Сообщений в теме: 7

[elli]

Если вы проведете поиск в Google по (бессмысленной на первый взгляд) комбинации "a0b4df006e02184c60dbf503e71c87ad" или "a995d2cc661fa72452472e9554b5520c", то на первых же страницах наткнетесь на оживленное обсуждение вирусных проблем на сайтах. Эта беда (сайтовый вирус, идентифицируемый в Интернете по этим комбинациям) довольно активно обсуждается в западном секторе сети вот уже около полугода. Универсального решения я пока в этих обсуждениях не нашел...

Сам столкнулся с этой проблемой в начале лета, и с тех пор возвращаюсь к ней достаточно регулярно...

И вот, вчера, подвергнувшись очередному "нашествию", задался вопросом: почему в Рунете (то есть именно в русскоязычной части сети) нет информации об этой проблеме? Потому что нет пострадавших (кроме меня, несчастного)? Или потому что об этом просто никто не знает? А может быть потому, что проблема эта в Рунете давно решена и не представляется серьезной (но я просто по своей беспросветности этого не знаю)?

Как бы там ни было, если кто-то сталкивался с чем-то подобным на своем сайте, было бы интересно обсудить...

Данная разновидность вируса ворует поисковый трафик. Внутренние симптомы: регулярное появление на сайте директории с редиректом поискового трафика на чужие ресурсы. Физическое удаление этой папки не помогает, - папка возрождается как феникс достаточно регулярно. Вирус модифицирует многие htaccess-файлы и почти все css и js файлы. Внешние симптомы: переход на сайт по результатам поискового запроса приводит к переходу на чужой ресурс.

Кто-нибудь сталкивался?

[RUnet Keeper]

Константин, как папка называется? которая появляется и где?...

[elli]

Константин, как папка называется? которая появляется и где?...

Денис, эта папка у разных пользователей может называться по-разному. В моем случае она называется "atacaju" и появляется она в директории старого "дятла" WP2 (это мой недосмотр: скрипт давно проапгрейдился и переехал в другую папку, но старую я просто забыл удалить... вот в ней он и поселился, видимо найдя какие-то "бреши"). Причем прикольно, что удаление всей ветки (исходной директории) теперь результата не дает. Она вся целиком возрождается (разумеется, только в вирусной своей части, но зато от корневого каталога).
Другие пользователи называют другие папки. Так что дело скорее всего не в названии. Кроме того, я заметил, что редиректы тоже могут быть разными от случая к случаю: иногда ЭТО редиректится на конкретный вирус, а иногда просто на чужой внешне "чистый" ресурс.
Общим признаком этого "зловреда" является изменение htacess файлов, java-скриптов и css-файлов. К последним после нескольких сотен пробелов (чтобы в глаза не бросалось) добавляется закодированный вирусный код.
Чуточку подробнее я описал это в блоге сегодня.

[Анатолий Белоусов]

Неужели и обращение к хостеру не дает никаких результатов в борьбе с этой напастью?!.

[elli]

Неужели и обращение к хостеру не дает никаких результатов в борьбе с этой напастью?!.

Последний ответ хостера меня даже немного развеселил. Цитирую (усиления - мои):

"В данный момент ваш сайта работает исправно. Для предотвращения такой ситуации вам необходимо сменить пароль.

Пользователь сам несёт ответственность за свой контент, так он является владельцем этого контента, и поэтому пользователь должен самостоятельно удалить нежелательный код из своего сайта. И для того чтобы эта ситуация не повторялась в будущем, вам необходимо..."

В общем-то, у меня нет претензий к хостеру. Я их понимаю. Они, по большому счету, и не должны вмешиваться в содержание моего сайта... Кто-то ведь и умышленно может держать на сайте редиректы...
Хотя, если пользователь жалуется... то могли бы, конечно и помочь...

Ну а советы, которые они дают в подобны ситуациях, достаточно банальны (снова цитирую):

"... вам необходимо:
- проверить все компьютеры, через которые вы заходили на хостинг, на наличие вирусов.
- включить архивирование логов в панели управления.
- сменить пароли.
- если ваш сайт на php, то вам необходимо обновить движок сайта.
- и в будущем пароли не хранить на компьютере."

Пароль от этого сайта никогда не хранился на компьютере. Поэтому этот вариант практически отпадает. Тем более, что пароль меняется с тех пор регулярно. Вероятность того, что на моем компе вот уже два месяца сидит какой-нибудь троян-кейлогер... Ну... всякое бывает, но, честно говоря, маловероятно... Ставить сниффер на мой сайт никто не станет - игра не стоит свеч.
Так что, по всей вероятности это какая-то инъекция. Вопрос только в том - почему нет других пострадавших и почему она иногда возвращается: потому что я что-то "недочистил" с первого раза, или потому что какие-то скрипты содержат бреши, используемые время от времени вирусными ботами.
Разберемся, конечно, в итоге... Но просто интересно, как дела у остальных... Может быть кто-то тоже уже давно страдает от этой напасти, но просто не знает об этом В этом, собственно, и была основная цель данной темы: призвать сайтовладельцев проверить свои htaacess-ы в голове сайта...

[RUnet Keeper]

Просмотрел на вскидку пару сайтов вроде все чисто, изменений по дате не обнаружил, в любом случае проверять все сайты постоянно невозможно...

[elli]

...изменений по дате не обнаружил, в любом случае проверять все сайты постоянно невозможно...

Дату модифицированных файлов этот вирус не меняет, кстати. Только по размеру можно ориентироваться. А новые директории возрождаются с датой первого появления.
Насчет постоянной проверки - полностью согласен, это практически невозможно... разве что нанимать "службу личной электронной безопасности"... Мои сайты пока таких доходов не приносят, чтобы идти на такие меры...
Но просто в случае, когда что-то на сайте начинает "глючить" - не помешает сравнить пару-тройку уязвимых файлов с бэкапами...
А вообще я думаю почему-то, что все это еще "цветочки"... Хотя паранойей не страдаю, конечно

Интересно наблюдать за тем, как все это развивается... Вот мой ребенок, например, этим летом столкнулся с хакером-вымогателем... Теперь дает мне бесплатные уроки по безопасности Впрочем, не буду оффтопить...

[elli]

Ну что ж... как говорится "Десять дней, полет нормальный"

За десять дней пристального мониторинга эта хрень себя никак больше не проявила.

Предварительные выводы:
1. С большой вероятностью можно сказать, что заражение было автоматическое, - какая-нибудь ботовая инъекция через форму регистрации старого скрипта рассылки. (Вывод: вовремя проводите апгрейд скриптов, не оставляйте старые папки на сервере).
2. Также с большой вероятностью можно сказать, что причиной возвращения вируса на сайт была не полная очистка папок от следов его деятельности. Видимо что-то упустил с первого раза...

Предлагаемые методы борьбы если у кого-то такая зараза вдруг обнаружится:
1. Уничтожение папки вируса (на него обычно указывает антивирусник, это не сложно)
2. Желательно, - если это технически возможно, - перенос скрипта из пораженной папки в другое место. Пораженная папка НЕ УНИЧТОЖАЕТСЯ, но в нее записывается .htaccess файл с единственной строчкой: Deny from all.
3. После этого производится тщательное перелистывание всех папок сайта с целью поиска пораженных .htaacess, css и js - файлов. Все они либо заменяются исходными из резервной копии, либо вычищаются вручную от следов деятельности вируса. Если хотя бы один останется - ждите "возвращения Будулая"...

Подробнее опишу в блоге как-нибудь, если эта напасть снова не объявится, конечно...