Сайт поврежден вирусом?

Latica

Местный
23 Янв 2010
591
43
Мос-Анджелес
У компании есть сайт, обычный, не визитка (чуть покруче), но и не супер-мега навороченный. Сделан и повешен на домен где-то полгода назад, нормальной фирмой (по рекомендациям). Нигде пока не продвигался и не рекламировался. Владелец не входил туда где-то в течение месяца. На днях вошел - ввел доменное имя в адресной строке браузера. На главной странице сайта некоторые буквы текста выдаются в виде абракадабры. Их мало, но они есть.
Система управления сайтом есть. Но прежде чем её применить, обратились к создателям сайта, чтоб понять, что это за абракадабра и откуда она взялась. Создатели сказали, что при попытке войти на сайт через гугл им выдалось предупреждение о содержании вредоносного ПО на сайте (владелец проверил - так и есть, такое сообщение выдается). И предложили почистить сайт за 5000р.
Вопрос - это похоже на развод? И если нет, то стоимость адекватна услуге? И возможно как-то самостоятельно решить эту проблему?
 
  • Мне нравится
Реакции: Енотик

Енотик

Пользователь
8 Апр 2012
46
18
  • Мне нравится
Реакции: Latica

Latica

Местный
23 Янв 2010
591
43
Мос-Анджелес
Енотик, спасибо!

Добавлено через 2 часа 2 минуты 44 секунды
Ой, Ентоик, чёт про Вас тут не очень хорошо отзываются.... а я уж хотела к Вам обратиться ... :rolleyes:

Добавлено через 2 часа 3 минуты 27 секунд
Ентоик :rofl: простите за очепятку ))))))
 
  • Мне нравится
Реакции: Енотик

Енотик

Пользователь
8 Апр 2012
46
18
Енотик, спасибо!

Добавлено через 2 часа 2 минуты 44 секунды
Ой, Ентоик, чёт про Вас тут не очень хорошо отзываются.... а я уж хотела к Вам обратиться ... :rolleyes:

Добавлено через 2 часа 3 минуты 27 секунд
Ентоик :rofl: простите за очепятку ))))))
не прощу!:nea:
 

Latica

Местный
23 Янв 2010
591
43
Мос-Анджелес
Енотик, да ладно, Ентоик ))) Бесплатно даже земля не крутится ;)
Вообще я не против к Вам обратиться, но смущает, что в Вас все подозревают клонов ) А чистить сайт - дело интимное! Это ж пароль от сайта надо доверить ;)
 
  • Мне нравится
Реакции: Енотик

Енотик

Пользователь
8 Апр 2012
46
18
Енотик, да ладно, Ентоик ))) Бесплатно даже земля не крутится ;)
Вообще я не против к Вам обратиться, но смущает, что в Вас все подозревают клонов ) А чистить сайт - дело интимное! Это ж пароль от сайта надо доверить ;)

я за равноправие клонов с первоисточником!:eek: Ссылку дайте на сайт и какая у Вас СМS(если есть)? Пароль пока не прошу!:rolleyes:

Добавлено через 1 минуту 1 секунду
а если я по рекомендации?;)
 
  • Мне нравится
Реакции: Latica

Енотик

Пользователь
8 Апр 2012
46
18
а вот тут можно поподробнее пожалуйста? )))
ссылку в личку!:rolleyes:

Добавлено через 20 минут 18 секунд
если сайт заражен, доступ к нему кто-то уже получил или при заимствовании контента вирус скопировали. Могу скачать сайт без пароля для проверки и т.д.:cool:
 

TAIFUN

Тех. поддержка
Команда форума
31 Окт 2009
2,489
2,010
Море
Вопрос - это похоже на развод?
Кого и кем?
Причин может быть много. Начиная от банального шелла оставленного исполнителями (бывает такое, но не факт что у вас такой случай) до взлома сервера/хостинга (когда ломают хостера, а страдают его клиенты).

Цена адекватная, в принципе.

Владелец не входил туда где-то в течение месяца.
Любой нормальный сайт нуждается в контроле. Если у владельца нет времени, тогда пусть наймёт человека, который будет следить за сайтом: Администратора, Технического администратора...
Если сайт работает на движке, то иногда позднее обновление может сыграть злую шутку. Если же сайт самописный, тут уже зависимость от тех кто писал сайт.
 
Последнее редактирование:
  • Мне нравится
Реакции: Енотик

Latica

Местный
23 Янв 2010
591
43
Мос-Анджелес
Да че проверять то - по тем ссылкам, что Вы дали, я уже проверила - он заражен.
Интересно, а создатели сайта могли так нагадить? они ж пароль знают...

Добавлено через 3 минуты 45 секунд
владельца создателями сайта

Начиная от банального шелла оставленного исполнителями
вот может быть это и есть, знать бы только что такое

банального шелла
кому банальный, а кому диковинка )))

Если сайт работает на движке, то иногда позднее обновление может сыграть злую шутку. Если же сайт самописный, тут уже зависимость от тех кто писал сайт.
а как это узнать? спросить создателей?
и обновление - это что имеется ввиду?
 

Енотик

Пользователь
8 Апр 2012
46
18
— Виноват в этом событии тот человек, который имеет пароль на доступ к директориям хоста по протоколу ftp (если таких людей много — один из них).

— Этот человек пользуется браузером Internet Explorer, каким-то ненадёжным файл-менеджером, и не пользуется антивирусом и файрволом (возможен вариант: антивирус есть, но старые базы данных, а файрвол не настроен). Немало нареканий в связи с кражей паролей возникало на антивирус NOD32.

— При посещении браузером IE сайта, который уже был заражён, в нём запускается JavaScript, загружающий на компьютер пользователя трояна (неэффективный антивирус не срабатывает).

— Троян сканирует систему и ищет файл-менеджеры/ftp-менеджеры (такие как Тотал Коммандер, ФайлЗилла и т.п.)

— После этого троян отправляет злоумышленнику файлы настроек этих файл-менеджеров, в которых хранятся пароли на ftp-доступ к сайту. Если при этом файрвол выпускает исходящее соединение от трояна — значит неправильно настроен. Ещё одну ошибку допускает пользователь, который рискует сохранять пароли в ненадёжных программах.

— Злоумышленник получает и «вскрывает« файл настроек, извлекая из него логин, пароль и адрес ftp-сервера.

— После этого сетевой робот обходит сайты, к которым имеет пароль доступа по ftp, сканирует директории разыскивая файлы с названием index.html, index.shtml, index.php и т.п. и дописывает в эти файлы свой код. После этого при входе на сайт начинает срабатывать антивирус. Чаще всего в конец файла вставляется скрытый iframe с вредоносным кодом, подгружаемым с другого сайта. Помимо этого может вставляться код JavaScript, ссылки на другие сайты и т.п.

— Чтобы получить «документальное подтверждение» применения этой технологии взлома, нужно посмотреть логи доступа по протоколу ftp (логи http не помогут!)
Что делать — должно быть понятно из описания. Нужно закрыть все дыры.

— Смените пароль ftp.

— По возможности ограничьте до минимума число людей, использующих ftp. Исключите тех, кто игнорирует требования безопасности.

— Удалите вирусный код по следующим вариантам:

— Скачайте сайт на локальную машину и проверьте хорошим антивирусом со свежими базами (а лучше двумя разными антивирусами) содержимое директорий сайта на наличие шеллов и вирусного JavaScript.

— Имейте в виду, что вирусный JavaScript, вставляемый в iframe (а это наиболее типичный вариант), как и JavaScript, вставляемый в страницу как src="http://чужой.домен/скрипт.js", антивирус при сканированни сайта на локальной машине не обнаружит, поскольку этот JavaScript «вставляется» в страницу только при просмотре в браузере. Поэтому если антивирус ничего не нашёл, ищите и удаляйте в файлах index.php, index.html и других индексных файлах тэги <iframe> и <script>, которые сами не вставляли. И помните, что злоумышленник не дремлет и возможны другие варианты вставки вредоносного кода.

— В качестве альтернативного варианта, если есть резервная копия сайта, можно полностью удалить сайт с хоста и восстановить из резервной копии (не забудьте сохранить дамп базы данных, и все другие файлы, загружавшиеся непосредственно на хост).

— Перестаньте пользоваться IE.

— Не храните ftp-пароли в ftp-менеджерах.

— Постоянно пользуйтесь заслуживающим доверия антивирусом со свежими антивирусными базами.

— Установите и правильно сконфигурируйте файрвол.

— Если для доступа по ftp используется статичный IP или адрес IP из известного фиксированного диапазона, и Ваш хостинг позволяет это сделать, ограничьте доступ к директориям хоста по протоколу ftp этими адресами, используя .ftpaccess

— Регулярно читайте бюллетени уязвимостей

Обратите внимание! Это далеко не единственный возможный вариант взлома, но один из самых частых.

Следующим по частоте вариантом взлома, вероятно, являются SQL— инъекции, обусловленные недостаточной проверкой передаваемых в скрипт данных. При этом злоумышленники могут как вставлять нежелательный код в базу данных (и генерируемую движком страницу), нередко необратимо разрушая хранимые в БД «легальные» данные, так и читать данные из БД (в том числе хэши паролей). Нередко хакер, обнаруживший уязвимость скрипта, пишет так называемый «эксплоит» — небольшой фрагмент кода (последовательность команд), эксплуатирующий данную уязвимость. Если такой эксплоит публикуется на хакерских сайтах для широкого доступа, он может становиться источником «скрипт-киддинга» — массовых взломов малоквалифицированными «хакерами». В некоторых случаях эксплоит позволяет записывать в директории хоста шеллы (оболочки, которые позволяют делать с сайтом практически всё, что угодно). Решить проблемы sql-инъекций и других уязвимостей скриптов можно только грамотным программированием. Облегчить задачу поиска уязвимости в скриптах, как ни странно, может тот хакер, который эту уязвимость уже нашёл. Чтобы понять, каким образом был осуществлён взлом (какой из скриптов имеет уязвимость и в чём она состоит) иногда достаточно прочитать логи доступа к сайту по протоколу http (файл чаще всего имеет название access_log или похожее — как название так и расположение файла зависит от настроек конкретного сервера).

Ещё пара советов:

1. Любителям халявы: имейте в виду, что в так называемые «нулёные» компоненты, модули и шаблоны нередко встраивается бэкдор (он же шелл), позволяющий злоумышленнику делать на сайте всё, что угодно. Поэтому если Вы пользуетесь сомнительными источниками для получения скриптов, будьте готовы к сюрпризам.
2. Всем остальным: если Вы озабочены безопасностью своего сайта, регулярно делайте резервные копии как базы данных, так и движка (перед каждым вносимым в него изменением — патчами, обновлением версий, установкой модулей, компонентов и плагинов — и после внесения таких изменений).
22-11-2010 | Источник: www.joomlaforum.ru
 
  • Мне нравится
Реакции: Latica

Latica

Местный
23 Янв 2010
591
43
Мос-Анджелес
Енотик, вот грузанул так грузанул )))))) буду переваривать. Спасибо огромное!!!
Виноват в этом событии тот человек, который имеет пароль на доступ к директориям хоста по протоколу ftp
то есть создатель сайта? просто больше пароль никто не знает....
 

TAIFUN

Тех. поддержка
Команда форума
31 Окт 2009
2,489
2,010
Море
Latica, не цепляйтесь за причину "взломал тот, кто делал сайт", потому что это очень редкие случаи.
Чаще взламывают через бреши безопасности сайта или через оплошности админа.
Какой смысл исполнителю взламывать сайт клиента? Никакого смысла.. разве что если заказчик не заплатил деньги.
Простой пример, ситуация которая произошла на днях с одним моим клиентом. Установил ему форум X месяцев назад, скинул инструкции и дал несколько советов.. сегодня он обращается ко мне с проблемой - кто-то взломал форум. Захожу, смотрю... а там как стояла версия движка форума которую я ставил, так и стоит.. после этой версии вышло уже 13(!) новых версий, на секундочку. Ошибка клиента в том, что он мыслит так: "мне поставили сайт, значит всё должно работать и никаких глюков не будет".. это не совсем так.
В общем, долго можно обсуждать эту тему.
А что за сайт?
 
Последнее редактирование:
  • Мне нравится
Реакции: Latica