|
|
|
Отправил: admin Прочитали: 43892 . |
|
Как определить что на сайте вирус?
1. При просмотре вашего сайта выскакивает сообщение антивирусной защиты о том, что на сайте вирус, либо о попытке загрузиться на ваш компьютер;
2. Другие пользователи сообщают вам, что они видят на вашем сайте вирус (вы можете этого не видеть);
3. При входе на сайт через FTP видно, что дата индексного файла и его размер изменены;
4. На сайте появились незнакомые вам файлы;
5. В папках появились незнакомые вам файлы, обычно заражение начинается с появления в папках файлов Index.php;
6. Если у вас есть доступ к папкам логов обращения к серверу, вы можете увидеть частое обращение к незнакомым вам файлам на вашем сервере;
7. Со стороны сервера обычно помочь не могут - они чаще всего вирус не видят;
8.Внутри кода индексного файла вашего сайта встраивается код в тегах [iframe][/iframe].Чаще всего этот тег идет либо сразу за тегом [BODY] либо в самом низу кода после тегов [HTML]. Если вы не работаете в интернет - не получаете почту, не открываете страницы, а ваш компьютер все равно подмигивает экранчиками в правом нижнем углу экрана - то есть интенсивно обменивается с кем-то данными - значит вы поймали вирус, котрый сливает информацию с вашего компьютера без вашего ведома.
Что делать, если на сайте вирус?
1. Сразу сменить код доступа на сайт по FTP. Если эта мера не выполнена, нельзя рассчитывать на эффект от любых ваших действий. Через 3 часа вы снова увидите вирусы на сайте. Вирусы считывают пару "логин-пароль" (где и как это вопрос спец. расследования) и ходят на сайт беспрепятственно.
2. Если только вы работаете с сайтом, возможно разрешить вход на сайт только с вашего, или с определенных компьютеров - это задание вашему хостеру. Тогда все входы с других ip будут блокированы, и вирусы тоже
3. Запишите дату изменения индексного файла, это поможет вам найти другие вирусные файлы с такой же датой
4. Загрузите на сервер чистый индексный файл
5. Просмотрите все папки в поиски новых, наполненных не вашими файлами - удалите их.
6. Вирусы первым делом грузятся в папки со стандартными именами- начинайте искать в них. Чаще всего там будет файл Index.php, но возможет текстовый или иной файл. ориентируйтесь по дате создания файлов. Легче всего найти такие файлы в папках с картинками - там они сразу видны
7. Вирусы могут удалять целые папки или любые индексные файлы в поддоменах и папках. Вместо индексных файлов - там теперь лежат только файлы с записями [iframe][/iframe] - все это придется безжалостно удалить.
8. Если у вас есть на сайте PHP - это один из способов проникновения на сайт, ибо "дырки" в php-кодах легко становятся воротами на сайт, особенно это касается форумов. Если борьба с вирусами не закончена - примите решение о временной смене страниц на php на обычный html, а если это невозможно, то придется обойтись без этого.
9. Основным звеном в проникновении вирусов на компьютер и передачи их на сервер является особенность устройства браузера Интернет Эксплорер. Постоянно появляются обновления для него, однако по возможности, особенно на корпоративных компьютерах следует отказаться от использования IE и перейти на Оперу или Мозиллу. Оптимизаторы часто используют программу All-Submitter, которая использует движок Интернет Эксплорера. Заменить в настоящее время ее трудно, поэтому при использовании этого инструмента рекомендуется на сохранять пароли в любых программах доступа по FTP и почтовых программах, где вирус может считать пароли на вход.
10. Если вы все сделали верно, а завтра опять появился вирус? Ищите его в своем Интернет-Эксплорере - если вы им все еще пользуетесь, то вам возможно вам следует очистить кэш Интернет Эксплорера.
11. Если у вас есть папка логов входа через FTP, вы сразу сможете определить, кто и куда входит на сайт через использование пары ЛОГИН-ПАРОЛЬ, кроме вас.
12. Поставьте файерволл. Поройтесь в его настройках и выставьте все необходимые вам опции.
Взлом из-за наличия php?
1. Одна из самых распространенных причин ошибки и "дыры" в php скриптах;
2. Дело может быть в PHP 4, потому как говорят, что на версии до 4.4.5 есть дырка в open_base_dir... Нужно чтобы хостер обновил версию PHP на сервере;
3. Есть программы, обращающиеся к серверу и "ломающие" его (сервер должен быть "предупрежден" о таких мерах проверки). Это позволяет увидеть дырки и уязвимости в программном обеспечении на сервере; Однако если проведен аудит безопасности программного обеспечения на сервере и не выявлены уязвимости, то автоматически сделать проверку на код, вставленный в страницу HTML практически невозможно. Поскольку так как чаще всего в индексный файл вставляется код содержащий iframe тэг с нулевым размером, отправляющий посетителя на URL, лежащий за пределами сервера. Если этот код начал бы исполняться, то это было бы шансом его определения - для сервера это всегда только код html.
4. Необходимо обновить формы, если такие есть на страницах сайта;
5. Найти iframe легко во всех папках, если перекачать их к себе на комп и пустить поиск части кода (например, средствами Windows или Total Commander, набрав в меню "искатьтекст" слово "iframe" - найдет сразу во всех папках и файлах.) ;
6. Часто встречается вставка , написанная на ява-скриптах с большим количеством цифр (визуально это бросается в глаза - 3-4 строки цифр..)
Чем смотреть, или... два слова о браузерах?
Интернет Эксплорер может, а другой браузер не может "цеплять" вирусы.
Сегодня это считается мифом. И Мозила и Опера не застрахованы, хотя ИЭ -это наиболее распространенная "жертва", с внедрением в которую приходится сталкиваться чаще всего. Опера страдает от этого реже.
В доказательство такой возможности приведем данные с сайта http://www.uinc.ru/news/sn7912.html от 1 июня 2007 г. Об обнаружении и удалении уязвимости в Firefox:
Сообщество Mozilla.org устранило уязвимости в браузере Firefox версий 2.0 и 1.5, а также в пакете SeaMonkey. Одна из дыр в Firefox охарактеризована как критически опасная. Проблема связана с ошибками, возникающими в памяти при определенных условиях. Уязвимость теоретически может использоваться злоумышленниками для получения несанкционированного доступа к удаленному компьютеру и последующего выполнения на нем произвольного вредоносного кода. Кроме того, в Firefox устранены несколько менее опасных дыр, которые обеспечивают возможность осуществления XSS-атак (Cross-Site Scripting), кражи персональных данных и аварийного завершения работы программы. Пользователям Firefox 2.0 рекомендуется обновить браузер до версии с индексом 2.0.0.4. |
|
|
|
|
|
|
|
|
|
|
|
|