Вирусные инжекции на сайтах
Заметка описывает примерный алгоритм одного из способов распространения вредоносного кода.
Код внедряется следующим образом:
- Червь попадает на какой-нибудь сайт с популярным контентом и ждет посетителей.
- Если в браузере посетителя есть уязвимость, то червь
проникает на компьютер жертвы и поселяется на ней, используя методы для сокрытия своего пребывания.
- Кроме всего прочего, поселившийся червь может искать на компьютере
сохраненные пароли к FTP-серверам, либо иным средствам доступа к веб-ресурсам.
- Пароли отсылаются в координационный центр вирусной сети и оттуда
организуется проникновение опасного кода на скомпрометированные сайты (например, поражаются индексные файлы во всех директориях веб-сервера); аналогичные действия могут выполняться и напрямую, без использования общего центра.
- Далее цикл повторяется.
Черви обычно применяется несколько вариантов:
- Скрытый iframe
- Javascript-код, формирующий тот же скрытый iframe
- Инклуд Javascript'а со внешнего сервера с последствиями из п. 2
При обнаружении, надо удалить чужой код из файлов вашего сайта (восстановить сайт из резервной копии), выполнить полную проверку компьютера, установить последние обновления браузеров и сестемы.
При использовании нашего хостинга, немедленно сообщить об этом вебадминистратору: webmaster@kraft-s.ru.
|
