Наверное многим веб-мастерам в последнее время пришлось познакомиться с разного рода вирусами, которые каким-то макаром оказались на главных страницах подопечных сайтов. Вот тут даже один товарищ раздаёт бесплатные советы, которые впрочем не помогут защитить ваш сайт от этой напасти. Всё потому что основной путь внедрения вируса на страницу – FTP (посредством кражи паролей на ftp-аккаунты и последующим их использованием). И насколько я понимаю механизм – некий робот добавляет js-код во все найденные индексные страницы.
Выглядит это обычно как document.write некой ереси (iframe-а) в конце документа.
Сегодня обнаружили такую вот гадость на сайте одного из клиентов. Убрали. Придумал способ борьбы с заразой с помощью php ;o)
Поскольку оригинальностью эти роботы не отличаются, то код просто append-иться к index.php,default.php и т.д. , я недолго думая просто добавил exit(); в конце индексного файла.
P.S.
Как бороться с утечкой паролей каждый пусть решает самостоятельно.
P.P.S.
Следующим витком эволюции этих вирусов вероятно станет синтаксический анализ скриптов, в которые надо будет внедряться ;o)
у нас код вставлялся в середину файла
Если это действительно так(а не в конец какого-либо файла, который потом include-ится), то позвольте не поверить, что этот код вставлялся роботом…
А у нас такой же случай был год назад и писался скрипт в начало. Так что это не вариант.
в качестве места проникновения скрипта был установлен Total Commander. Перевели всех на другую прогу и теперь всё в порядке (тьфу-тьфу-тьфу). Название проги не написал специально – реклама, однако…
TotalCommander круто.
только причем он тут? 😉
Ещё как причём…
прикольно.
только проблема-то не в total commander’е, а в трояне.
total commander даже предупреждает о том, что пароль, хоть и зашифрован, хранится открыто, перед тем, как пароль к ftp сохраняется.
в общем, нечего на зеркало пенять 🙂