Infected.

19 Фев, 2010 2 комм.

Все началось с посещения страницы со статистикой заработков за прошлые сутки. Мельком я заметил, что на некоторых страницах моего блога поисковый робот, проверяющий размещение рекламы, нашел ошибки. Странной мне показалась запись с разъяснением, что конкретно не так. Я полез проверить работоспособность данных страниц и первая же ссылка не открылась у меня на рабочей машине в офисе, прекратив загрузку где-то на полпути. Причем сегодня утром я отвечал на комментарии пользователей и пользовался админкой.

Перейдя в панель управления, я увидел пару ошибок, которые свидетельствовали о неправильной кодировке на блоге. Это показалось тем более странным, потому что пару дней назад я также заметил глюк с кодировкой, который быстренько устранил.

Дальше – больше. В панели управления, которая глючила все сильнее с каждым заходом, периодически открывались непонятные окна с рекламой от google. Я конечно же подумал, что переклинило гуглёвый adsense. Срочно отключив вывод всей рекламы, я убедился, что это не помогло. Зато заметил интересную деталь: корпоративный браузер (IE8) блокировал запросы на подгрузку непонятной ссылки при обращении к любой странице моего сайта. Все еще думая что проблема кроется в кодировках и оставшейся где-то рекламе от гугля, я скачал дистрибутив новой версии движка WordPress. Обновился. Не помогло. Еще через 3 минуты гугления я понял, что мой сайт инфицирован трояном.

Внимательно просмотрев HTML код страницы, я заметил посторонний java-script. Открыв сайт на другом компьютере с более старой версией Internet Explorera, стал виден результат действия трояна: в нижней части страницы подгружалось множество рекламы из google adsense. Корень зла был найден, оставалось его выкорчевать из всех php скриптов.

Я реально боялся, что троян будет иметь зашифрованный код. И тогда поможет только откат на резервную копию всего сайта. А это означает пропажу контента за несколько дней. Решив это оставить на самый крайний случай я начал ковырять код.

Скачав и перелопатив все php и html файлы, выводы были сделаны следующие. Троян поражает файлы index.php и часть файлов плагинов. Также появляются пустые index.html файлы, содержащие только код скрипта трояна.

За два захода я выпотрошил все записи с кодом трояна и мой сайт заработал в обычном режиме. В связи с обновлением версии движка пришлось обновить большое количество плагинов. В связи с чем функционал сайта и его работоспособность могли нарушиться. Если заметите какие-то проблемы – отпишитесь пожалуйста.

Если кому-то нужен кусок кода (например для поиска подобной гадости у себя на сайте) – обращайтесь, вышлю.

Раздумывая над причиной, по которой произошел этот инцидент, в голову приходит следующее: несколько дней назад у меня была проблема с запуском всех браузеров на домашней машине. Они просто не запускались и все тут. Типичный результат действия мелкопакостной заразы. Проверив весь комп на вирусы (у меня постоянно висит фоном NOD32), я ничего не нашел. Скачал и запустил DrWeb CureIt. Он нашел подозрительный файл, но вирусом он не был. В одной из строк реестра также нашлась подозрительная запись. Но и третья аварийная утилита от касперского ничего не нашла. Восстановив работоспособность браузера простым переименованием экзешника, я плюнул на это дело. И видимо зря. Не исключено, что в тот момент утекли куда надо пароли от моего ftp сервера. А уж внедрить туда потом трояна труда не составляет.

Вторым вариантом заражения могла быть новая тема оформления блога, которую я на днях тестировал. Именно после ее запуска на следующее утро у меня слетела кодировка на блоге. Возможно в ее файлах сидел вредоносный код, который запустившись инфицировал файлы моего блога.

В любом случае, зараза уничтожена, все явки и пароли изменены. Блог функционирует в штатном режиме.

p.s. за произошедшее обидно вдвойне из-за того, что как раз на сегодня пришелся апдейт ТИЦ на яндексе. он прошел для меня неудачно и блог потерял одну ступеньку рейтинга. Это вполне могло произойти по причине увеличившегося количества рекламных ссылок за счет непрошеного «рекламодателя».

Довольно серьезно задумываюсь о переносе всех своих web-проектов на движок joomla. В wordpress становится тесновато. Но оказывается и там есть свои «приморочки». Например, перенос таблиц из word в joomla. Сделать это простым копипастом нельзя, нужно воспользоваться хитрым приемом.

Теги записи:  Infected

Похожие статьи:

Жизнь, Моя жизнь, Храним!

Об авторе

Дмитрий Паравин - IT-специалист, коммерческий директор компании "12 Праздников". Автор и владелец сайта Paravin.ru.

2 ответов на “Infected.”

  1. Wosablok says:

    атака билайна отбита… ждём их следующего хода…

  2. PahanV says:

    в ie8 в левом нижнем углу желтый значок, щелкай, он скажет ошибку, тут была какаято java

Оставьте отзыв