Злобный вирус на сайте. Первый личный опыт

злобный вирус на сайтеВот уже больше месяца борюсь со злобным вирусом, повадившимся резвиться на моем сайте… (*** не забываем смотреть на дату публикации заметки!)

История эта началась еще в конце июня (2008), когда, зайдя с утра на собственный сайтик, с целью провести «дежурный мониторинг», я вздрогнул от вопля «Касперского»… От неожиданности даже расплескал по столу кофе, потому что явно не ожидал такого поворота событий. Получение вирусов со спамом при приеме почты — дело настолько обычное, что я даже отключаю звук у компьютера, чтобы не дергаться от каждого взвизга, — их бывает до десяти за сеанс,- но чтобы обнаружить вирус на собственном сайте… До этого как-то не сталкивался, Бог миловал…

По наводке бдительного антивирусника довольно быстро вычислил и удалил незнакомую директорию в папке со скриптом автоматизированной рассылки, убедился, что вирус больше не детектируется антивирусником при заходе на сайт, некоторое время полазил по сервисам, чтобы удостовериться в работоспособности и целостности содержания… Ничего подозрительного не обнаружив, пожал плечами, заварил другую чашку кофе и занялся текущими делами. Однако, как оказалось, успокоился я рано.

Спустя небольшое время — буквально через час-два — история повторилась: Сигнал антивирусника и та же самая непонятным образом возродившаяся на том же месте чужая папка с тем же самым вредоносным содержанием.

Убив зловредную директорию еще раз, на этот раз я пожаловался провайдеру. Техподдержка «Агавы» предложила мне провести полное сканирование компьютера (разумеется, самостоятельно), поменять пароли доступа к сайту, и сообщить им немедленно в случае если ситуация повторится.

Ситуация повторилась довольно быстро — уже к вечеру мой «Касперыч» снова отчаянно заверещал, и мне снова пришлось удалять эту папку самостоятельно, поскольку начались выходные (дело было в пятницу) и на оперативность реакции техподдержки рассчитывать явно не стоило… ну а терпеть вирус на собственном сайте до понедельника только ради того, чтобы продемонстрировать его техподдержке, как-то показалось неправильным…

После этого наступило небольшое затишье, и очередное появление «незваного гостя» случилось лишь через несколько дней. На этот раз техподдержка провайдера по моей жалобе удалила папку с вирусом самостоятельно и сообщила мне, что ими было произведено сканирование всех файлов моего сайта и ничего плохого больше не обнаружено… ну разве что им пришлось поменять права доступа к некоторым директориям.

Сменив еще раз пароль, я около недели жил относительно спокойно и уже стал было обо всем этом забывать… Хотя, причуды на сайте случались. Например, ни с того ни с сего (как мне казалось) «слетел» программный комплекс BookBizMaster (правда мне удалось переустановить его «поверху» без потерь данных, поэтому трагедии я из этого делать не стал); бывало, сайт существенно тормозил (что я «валил» на интернет-провайдера и на ребенка, вечно перегружающего канал своим игровым порталом).

Но следующий тревожный симптом, сбил меня с толку довольно основательно: я что-то искал в Google и, наткнувшись на ссылку с переходом на собственный сайт, машинально по ней перешел. Однако, попал я почему-то на страницу с совершенно неизвестным содержанием и вирусом, причем сразу же после этого вирус вновь возродился и на моем сайте.

Озаботившись этим всерьез, я бросил все, чем занимался в тот момент, скопировал перед уничтожением папку с вирусом в отдельный каталог на локальном компьютере, и занялся ее исследованием, а также поиском в Интернете аналогичных случаев (по ключевым комбинациям из вирусной папки).

Аналогичные случаи обнаружились довольно быстро — правда все найденные описания на английском, что удивило, если честно…

Как бы там ни было, проявляется эта беда следующим образом:

1. На сайте в одной из директорий появляется и регулярно возрождается в случае удаления папка с вирусом или с html-файлом переадресации. Она может называться по-разному. (В моем случае это была папка «atacaju» с поддиректорией «h», двумя html-файлами и одним java-скриптом, который пришлось удалить по настойчивой просьбе Касперского. В директории «h» содержался .htaccess с одной строчкой: «RewriteEngine On RewriteRule ^.*$ ihi.txt [L]», и сам «ihi.txt» со строкой «e0fa4c4356551c94d48ba476187f08e7». Кстати говоря, поиск в Google по этой строке моментально приводит к описаниям данного явления в англоязычном Интернете. Директории и файлы могут называться по разному, но данная комбинация остается во всех случаях одинаковой).

2. Почти все .htaccess файлы на сайте дополняются кодом, содержащим такие строки:

a0b4df006e02184c60dbf503e71c87ad



a995d2cc661fa72452472e9554b5520c

Между этими строчками располагается достаточно большой фрагмент кода с переадресациями трафика от всех поисковиков на папку, описанную в предыдущем пункте.

3. Все (или абсолютное большинство) файлов .scc и .js во всех каталогах сайта дополняются кодом такого вида:

///a0b4df006e02184c60dbf503e71c87ad …body … expression(eval(unescape(‘%69%66%20%28%21%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%42%79%49%64…
…27%68%65%61%64%27%29%2E%69%74%65%6D%28%30%29%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%6A%73%29%20%7… a995d2cc661fa72452472e9554b5520c …

Это, судя по всему, механизм «размножения и возрождения». Я не производил декодирования этого фрагмента (здесь он приведен с сокращениями и преднамеренными искажениями, но, судя по информации из Интернета, это есть ни что иное, как закодированный java-скрипт, производящий восстановление вирусных директорий и зараженных htacess-файлов. И запускается этот «механизм возрождения» всякий раз, когда срабатывает любой зараженный java-скрипт на сайте, или производится обращение к любому зараженному файлу стиля.

Возможно, что эта модификация css и js файлов сайта производится не одновременно, а постепенно, файл за файлом, или папка за папкой, по мере распространения вируса по сайту — и этим объясняется то, что мне удавалось найти у себя (после очередного заражения) файлы css и js, которые данного кода не содержали, хотя по информации из других источников на зараженном сайте абсолютно все css и js файлы содержат этот «довесок». То есть, если не принимать меры, то этим кодом заражаются со временем все java-скрипты и файлы стилей.

История эта, увы, пока не имеет «хэппи энда»:

Я, разумеется, вычистил все это дерьмо с сайта, то есть восстановил нормальные css, js и htaccess файлы. Но, возможно, где-то чего-то недоглядел — вчера вечером мне пришлось этот процесс повторить. Css и js файлов у меня достаточно много и процесс их замены (или ручной очистки), если к нему заранее не готовиться, может занять несколько часов, что, собственно, и имело место в первый раз.

Поэтому вполне возможно, что какой-то из зараженных файлов я недоглядел и эта «мина замедленного действия» вчера снова сработала… (Кстати, после очистки файлов css/js/htaccess я спокойно жил полторы недели, — уже достижение!

Другая версия причины возвращения вируса — бреши на сайте, которые время от времени находит какой-то блуждающий по сети вирус-паук. Вероятность этого также достаточно высока, поэтому я всерьез подумываю об избавлении от ряда красивых, но, по сути, бесполезных «примочек» и «украшательств», реализованных в основном на Java и потому достаточно уязвимых. Возможно, что продолжение этой истории еще следует.

Но как бы там ни было, я бы порекомендовал всем владельцам сайтов выборочно полистать свои htacess и java файлы. Возможно, что многих ожидает сюрприз…

Злобный вирус на сайте. Первый личный опыт: 1 комментарий

  1. Уведомление: Ad-Aware: незабытое старое… | Приют Чеширского Кота

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.