Iframe вирус для взлома сайта чем-то похож на вирус гепатита дельта.

Подпорченное воскресенье или как взломали наш семейный сайт

В субботу я допоздна работал над нашим семейном сайтом — вот уже в течении двух-трех недель я перебрасывал содержимое с простого html на платформу WordPress. И вот встав утром в воскресенье 25 сентября 2011 я решил кое-что подправить, пока не забыл. Ввожу адрес нашего сайта, но вместо него появляется экран с надписью: «Сервер взломан…»

на черном, траурном фоне, еще была информация что взломали его хакеры какой-то организации. Неужели сайт взломан? Я пробую еще раз, может какая-то ошибка? То же самое — черный экран… Я растерялся т.к. с таким в жизни я встречаюсь первый раз, тем более это не простые страницы html, а система CMS WordPress с php кодированием, скриптами — т.е. я могу этим пользоваться, но как все работает детально не понимаю. Правда я быстро понял, что каким-то образом изменили index.php (после того как его скачал и посмотрел).
Полазив по интернету я с удивлением узнал, что такое случается часто — в компьютер внедряется вирус типа iframe. Задача этого вируса похищать пароли из ftp клиентов. Суть в том, чтобы использовать эти же пароли чтобы заменить некоторые файлы (страницы) сайта на свои, чаще всего стартовые страницы. Меня как врача удивило то, что найти эту троянскую программу нелегко т.к. она часто видоизменяется и поэтому его часто пропускают противовирусные программы. Кроме того она не может полноценно действовать в одиночку и может быть задействованы еще вирусные программы — ну чем не вирус гепатита дельта (картика в начале статьи)?

И что же теперь делать?
Я выполнил следующие действия, как многие рекомендуют:

  1. Сразу же поменял пароль ftp доступа через c-panel
  2. Проверил базу — там изменений не нашел.
  3. Скачал на компьютер дистрибутив моей версии WordPress (в моем случае это была версия 3.2.1).
  4. Установил другой фтп клиент и через него полностью переписал на сайте папки wp-admin и wp-includes. Нашел также, что есть еще инфицированный index.php в папке темы — его тоже удалил и заменил на новый. Сайт заработал! У нас сайт на трех языках, для этого тогда был установлен плагин qTranslate. Для его корректной работы были внесены изменения в некоторых файлах темы, поэтому я просто не смог сразу все там заменить.
  5. Установил плагин TAC (Theme Authenticity Checker) и проверил темы — ничего подозрительного плагин не нашел.
  6. Сканировал полностью компьютер установленной у меня программой AVAST. И вот он нашел вирус iframe в одной из папок, принадлежащей к браузеру Firefox. А ведь сразу он его не нашел!

И вот я понял как все произошло… Ночью я искал данные по одному из репрессированных родственников в 30 годах. Вводя его ФИО в Google я выходил на русскоязычные сайты с разными архивами репрессированных. Гугль выводит ссылки согласно поиску, не всегда понятно, что ты был на таком-то сайте, т.к. ссылки на одном и том же сайте могут быть разные (разные документы). Так вот я помню что два или три раза Гугль останавливал загрузку одного и того же сайта, уведомляя, что тот сайт заражен. Ругался один раз и AVAST. Видимо где-то там FireFox и подцепил эту заразу. Далее, как уже говорил что две-три недели я переделываю сайт. Я начал интенсивно использовать Total Commander чтобы перезагрузить сотни фотографий и других файлов, при этом конечно прописал пароль доступа к FTP, проигнорировав предупреждение (которое там же и написано).

Выводы:

  • Не хранить пароли в FTP клиентах и по возможности в других клиентах.
  • После того как Вы наладили работоспособность сайта, установили его структуру итп. Скачать резервную копию всего сайта, а не только базы. Это особенно важно тем, кто изменяет файлы (т.е. они отличаются от исходных), например при работе с qTranslate.

На WordPress периодически сохранять базу на всякий случай, это можно сделать при помощи плагина WordPress Database Backup. Можно сделать так, чтобы на почту приходила резервная копия через определенное количество дней.

Ну и несколько интересных моментов из истории…
В 2006-2007гг. некоторые владельцы сайтов начали обнаруживать, что их сайты взломали, т.е. при заходе на сайт появлялись или пустые страницы или как я описал выше итп. Или они просто обнаруживали лишний код на страницах… А так как пользователи не обнаруживали у себя вирус троян, то естественно все обвинения шли в сторону хостера. В смысле, что это проблема той организации (у них вирус), которая предоставила место под сайт. Тогда было установлено, что троян устанавливает на стартовых страницах (index.html, index.php итд) код типа: iframe src=http://а тут ссылка на сайт где «сидит и ждет» вирус. Причем эти проблемы часто достигали масштабов эпидемий.

3 комментария к “Подпорченное воскресенье или как взломали наш семейный сайт”

  1. Сегодня 26 сентября 2011 20.19 на нашему
    времени хостинг провайдер прислал сообщение*:
    «Уважаемый пользователь,
    приблизительно в 4 часа утра наши системные администраторы обнаружили атаку на большое количество наших пользователей. Мы до сих пор расследуем, но ясно, что файлы index.php были заменены итд итп. далее извинения, как восстановить файлы
    Из другого официального сообщения:»атака TiGER-M@TE хакеров была сфокусирована на index файлах. Наши системные администраторы пытаются восстановить все индекс файлы…»
    Вот это да! А я то думал, что банальная одиночная атака. Т.е. мы думали, что это мы вирус подцепили… Надо будет завтра им позвонить, чтобы наш сайт не восстанавливали — мы уже все сделали.
    * Можете почитать их сообщение полностью: http://www.webhostinghub.com/support/news/general/20110925-systems-announcement

  2. Сегодня проверял папки на сайте, так вот оказывается «хакерский» файл index.php был насован фактически во все папки в директории public_html. В этом же файле даже есть код для проигрывание какой-то музыки mp3
    Если кому интересно можете скачать и посмотреть этого зверя:
    (Файл удален)

  3. могу посоветовать установить в браузер фаерфокс дополнительный плагин, называется «носкрипт», который не позволяет запускаться скриптам со страницы без вашего разрешения.
    другими словами — если есть на странице вирус, то он сможет запуститься только в том случае, если вы разрешите это. страница плагина: https://addons.mozilla.org/uk/firefox/addon/722

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *