Суть проблемы:
php-скрипты на сайте инфицируются iframe'ом, который запускает серию
редиректов. Куда - на страницы с эксплоитами для заражения через дыру в
браузере или для перенаправления трафика - не особо важно. В любом
случае эту нечисть надо удалять.
Механизм заражения:
заражение производится автоматически, поэтому перед чисткой файлов от
iframe'а нужно установить, как злоумышленник получил доступ к сайту.
Наиболее вероятный вариант - троянец крадет пароли, передаваемые по
сети в открытом виде, и отдает хозяину, который добавляет их в список и
скармливает программе, заражающей сайты автоматически. Хотя бывает и
так, что ломают хостинг. Описывать, как найти малварь на своем
компьютере я здесь не буду.
Удаление вирусов:
после того, как определен способ, которым воруются логин\пароль от ftp
и приняты соответствующие меры (шифрование трафика, использование
антивируса, фаервола, общение с саппортом) для защиты новых паролей,
можно переходить к удалению вирусного кода с сайта.
Сначала нужно определить, какие файлы
были заражены. Если таких очень много, то проще всего будет удалить все
файлы и перезалить их заново, но это не всегда возможно и
целесообразно. Обычно заражают пару файлов вроде index.php, index.htm,
*.js и т.д. Найти все зараженные файлы можно с помощью рекурсивого
поиска характерной подстроки по всем директориям. Для этого я использую
небольшой php-скрипт, принимающий 2 параметра - искомую строку str и
дату date, после которой были изменения.
Поиск файлов по подстроке и дате создания / изменения (132)
Если файлов немного, можно удалить
вирусный код вручную, если много - использовать готовые решения в
каких-нибудь редакторах или написать небольшой php-скрипт.
Обнаружение вирусов \ shell и т.п.: для обнаружения конкретно iframe-заражения можно попробовать использовать siteguard,
но лучше всего написать php-скрипт, который будет подключаться ко всем
php-файлам через auto_prepend_file и сверять со списком своих файлов и
их контрольных сумм, в случае чего завершаться или слать репорт на
почту \ в асю. Спецы могут дописать и восстановление. На одном из моих
сайтов как раз после взлома хостера бот-ревизор подчищал за
ботом-ифреймером
Как-нибудь потом я поделюсь своим скриптом, который все это делает.
Источник: http://itc.ua/ |