Борьба с Iframe вирусами

База знаний: Linux Server

Борьба с Iframe вирусами Автор Алексей \| HiTex.BY на 28 мая 2013 13:08
Iframe -- это вставки в html код, с помощью которых можно сделать "страницу в странице".Код чужого сайта, который интегрируется в код вашего сайта и «портит» его разными способами.Почему ругается антивирус гугла, яндекса? Потому, что сайт на который заходишь, возможно, взломали и установили ифрейм, который назаметно для вас заходит на нехорошие сайты с установленными связками сплойтов, "пробивающими" ваш браузер и устанавливающими на ваш компьютер вредоносное ПО Как работает вирус iframe: Зараженный компьютер сканируется на предмет сохраненных паролей ftp ( чаще всего в программах: total commander, cuteftp, filezilla) и по ftp заходит на хостинг используя ваши учетные данные и добавляет с файлам вашего сайта, размещенным на хостинге вредоносный код. Что делать, если на Вашем сайте обнаружен вирус при заходе на сайт наблюдаются JS-ошибки, редиректы, подгружаются посторонние ресурсы, в общем — любое нестандартное поведение сайта; в исходном коде наблюдаются посторонние включения либо модификации существующих; браузер или поисковая система препятствуют заходу на сайт, предупреждая об опасности; сайт потерял позиции в поисковых системах. 1 Прежде всего необходимо убедиться, что Ваш компьютер не заражен вирусом, используйте для этого антивирусные решения. Необходимо провести полную проверку своего компьютера на вирусы, иначе любые дальнейшие действия могут быть бессмысленными. 2. Далее, используя Firefox или Opera, в настройках своего хостинга измените пароли для доступа к FTP, хостинг панели, панели управления сайтом . В настоящее время для большинства известных вирусов достаточно изменения пароля на FTP. Изменение пароля необходимо, поскольку «зная» пароли доступа, вирусы могут повторно проникнуть на сайт. 3. После этого необходимо удалить код вируса из скриптов сайта (или базы данных). Код вируса может выглядеть как не имеющий отношения к вашему сайту iframe (элементы, загружающие посторонние адреса, обычно расположены близко к концу страницы <iframe src=»http://****/» width=1 height=1></iframe> ) или подозрительный Javascript (содержит eval и набор «бессмысленных» символов или чисел — %0a%76%61%72%20%57%64%68%3d%27%64%65%39%33%36%66 или 121,101,101,104,97,97,46,114). В особо сложных случаях авторы вирусов более изобретательны. После удаления вредоносных кодов необходимо убедиться в их отсутствии на всех страницах сайта (используя Firefox или Opera с отключенным JavaScript). Методы удаления** 1. Для начала необходимо вылечить Ваш зараженный компьютер. (делаем это обновленным антивирусом) 2. В обязательном порядке меняем все пароли на ftp которые у вас были сохранены 3. Можно проверить инфицированный сайт с помощью онлайн сервиса SOSWEBScan (с помощью этого ресурса можно узнать какой url находится в теге SRC=) и в скольких файлах. 4. Ручками зайти на сайт и просмотреть файлы index.html, index.php. И удалить тег <IFRAME> добавленный вирусом. Чаще всего данный тег находится в конце файла. Некоторые модификации вируса прячут тег IFRAME в BASE64 кодировке. Не многие просто обрамляют тегом <DIV>. 5. Если у Вас есть доступ в сайту по SSH (консоль) вы можете выполнить команду find . -type f -name ‘.php’ \| xargs perl -p -i -e ’s/.infectedhost.$//g’ (данный скрипт произведет поиск во всех файлах php строку infectedhost.) В место infectedhost используйте url который нашли в пункте 3. Если у Вас есть на сайте html файлы замените в строке .php на *.html
(1379 голос(а)) Эта статья полезна Эта статья бесполезна

Комментарии (0)