Вируси в сайта

Темата за злонамерения код, който се появява на страниците на уебсайтове, е много популярна. Исках да добавя "Част 1" в заглавието, но реших да го направя под формата на безкрайна история =)

Както всички вече трябва да знаят, често (дори бих казал, в повечето случаи) самите потребители стават носители на инфекцията (в ботнет средата те се наричат ​​„зомбита“). И въвеждането на код може да се случи по следния начин.

Разбира се, има уязвимости в кода на скрипта, но горното все още е по-често =)

Нека ви дам пример, с който имах късмет

Вижте тази прекрасна ситуация на мръсна радост.

Вътре (последният ред) имаше удивително замъглено тяло на вредител:

Кой е участвал в генерирането на връзки към js скриптове, разположени в различни домейни на dyndns. Докато стигнах до този сайт, нито една от връзките не беше отворена

Такива неща могат да бъдат открити чрез преглед на регистрационните файлове наftp сървъра (например/var/log/xferlog ), не само текущите, но и тези, които вече са били пренесени, или чрез ровене в сайта с нещо катоfirebug заFirefox.

И така, проблемът е открит и трябва да се отстрани.

  1. Ние проверяваме всички потребителски компютри, които имат достъп доftp.
  2. Ограничаваме кръга на тези, които имат достъп.
  3. Нека да научим как да съхраняваме потребителско име и парола отftp вftp -клиента и като цяло заедно.
  4. Правене на резервни копия

Ако няма резервно копие с незаразени файлове, тогава можете да прибягвате до ръчна намеса във файловете, като предварително сте направили резервно копие.

Използвах командатаfind, за да намеря нужните ми файлове иperl, за да отхапам част от ред от файловете.

find -type f -name "*.js" -execperl -pi -e 's/ .* //g"' '<>' \;

  • - показва местоположението, откъдето да започнете да търсите. Можете да посочите или пълния път до директорията/home/USER/data/www/SITE/, или относителен път (например, като сте в корена на директорията на сайта, можете да използвате „./ “)
  • - първите няколко знака от кода, започвайки от който искате да изтриете
  • - последните няколко знака от кода, завършващ с който искате да изтриете

Не забравяйте да избегнете различни скоби и препинателни знаци.

В конкретен случай използвах линията

Ако имате затруднения - винаги съм отворен за диалог $-)

АКТУАЛИЗАЦИЯ: Не съм напълно сигурен, но изглежда, че наскоро онлайн скенерът DrWeb започна да разпознава тази инфекция