|
|
|
| Народ будьте осторожны. Вирусная активность повысилась. За последние несколько дней 50 проектов компнии были заражены вирусом js.Remora.bp. Неизвестно откуда он взялся - последствия его велики. Он внедряется во все файлы в корне сайта с расширением html, php, Если есть папка с именем /admin, то и все фалы в ней. Теперь появилась его модификация - антивири его не видят.
А теперь вопрос, как защитить файлы от внедрения в них кода.
У меня есть 2 варианта
1. В каждый файл ставим функцию которая сверяет размер файла с оригинальным если не совпадает - бьет тревогу и шлет мыло, блокируя сайт с помощью die();
<?
visus_detect($size = 31112, __FILE__);
?>
|
2. При обнаружении вируса в файле - скрипт закачивает бэкап его с другого резервного сервера.
Что вы можете предложить.
ЗЫ: насколько я понял вирус китайского производства | |
|
|
|
|
|
|
|
для: mihdan
(11.02.2008 в 17:39)
| | up | |
|
|
|
|
|
|
|
для: mihdan
(11.02.2008 в 18:04)
| | - последствия его велики
========================
какие последствия? | |
|
|
|
|
|
|
|
для: elenaki
(11.02.2008 в 18:14)
| | Как минимум - 17 троянов себе на комп через этого бэкдура заливается. Активируется естественно при заходе на страницу через Интернет Эксплорер, кои мпользуется более половины народа.
Возникла идея, может попробовать crc | |
|
|
|
|
|
|
|
для: mihdan
(11.02.2008 в 22:30)
| | Сайт Ваш, или из нета? | |
|
|
|
|
|
|
|
для: Faraon
(11.02.2008 в 22:35)
| | Мой из нета - у меня 50 проектов, так что предложите? | |
|
|
|
|
|
|
|
для: mihdan
(11.02.2008 в 17:39)
| | 1) md5(glob('*/*/*'));
2) поменять расширения)))
=) больше ничего придумать не смог.... | |
|
|
|
|
|
|
|
для: а-я
(11.02.2008 в 19:54)
| | >2) поменять расширения)))
Вы предлагаете на 50 проектах в 300 файлах на каждом поменять расширение файлов? | |
|
|
|
|
|
|
|
для: mihdan
(11.02.2008 в 17:39)
| | Сталкивался с подобным вирусом. Он сидит на компе и ждет подключения к фтп. Когда оное происходит он заливает свой вредоносный код в файлы на сервере. Установка chmod 0444, в каком-то смысле, решило проблему. Позже, нужно было только найти сам вирус и удалить его. | |
|
|
|
|
|
|
|
для: Drago
(11.02.2008 в 23:19)
| | Блин, чтот и не подумал про права. Хотя с другой стороны. Если он юзает мой логин и пасс от фтп, то ему по барабану на права - я ведь могу править файлы - соответственно и он тож сможет. Или вы предлагаете сделать это под другим пользователем? | |
|
|
|
|
|
|
|
для: Drago
(11.02.2008 в 23:19)
| | Как его найти? Он распространился по всем компам локалки - антивирус его не берет (Каспер, Вэб, Аваст, Нод). Убил я его на компах, но есть подозрение, что он на самом сервере. | |
|
|
|
|
|
|
|
для: mihdan
(12.02.2008 в 00:56)
| | Такого как у вас не видел, но с двумя, с которыми сталкивался, сидели выше папки htdocs. Через FTP все проверял, чистил, а потом заменил скрипты и все. | |
|
|
|
|
|
|
|
для: sim5
(12.02.2008 в 07:35)
| | Товарищи, я сталкивался с такой проблемой. Видимо взломанный Total Commander воровал пароли на FTP и после этого весь сервак (25 сайтов) были заражены. В каждый index.* встраивался вредоностный код (JavaScript вставлял невидимый IFRAME с размером 1х1 пикселей). Я написал скрипт который ищет во всех таких файлах встроеный код и удалял его регулярным выражением. Потом выставил в Cron и все, каждую ночь была проверка всего сервера и если, что мне высылался отчет такой-то файл был заражен.
P.S. Перестал пользоваться Total Commanderom все исчезло :) | |
|
|
|
|
|
|
|
для: Петр
(12.02.2008 в 08:00)
| | А я ведь юзаю коммандер и тож ломанный. Спасибо за совет. Кстати про крон - тож решение хорошее. Регулурку заточил под данный тип вируса - будем надеятся что вылечимся. Еще варианты есть? | |
|
|
|
|
|
|
|
для: mihdan
(12.02.2008 в 11:55)
| | Список зараженных файлов - полюбуйтесь! | |
|
|
|