чудо{вищные} заметки

Sorry for my terrible english. My native language is PHP.

JS-Trojan-HTML-IFRAME-etc

Наверное многим веб-мастерам в последнее время пришлось познакомиться с разного рода вирусами, которые каким-то макаром оказались на главных страницах подопечных сайтов. Вот тут даже один товарищ раздаёт бесплатные советы, которые впрочем не помогут защитить ваш сайт от этой напасти. Всё потому что основной путь внедрения вируса на страницу — FTP (посредством кражи паролей на ftp-аккаунты и последующим их использованием). И насколько я понимаю механизм — некий робот добавляет js-код во все найденные индексные страницы.

Выглядит это обычно как document.write некой ереси (iframe-а) в конце документа.

Сегодня обнаружили такую вот гадость на сайте одного из клиентов. Убрали. Придумал способ борьбы с заразой с помощью php ;o)

Поскольку оригинальностью эти роботы не отличаются, то код просто append-иться к index.php,default.php и т.д. , я недолго думая просто добавил exit(); в конце индексного файла.

P.S.
Как бороться с утечкой паролей каждый пусть решает самостоятельно.
P.P.S.
Следующим витком эволюции этих вирусов вероятно станет синтаксический анализ скриптов, в которые надо будет внедряться ;o)

Реклама

Октябрь 19, 2007 - Posted by | DailyWTF, php

8 комментариев »

  1. у нас код вставлялся в середину файла

    комментарий от Игорь | Октябрь 21, 2007

  2. Если это действительно так(а не в конец какого-либо файла, который потом include-ится), то позвольте не поверить, что этот код вставлялся роботом…

    комментарий от MiRacLe | Октябрь 21, 2007

  3. А у нас такой же случай был год назад и писался скрипт в начало. Так что это не вариант.
    в качестве места проникновения скрипта был установлен Total Commander. Перевели всех на другую прогу и теперь всё в порядке (тьфу-тьфу-тьфу). Название проги не написал специально — реклама, однако…

    комментарий от sciko | Октябрь 21, 2007

  4. TotalCommander круто.
    только причем он тут? ;)

    комментарий от .silent | Октябрь 22, 2007

  5. Ещё как причём…

    комментарий от MiRacLe | Октябрь 22, 2007

  6. прикольно.
    только проблема-то не в total commander’е, а в трояне.
    total commander даже предупреждает о том, что пароль, хоть и зашифрован, хранится открыто, перед тем, как пароль к ftp сохраняется.

    в общем, нечего на зеркало пенять :)

    комментарий от .silent | Октябрь 22, 2007

  7. Господа, а я вас обрадую, эта дрянь таки научилась не тупо в индексы добавляться. Теперь анализирует код и лезет не в сам индекс, а в инклуды, если таковые присутствуют.
    Причем жила с 3 августа беззаботно, пока случайно не увидел. Отправил Касперовичу, обещали в апдейте добавить детект, посмотрим что получится.

    комментарий от Tigra | Август 11, 2008

  8. Эволюция, ёманарот…

    комментарий от MiRacLe | Август 11, 2008


Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: