Опасный вирус троян

Главная | Вирусы | Антивирусы | Бесплатные антивирусы | Мобильные антивирусы | Антивирусные новости | Статьи | Карта сайта

 

 

Выпуск 53

 

НОВЫЙ ОПАСНЫЙ ВИРУС ТРОЯН

Здравствуйте, уважаемые читатели!

Мы, с удовольствием, продолжаем публиковать интересные и полезные рассказы, присланные в издательство Info-DVD, на конкурс, под названием: "Реальные истории ИЗ ЖИЗНИ на тему компьютерной безопасности".

Сегодня, предлагаем вашему вниманию увлекательную историю от автора под псевдонимом Леон и надеемся, что вы извлечете из этой откровенной повести полезные уроки.

 

Как вирус-троян похитил пароли фтп-доступа к сайтам, и как мне удалось выпутаться из этой ситуации

           Автор: Леон

Моя история о том, как вирус-троян похитил пароли фтп-доступа к сайтам, которые я администрирую, и как мне удалось выпутаться из этой ситуации.

Я давно искал повод, чтобы поделиться с заинтересованными лицами этой историей. И этот конкурс пришелся как нельзя кстати.
Моя история не столько устрашающая, сколько поучительная. И еще это мучительное воспоминание для меня. Впрочем, как и для всякого другого, кто попадет в такую ситуацию.

Я на протяжении многих лет связан с интернет-технологиями. И довольно давно занимаюсь администрированием сайтов для удаленных заказчиков. Работаю с ними, естественно, через интернет, и имею под своей опекой на текущий момент несколько десятков довольно солидных проектов.

Работа эта ответственная, но непыльная. Деньги капают регулярно. Все, собственно, работает на автомате. Плюс оплата за непредусмотренные договором капризы сайтовладельцев. Им это выгодно, т.к. ко мне они обращаются нечасто, а держать для таких случаев специально оплачиваемого капризного тунеядца, накладно.

Потерять такой налаженный источник дохода - большой удар для меня.

И вот однажды прекрасным солнечным утром, когда, казалось, ничто не предвещало беды, я, как обычно, с чашечкой кофе в руке, удобно расположился за компьютером, чтобы проверить вверенное мне хозяйство.

Открывая по очереди все мои сайты, я отметил, что они, как-будто, грузятся медленнее, чем обычно. При этом вид самих сайтов не изменился

 

Присмотревшись, я обнаружил, что в процессе загрузки в строке состояния браузера отображаются ссылки на внешние подгружаемые элементы. Причем их УРЛ-адреса содержали фрагменты типа sex, porno, anal, fuck и т.п.

Я не ханжа, но сам с такой информацией никогда не работал, да и мои заказчики работают совсем в других сферах, имеют солидный, респектабельный бизнес и соответствующий имидж. И они явно не обрадовались бы тому, что я обнаружил.

Поэтому, в первый момент был шокирован. А представив себе последствия, означавшие конец моего тихого финансового благополучия, потерю заказов и т.п., я покрылся холодным потом. Сердце билось неровно, мозг сигнализировал о крайней степени опасности... В общем, можете себе представить мое состояние.


 


Первое, что я сделал, - открыл исходный код одного из сайтов в браузере, чтобы убедиться, что это не плод воображения. К сожалению, это была страшная действительность - внутри моего кода содержались чужеродные фрагменты, которые подгружали невесть что с незнакомого мне адреса и тянули трафик. То же самое было и на втором и на третьем и на десятом сайтах ...

К моему облегчению, "чужие" фрагменты кода внедрились только в страницы, лежащие в корне каждого сайта. Поэтому я, мысленно поздравив себя с тем, что заботливо хранил локальные версии сайтов, немедленно обновил эти страницы по anh? и сайты заработали как новые.

Поскольку я имею привычку вставать рано, с первыми лучами солнца, да еще учитывая, что с большинством из моих заказчиков я живу со значительной разницей во времени, никто из них ничего не заметил.

Вздохнув с облегчением, я накатал гневное письмо всем хостерам, обвинив их в том, что на хостинге поселился вирус, который заставил меня проделать так много лишних движений, а главное - заставил излишне поволноваться.

Но не тут-то было. Службы техподдедржки всех хостеров отреагировали довольно быстро (я, как профессионал, работаю с лучшими!), но однотипно - "на хостинге нет никаких вирусов, ищите причину у себя".

Это был второй удар! И какой! Почти ниже пояса :-) Я пользуюсь Касперским, и регулярно обновляю базы, ежедневно сканирую компьютер. Поэтому я был спокоен и уверен в своем компьютере. Правда, был наивен - на хостинге ведь тоже не дураки - профи покруче меня, наверное!

К тому же, после 24.00 этого же дня картина полностью повторилась - на всех сайтах опять появлся тот же внедренный код, а также его вариации. Кроме того, теперь код внедрился также в страницы корневого и первого уровня. Сайты стали грузиться еще медленнее.

Я опять по-быстрому перегрузил все "зараженные" страницы, написал хостерам гневные письма, и улегся спать. Мне снились тяжелые сны.

Утром, ни свет ни заря, все началось сначала. К счастью, мои работодатели, доверившие мне свои сайты, пока ни о чем не догадывались. И так - целую неделю.

Попытка по фрагментам "вражеского" кода разобраться, как и что происходит, не увенчалась успехом. Следы вели куда-то в Чехию и там терялись.

В отчаянии, не зная что предпринять, и как остановить этот кошмар, я "перебил" Виндоуз, и по новой загрузил все подопечные сайты. Хорошо, что не пришлось обновлять информацию, которая администрировалась владельцами и хранилась в базах данных.

Но это не помогло. Регулярно, два раза в сутки (в разное время, но, в основном, вечером, после 17 часов, ночью после 24 и после 3, или утром около 5), вражеский код вновь и вновь неизменно оказывался на месте, внедряясь при этом все глубже и глубже в иерархию сайта.

Тогда, я бросился за помощью к собратьям - на форумы. Предпринял широкомасштабный поиск по Интернету, потратив на все это в общей стложности около 10 часов. Я похудел, перестал нормально спать и есть. Так больше не могло продолжаться. И я готов был сдаться, признать себя пораженным.

Уверен, что все вы знаете, что в такие-то минуты к нам и приходят откровения - отголосок былых событий, мобилизуются давно забытые знания. Та и в моем воспаленном мозгу всплыла когда-то прочитанная фраза о том, что хранить пароли фтп-доступа в фтп-клиентах небезопасно.

Надежда умирает последней. Я, воспрянув духом, немедленно удалил все пароли из Total Commandera и Windows Commandera, которыми пользуюсь. Зашел в панель управления каждого сайта и поменял все пароли на новые. После этого я снова (в который раз!!!) обновил свои веб-сайты с их локальных версий, и, обессиленный и опустошенный, упал и заснул мертвым сном...

Следующее утро вновь было солнечным и радостным. Пели птицы. Свежий ветерок развевал занавески. Вставало солнце и над рекой рассеялся утренний туман. А все мои сайты работали как часы. Порнография больше не грузилась ни тогда ни во все последующие дни. Хозяева сайтов ни о чем не узнали, враг был повержен и я снова вернулся к спокойной размеренной жизни.

Из того, что произошло я вынес поучительный урок:

* храните все пароли в надежном месте, отдельно от клиентов, которыми пользуетесь. В моем случае, вирус-троян как раз и воспользовался уязвимостью, которая как показали мои дальнейшие исследования имеется в этих клиентах, и похитил пароли, передав из через Интернет по неизвестному адресу;
* не пользуйтесь бесплатным хостингом. В таком случае вы не сможете доверять службе поддержки, и всегда будете виноваты;
* обязательно храните локальные версии сайтов, тестируйте их на локальном веб-сервере, и лишь потом загружайте на хостинг. Платные хостеры предоставляют в пользование многие популярные скирпты - смс, доски, магазины. Но всегда keit иметь все это у себя и надежно хранить. Это еще один аргумент против бесплатных хостингов;
* не экономьте на антивирусных программах, не ленитесь лишний раз укрепить свою антивирусную защиту. Особенно, если это касается вашего заработка.

Жeлаю всем никогда не попадать в ситуацию, которую я описал выше.

Удачи!

 
 

*****