вирус

Злобный вирус на сайте. Первый личный опыт

Вот уже больше месяцаЧитая заметки из рубрики "Архивы старого блога", пожалуйста, делайте поправку на дату публикации материала. борюсь со злобным вирусом, повадившимся резвиться на моем сайте…

История эта началась еще в конце июня2008, когда, зайдя с утра на собственный сайтик, с целью провести “дежурный мониторинг”, я вздрогнул от вопля “Касперского”… От неожиданности даже расплескал по столу кофе, потому что явно не ожидал такого поворота событий. Получение вирусов со спамом при приеме почты – дело настолько обычное, что я даже отключаю звук у компьютера, чтобы не дергаться от каждого взвизга, – их бывает до десяти за сеанс,- но чтобы обнаружить вирус на собственном сайте… До этого как-то не сталкивался, Бог миловал.

По наводке бдительного антивирусника довольно быстро вычислил и удалил незнакомую директорию в папке со скриптом автоматизированной рассылки, убедился, что вирус больше не детектируется антивирусником при заходе на сайт, некоторое время поползал по сервисам, чтобы удостовериться в работоспособности и целостности содержания… Ничего подозрительного не обнаружив, пожал плечами, заварил другую чашку кофе и занялся текущими делами. Однако, как оказалось, успокоился я рано.

Спустя небольшое время – буквально через час-два – история повторилась: Сигнал антивирусника и та же самая непонятным образом возродившаяся на том же месте чужая папка с тем же самым вредоносным содержанием.

Убив зловредную директорию еще раз, на этот раз я пожаловался провайдеру. Техподдержка “Агавы” предложила мне провести полное сканирование компьютера (разумеется, самостоятельно), поменять пароли доступа к сайту, и сообщить им немедленно в случае если ситуация повторится.

Ситуация повторилась довольно быстро – уже к вечеру мой “Касперыч” снова отчаянно заверещал, и мне снова пришлось удалять папку с вирусом самостоятельно, поскольку начались выходные и на оперативность реакции техподдержки рассчитывать явно не стоило. Ну а терпеть вирус на собственном сайте до понедельника только ради того, чтобы продемонстрировать его техподдержке, как-то показалось неправильным.

После этого наступило небольшое затишье, и очередное появление “незваного гостя” случилось лишь через несколько дней. На этот раз техподдержка провайдера по моей жалобе удалила папку с вирусом самостоятельно и сообщила мне, что ими было произведено сканирование всех файлов моего сайта и ничего плохого больше не обнаружено… ну разве что им пришлось поменять права доступа к некоторым директориям.

Сменив еще раз пароль, я около недели жил относительно спокойно и уже стал было обо всем этом забывать. Хотя, причуды на сайте случались. Например, ни с того ни с сего (как мне казалось) “слетел” программный комплекс BookBizMaster (правда мне удалось переустановить его “поверху” без потерь данных, поэтому трагедии я из этого делать не стал); бывало, сайт существенно тормозил (что я “валил” на интернет-провайдера и на ребенка, вечно перегружающего канал своим игровым порталом).

Но следующий тревожный симптом, сбил меня с толку довольно основательно: я что-то искал в Google и, наткнувшись на ссылку с переходом на собственный сайт, машинально по ней перешел, – интересно, ведь, что “ценят” поисковики на моем скромном блоге. Однако, попал я почему-то на какую-то абсолютно “левуюне имеющую отношения к моему сайту” страницу с совершенно неизвестным содержанием и вирусом, причем сразу же после этого вирус вновь возродился и на моем сайте.

Озаботившись этим всерьез, я бросил все, чем занимался в тот момент, скопировал перед уничтожением папку с вирусом в отдельный каталог на локальном компьютере, и занялся ее исследованием, а также поиском в Интернете аналогичных случаев (по ключевым комбинациям из вирусной папки).

Аналогичные случаи обнаружились довольно быстро, правда все найденные описания на английском, что удивило, если честно.

Как бы там ни было, проявляется эта беда следующим образом:

1. На сайте в одной из директорий появляется и регулярно возрождается в случае удаления папка с вирусом или с html-файлом переадресации. Она может называться по-разному. (В моем случае это была папка “atacaju” с поддиректорией “h”, двумя html-файлами и одним java-скриптом, который пришлось удалить по настойчивой просьбе Касперского. В директории “h” содержался .htaccess с одной строчкой: “RewriteEngine On RewriteRule ^.*$ ihi.txt [L]”, и сам “ihi.txt” со строкой “e0fa4c4356551c94d48ba476187f08e7”. Кстати говоря, поиск в Google по этой строке моментально приводил к описаниям данного явления в англоязычном Интернете. Директории и файлы могут называться по разному, но данная комбинация остается во всех случаях одинаковой).

2. Почти все .htaccess файлы на сайте дополняются кодом, содержащим такие строки:

a0b4df006e02184c60dbf503e71c87ad



a995d2cc661fa72452472e9554b5520c

Между этими строчками располагается достаточно большой фрагмент кода с переадресациями трафика от всех поисковиков на папку, описанную в предыдущем пункте.

3. Все (или абсолютное большинство) файлов .scc и .js во всех каталогах сайта дополняются кодом примерно Этот фрагмент преднамеренно обрезан по понятным причинам.такого вида:

фрагмент кода вируса

Это, судя по всему, механизм “размножения и возрождения”. Я не производил декодирования этого фрагмента (здесь он приведен с сокращениями и преднамеренными искажениями, но, судя по информации из Интернета, это есть ни что иное, как закодированный java-скрипт, производящий восстановление вирусных директорий и зараженных htacess-файлов. И запускается этот “механизм возрождения” всякий раз, когда срабатывает любой зараженный java-скрипт на сайте, или производится обращение к любому зараженному файлу стиля.

Возможно, что эта модификация css и js файлов сайта производится не одновременно, а постепенно, файл за файлом, или папка за папкой, по мере распространения вируса по сайту – и этим объясняется то, что мне удавалось найти у себя (после очередного заражения) файлы css и js, которые данного кода не содержали, хотя по информации из других источников на зараженном сайте абсолютно все css и js файлы содержат этот “довесок”. То есть, если не принимать меры, то этим кодом заражаются со временем все java-скрипты и файлы стилей.

История эта, увы, пока не имеет “хэппи энда”:

Я, разумеется, вычистил все это дерьмо с сайта, то есть восстановил нормальные css, js и htaccess файлы. Но, возможно, где-то чего-то недоглядел – вчера вечером мне пришлось этот процесс повторить. Css и js файлов у меня достаточно много и процесс их замены (или ручной очистки), если к нему заранее не готовиться, может занять несколько часов, что, собственно, и имело место в первый раз.

Поэтому вполне возможно, что какой-то из зараженных файлов я недоглядел и эта “мина замедленного действия” вчера снова сработала… (Кстати, после очистки файлов css/js/htaccess я спокойно жил полторы недели, – уже достижение!

Другая версия причины возвращения вируса – бреши на сайте, которые время от времени находит какой-то блуждающий по сети вирус-паук. Вероятность этого также достаточно высока, поэтому я всерьез подумываю об избавлении от ряда красивых, но, по сути, бесполезных “примочек” и “украшательств”, реализованных в основном на Java и потому достаточно уязвимых. Возможно, что продолжение этой истории еще следует.

Но как бы там ни было, я бы порекомендовал всем владельцам сайтов время от времени выборочно просматривать свои htacess и java файлы на предмет выявления там чужеродных комбинаций символов. Возможно, что многих там ожидает сюрприз…

Один комментарий к “Злобный вирус на сайте. Первый личный опыт

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Наш сайт использует файлы cookies, чтобы улучшить работу и повысить эффективность сайта. Продолжая работу с сайтом, вы соглашаетесь с использованием нами cookies и политикой конфиденциальности.

Принять