ENG    РУС

Все заметки блога »

Вирус Troj/JSRedir-NZ. Как вылечить Troj/JSRedir-NZ.

Закажите лечение сайта и защиту от взлома у специалистов

В настоящее время наблюдается эпидемия вируса Troj/JSRedir-NZ на сайтах под управлением Joomla/Wordpress/DLE и на движках интернет-магазинов.

Из анализа логов (журналов) FTP/SSH/веб-сервера мы заметили, что взлом и заражение вирусом Troj/JSRedir-NZ происходит в большинстве случаев через скомпрометированный FTP аккаунт (увидеть это можно, если проанализировать обращения к зараженным файлам в xferlog, например, к index.php).

Как происходит взлом и заражение сайта? Администратор сайта, вебмастер или привлеченный фрилансер не задумывается о том, что FTP доступы могут быть легко перехвачены хакерами при работе в открытых сетях или при использовании незащищенного интернет-соединения (в кафе, метро, в парках, в гостиницах и пр.), что компьютер может быть заражен троянской программой, которая “слушает” подключение по 21 порту и перехватывает доступы, так как они передаются в открытом виде. Также есть вариант троянца, который вытаскивает логин/пароль непосредственно из настроек FTP клиента, где их сохраняет администратор (ведь это удобно!) Далее перехваченные доступы FTP передаются на управляющий сервер, и уже с другого хоста выполняется подключение по FTP, выгрузка файлов, внедрение в них вирусного кода, а затем загрузка обратно на сайт.

Операции могут выполняться ежедневно в различное время. В какие-то моменты времени вредоносный код удаляется из файлов, поэтому при анализе можно его не обнаружить. А на следующий день снова добавляться.

Таким образом получается “мигающий” статус в Яндексе и Гугле: "сайт может угрожать безопасности вашего компьютера или мобильного устройства". То на сайте появляется клеймо, то само пропадает (как будто сайт сам вылечивается). Но это, увы, не так.

Как выглядит Troj/JSRedir-NZ? Со стороны посетителя можно наблюдать вставку вредоносного javascript 

troj/redir-nz

в произвольном месте страницы (иногда в нескольких).
В файлах .php это может быть так:

troj/redir-nz /

Найти .php файлы, зараженные трояном Troj/JSRedir-NZ можно по фрагменту “__file_get_url_contents”. В .html файлах и шаблонах также можно поискать вставки javascript по фрагменту “--><script”.

После удаления вредоносного кода смените пароли от FTP аккаунтов, а еще лучше заблокируйте их на хостинге и используйте безопасное подключение по SFTP.

Памятка по безопасной работе с FTP протоколом //revisium.com/kb/secure-ftp.html есть у нас на сайте. Рекомендуем следовать ей, чтобы защитить свой сайт от взлома по FTP. Кроме того, есть целый мастер-класс по безопасной работе по FTP.

 

Если ваш сайт взломан и на нем появился Troj/JSRedir-NZ, рекомендуем обратиться к специалистам, которые не просто почистят последствия взлома сайта, но и установят причину, а также настроят надежную защиту от взлома, чтобы никакие вирусы и хакеры более не беспокоили ваш сайт.

Читайте другие заметки блога.

Обсуждаем!

Подпишитесь на RSS: