Хостинг для сайтов и сателлитов
  Формы авторизации для ситемы биллинга, пртнерской программы, и панели вебмастера
Вход в систему биллинга
Логин:
Пароль:

Управление пратнерской программой
Логин:
Пароль:



Панель вебмастера
Логин:
Пароль:


Хостинг, который рекомендуют...

Хостинг


Сервера


Партнерам


Прочее


Запуск нового хостинга.

Новые IP для NS доменов

Обновление ПО на двух серверах



Даешь VPS

Прогон по социальным закладкам

Реселлинг за пол цены



 XM 50 - 0,40$/mec Money Back 100% Toolbar 100mbps.ru

   

Заражение сайтов вирусами

Вирус на сайте или тег IFRAME
Это делает новый троян, похищающий пароли доступа и часто не определяющийся антивирусными программами.

При открытии индексной страницы сайта (хостинг значение не имеет, платный или бесплатный) на компьютер начинал подгружаться вирус-троян. Оказывается, в код страницы были внесены изменения - добавлена ссылка на сайт-вирусоноситель, с которого собственно и загружался троян. Некоторые индексные страницы вообще "стирались", то есть, на них не оставалось ни одного тега, в итоге виден был просто чистый лист бумаги :).

Соответственно прокатилась волна претензий и обвинений к хостерам, из-за "взлома" хостов пользователей, которое приняло такие масштабы, что впору было обвинять именно хостеров, однако они тут не причем, это практически в 99% выяснялось при анализе системных журналов.
Суть вносимых изменений заключается в том, что на странице index.html (или index.php, и т.п.) появляется следующий участок кода:
iframe src=http://ссылка_на_вредоносный_сайт_содержащий_вирус
Тег iframe как правило со значением width="0" и height="0", это означает, что Вы не увидите открывающееся окно "левого" сайта, поскольку заданы нулевые координаты этого окна. В последних версиях этот тег всячески маскируется по средствам BASE64 кодирования, что бы при беглом обзоре кода не заметить, а в некторых случаях известны и заражения через DIV тэги.

Анализ механизма заражения сайта показал следующий результат. Индексные страницы менялись посредством FTP ЛЕГАЛЬНОГО подключения, т.е. никакого взлома сайта не производилось, а всего лишь осуществлялся вход по логину/паролю и последующая модификация файлов сайта. После более детального изучения выяснилось, что подобное поведение присуще Trojan'ской программе семейства Pinch, которая умеет обходить брандмауэры и антивирусные программы и похищает все к чему может дотянуться, в том числе пароли, сохраненные в IE, CuteFTP, Total Commander и еще десятке различных программ.

Само заражение происходит следующим образом:- Сначала загружается Trojan-Downloader.VBS. Psyme.fc - троянская программа-загрузчик других троянов, в последнее время название несколько раз изменялось. - Именно она подгружает еще два вируса - Trojan-PSW.Win32.LdPinch.bik (или модификация) и Trojan.Win32.Agent.oh (не обязательно).

Самое интересное, что как DrWeb, и впоследствии установленный после него Антивирус KAV, определяли, что на компьютер закачивается троян и его ликвидировали. Один ньюанс: с самого начала загрузки файлов с зараженного сайта на рабочем столе создавался и выполнялся файл new.exe. В папке windows появлялись файлы названиями r.exe или c.exe, которые антивирусом не опознавались как опасные. По свидетельствам других пользователей в папке Windows мог создаваться поддельный файл с названием svchost.exe (оригинал находится в папке System32). Тогда в процессах операционной системы трудно определить, какой из процессов, используемых программой svchost.exe есть истинный, а какой поддельный. Если у Вас стоит это ПО а такой тег появился, то вполне возможно, что запущена или модификация этого вируса, которая успевает обойти антивирус, или работает другой вирус, с похожим алгоритмом. Есть еще вариант, причем очень вероятный. Используемая программа-троян принадлежит к руткитам (программам, внедряемым в ядро операционной системы), которые трудно обнаруживаются антивирусами. Или используется уязвимость Internet Explorer 6. Вот как о ней писалось: Удаленный пользователь может с помощью специально сформированной Web страницы загрузить на удаленную систему произвольный HTA файл и затем выполнить его с привилегиями пользователя, запустившего браузер. Удачная эксплуатация уязвимости позволит злоумышленнику выполнить произвольный код на целевой системе.

Если с Вами произошла эта неприятность:
1. Полная проверка своего компьютера на вирусы, spyware, трояны и прочее вредоносное ПО антивирусом с последними обновлениями, для верности желательно использовать антивирусное ПО нескольких производителей.
2. Смена паролей доступа к всем ftp аккаунтам, cPanel, биллингу, если Вы не можете самостоятельно их поменять, тогда Вам следует обратиться в службу технической поддержки, которая генерирует и вышлет Вам новый пароль на доверительный email.
3. Восстановление сайта из резервных копий (которые Вы должны периодически делать), если у Вас их нет Вы можете так же обратиться в отдел технической поддержки с запросом на восстановление данных, но помните, что наша компания производит резервное копирование на случай сбоя оборудования по графику неделя/месяц и потому в резервной копии может храниться уже зараженная версия сайта.
4. Никогда не сохраняйте пароли в программах, если не уверены в своей памяти, запишите на отдельный носитель например бумажку :) хоть это и не верно с точки зрения информационной безопасности, зато вирусы не достанут.
5. Не передавайте пароли от ftp аккаунтов другим лицам, если все же такое случилось передайте тем людям эти рекомендации, так как утечка паролей могла произойти с их компьютеров.
6. Так как поиск уязвимостей хакерами ориентирован на Internet Explorer, есть компромиссный вариант: использовать альтернативный браузер, не базирующийся на платформе IE. Это Firefox (огненная лиса) на движке Mozilla. Но 100% гарантии это не дает.




Проверка домена (Whois) - С помощью этого сервиса Вы можете получить всю информаци о домене (если он уже зарегистрирован). Массовая проверка доменов - Этот очень полезный для вебмастера сервис, для ма ... Читать

F.A.Q. - Ответы на часто задаваемые вопросыВопрос:Какие ставить НС для домена на вашем хостинге? смотреть ответСначала добавляете домен, если он еще не добавлен, потом у регистратора прописываете:ns1. ... Читать

В нашей системе специально интегрированы несколько удобных инструментов при работе с сайтами. Теперь Вам будет довольно легко как определить ТИЦ и PR сайта, так и создать для него необходимые анкоры и ... Читать


3 декабря 2008 | Раздел: Новости Хостинга