какой! Почти ниже пояса :-) Я пользуюсь Касперским, и регулярно обновляю базы, ежедневно сканирую компьютер. Поэтому я был спокоен и уверен в своем компьютере. Правда, был наивен - на хостинге ведь тоже не дураки - профи покруче меня, наверное!
К тому же, после 24.00 этого же дня картина полностью повторилась - на всех сайтах опять появлся тот же внедренный код, а также его вариации. Кроме того, теперь код внедрился также в страницы коневого и первого уровня. Сайты стали грузиться еще медленнее.
Я опять по-быстрому перегрузил все "зараженные" страницы, написал хостерам гневные письма, и улегся спать. Мне снились тяжелые сны.
Утром, ни свет ни заря, все началось сначала. К счастью, мои работодатели, доверившие мне свои сайты, пока ни о чем не догадывались. И так - целую неделю.
Попытка по фрагментам "вражеского" кода разобраться, как и что происходит, не увенчалась успехом. Следы вели куда-то в Чехию и там терялись.
В отчаянии, не зная что предпринять, и как остановить этот кошмар, я "перебил" Виндоуз, и по новой загрузил все подопечные сайты. Хорошо, что не пришлось обновлять информацию, которая администрировалась владельцами и хранилась в базах данных.
Но это не помогло. Регулярно, два раза в сутки (в разное время, но, в основном, вечером, после 17 часов, ночью после 24 и после 3, или утром около 5), вражеский код вновь и вновь неизменно оказывался на месте, внедряясь при этом все глубже и глубже в иерархию сайта.
Тогда, я бросился за помощью к собратьям - на форумы. Предпринял широкомасштабный поиск по Интернету, потратив на все это в общей стложности около 10 часов. Я похудел, перестал нормально спать и есть. Так больше не могло продолжаться. И я готов был сдаться, признать себя пораженным.
Уверен, что все вы знаете, что в такие-то минуты к нам и приходят откровения - отголосок былых событий, мобилизуются давно забытые знания. Та и в моем воспаленном мозгу всплыла когда-то прочитанная фраза о том, что хранить пароли фтп-доступа в фтп-клиентах небезопасно.
Надежда умирает последней. Я, воспрянув духом, немедленно удалил все пароли из Total Commandera и Windows Commandera, которыми пользуюсь. Зашел в панель управления каждого сайта и поменял все пароли на новые. После этого я снова (в который раз!!!) обновил свои веб-сайты с их локальных версий, и, обессиленный и опустошенный, упал и заснул мертвым сном...
Следующее утро вновь было солнечным и радостным. Пели птицы. Свежий ветерок развевал занавески. Вставало солнце и над рекой рассеялся утренний туман. А все мои сайты работали как часы. Порнография больше не грузилась ни тогда ни во все последующие дни. Хозяева сайтов ни о чем не узнали, враг был повержен и я снова вернулся к спокойной размеренной жизни.
Из того, что произошло я вынес поучительный урок:
* храните все пароли в надежном месте, отдельно от клиентов, которыми пользуетесь. В моем случае, вирус-троян как раз и воспользовался уязвимостью, которая как показали мои дальнейшие исследования имеется в этих клиентах, и похитил пароли, передав из через Интернет по неизвестному адресу;* не пользуйтесь бесплатным хостингом. В таком случае вы не сможете доверять службе поддержки, и всегда будете виноваты;
* обязательно храните локальные версии сайтов, тестируйте их на локальном веб-сервере, и лишь потом загружайте на хостинг. Платные хостеры предоставляют в пользование многие популярные скирпты - смс, доски, магазины. Но всегда keit иметь все это у себя и надежно хранить. Это еще один аргумент против бесплатных хостингов;* не экономьте на антивирусных программах, не ленитесь лишний раз укрепить свою антивирусную защиту. Особенно, если это касается вашего заработка.
Жлаю всем никогда не попадать в ситуацию, которую я описал выше.
Удачи!
Прикрепленные изображения