Как мы боролись с вирусами

Рейтинг:   / 0
ПлохоОтлично 


Наш сайт довольно скромен, не претендует ни на какие звания и достижения. Цель «заработать на нем денег» отсутствует. За посещаемость и высокие места в поисковиках мы тоже не боремся. Все размещенные здесь материалы абсолютно бесплатны. Именно поэтому наш сайт построен на бесплатном движке Joomla и обслуживается нами самостоятельно, без помощи профессионалов-сайтостроителей. Наверное именно поэтому мы и подверглись заражению вирусом.

Итак, по-порядку, как это было.

Этап 1

В середине декабря 2012г. мы заметили резкое, в 2-3 раза, падение посещаемости. Подивившись такому делу, мы решили, что сказывается приближающийся Новый 2013 Год и не стали поднимать панику. Однако через несколько дней Google присылает уведомление «Ваш сайт содержит вредоносный код». Каково же было наше изумление, когда попытавшись войти на свой собственный сайт, мы увидели грозное такое, красное предупреждение «Этот сайт атакует компьютеры. Уходим отсюда!». Тут-то мы и начали разбираться, что же произошло.

Действительно, сайт оказался заражен. Нас даже в административную часть пускали нехотя. То есть войти мы могли, но что-либо сделать – нет. Около иконки «Пользователи» появилась цифра 2, хотя пользователей в списке как было 1, так и осталось. И на странице доступа к админке в окошке Логин появилась еще одна новая запись 0506381012. Изучив многочисленные рекомендации хостера, Касперского, Яндекса, Гугла и просто советы на различных форумах мы решили пойти самым, на наш взгляд, надежным и простым путем: восстановить резервную копию. Было сделано следующее:

1. Просканирован собственный компьютер 2-мя лицензионными антивирусами: ESET NOD32 и Касперский. ESET - наш личный. Затем вынули винчестер и вставили его в компьютер с Касперским. Вынуждены признать- оба антивируса ничего не нашли.

2. Запрещен доступ по FTP. Удалены все данные из FTP-менеджера.
3. Сменены все пароли к сайту, хостингу, FTP и т.д. Отключена функция сохранения паролей.
4. Восстановлена резервная копия тех времен, когда сайт работал исправно. Правда, с некоторой потерей информации, но восстановить было не очень сложно. Оставалось ждать, когда Google повторно проверит сайт на наличие вредоносного кода и вынесет новый вердикт.

Google сработал оперативно и вечером этого же дня доступ к нашему сайту был восстановлен. УРА! Сказали мы и стали готовиться к Новому Году.

Этап 2

Прошло пару недель, а с ними и Новый Год. Сидя дома в один из послепраздничных дней от нечего делать мы стали восстанавливать потерянную в результате вышеописанных событий информацию. И тут, прямо на наших глазах, происходит очередной взлом сайта. То есть, все открытые страницы либо виснут, либо самостоятельно закрываются, а компьютер, поморгав экраном, выключается. Включив его заново, мы увидели в точности ту же картину, что и в предыдущий раз.

Почертыхавшись немного опять восстанавливаем резервную копию и переустанавливаем систему на нашем компьютере. Мысли были такие: «зараза все-таки была в компьютере, ни ESET, ни Касперский найти ее не смогли. Значит, нужны более мощные средства.» Восстановив в очередной раз работоспособность сайта, мы замерли в напряженном ожидании: что же будет далее.

Этап 3

Прошла еще неделя. И опять мы видим, что резко упала посещаемость. Однако админка в порядке и Google молчит. Мы решаем подождать и посмотреть, что будет. Ожидание нас не подвело: через пару дней уже Яндекс присылает уведомление «Ваш сайт содержит вредоносный код». Но все работает!!! Признаков заражение, как в прошлый раз не наблюдалось!!! И тут мы случайно попытались зайти на свой собственный сайт через поисковик, а именно через Яндекс. И очень удивились, когда нас перебросило на какой-то совершенно незнакомый сайт для взрослых.

Начался новый этап борьбы со всемирным злом. Мы изучили много советов, историй и рекомендаций и в итоге нашли-таки бяку. Действовали таким-вот образом:

1 Бекап своего сайта, разархивируйте его
2 Открываем Notepade++ переходим сверху вкладка Поиск/Замена/Найти в файлах/ в строке Найти указываем то что нужно удалить в строке /Заменить на/ пустым не оставлять, там же есть обзор(ищем свою разархивированную папку с содерж сайта), ставим галочку во всех под папках
3 Нажимаем Заменить в файлах и один раз Ок и ждем долго он ищет минут 20-40

Ищем такую вот бяку:
eval(base64_decode("DQplcnJvcl9yZXBvcnRpbm.........итак символов до 3000 тыс)

Источник: joomlaforum.ru

У нас оказалось зараженными более 2000 файлов.

ESETом еще раз просканировали все это хозяйство. К нашему великому удивлению нашел в этот раз ESET бяку: троян сидел в папке с фотографиями. Файл назывался xgdbjb.php Порадовавшись немного и отметив победу пивом, мы в очередной раз восстанавливаем работоспособность сайта.

Этап 4

Яндекс снял пометку о вредности нашего сайта, посещаемость восстановилась. Но ненадолго. Через каких-то 3 дня опять проваливается посещаемость и восстанавливается редирект хрен знает куда. Мы срочно восстанавливаем резервную копию, что бы Яндекс ничего не заметил. Не успели. Опять мы в черном списке, опять все с начала.

В этот раз совершенно ясно, что какая-то зараза до сих пор не найдена. Мы повторяем все шаги, как делали ранее, изучаем еще больше информации на эту тему. Но результата нет. Никакие сканирования, никакие поиски ничего не дают. Зараза спряталась надежно. Надежда потихоньку таяла, остался последний шанс - лог-файлы на сервере. Мы раньше их смотрели, но так как не являемся специалистами в области компьютерной техники и программирования в частности, обзор логов нам ничего не дал. Так и в этот раз с грустными мыслями мы вяло изучали записи, стараясь не пропустить ни одной строчки.

И тут, О Чудо, наше внимание привлекает обращение к совершенно непонятному файлу, явно выбивающемуся из стройного ряда Joomlaвских файлов. Имя ему .cache_hx9jmg.php Пробиваем IP – Люксембург. С этого IP запрашиваются только этот файл, и найденный ранее ESETом троянский файл. Даем его обнюхать ESETу – тишина, не видит он опасности!

Следует добавить еще такой симптом заражения: во время загрузки сайта мы видели постоянные подгрузки с совершенно непонятных и незнакомых нам сайтов типа: dns-stuff.com, ddns.name и т.д. После удаления вышеуказанной заразы, все противоестественные симптомы пропали. Яндекс поздравил с успешной очисткой сайта. Посещаемость восстановилась.

А мы, затаив дыхание, ждем. Пока все тихо.

Вот зараза такая, опять враги подкрались незаметно, опять чистим сайт. Прошло всго пару недель.

Подведем итог очень коротко - зараза пролезала через JCE. После удаления редактора больше 4-х месяцев в нашем царстве тихо и спокойно. Надеемся и дальше будет так же.