Блог QRZ.RU

Предупреждаю о массовом распространении вирусов и троянов, ворующих пароли ftp, в том числе для домашних страниц радиолюбителей.

Подобные вирусы заражают компьютер при загрузке инфицированной страницы браузером, для которого не установлены последние обновления, связанные с безопасностью. Заражённый таким образом компьютер перехватывает логины и пароли ftp, используемые для загрузки файлов на сервер, подключается с этими данными по ftp и добавляет в файлы на сервере код загрузки своей копии. Обычно это выглядит так:

Код:

<iframe src="http://..." width=1 height=1></iframe>

Инфицированные таким образом сайты также начинают распространять вирус.

Если вы обнаружили подобные изменения на страницах своего сайта, то настоятельно рекомендуем сделать следующее:

• проверить все компьютеры, имеющие доступ к ftp, на наличие вирусов,
• удалить внесенные вирусом изменения на своих сайтах,
• сообщить на admin (at) qrz.ru об этом факте - мы изменим пароль для вашего ftp-аккаунта
• никогда не сохранять пароли в программах ftp-клиентах!

Схема атаки

Ниже приведенная схема демонстрирует технологии и методы, часто используемые злоумышленниками для создания ботнетов и подготовки плацдармов для рассылки спама:

1. Взлом страниц радиолюбителей.
2. Размещение на скомпрометированных сайтах страниц, перенаправляющих посетителей на спамерские сайты.
3. Размещение на сайтах радиолюбителей ссылок на эксплойты.
4. Построение ботнета (сети) из зараженных компьютеров посетителей скомпрометированных сайтов.
5. Кража паролей к сайтам скомпрометированных пользователей.
6. Загрузка на машины, входящие в ботнет, спам-ботов для рассылки спама и других вредоносных программ.

Данные методы позволяют злоумышленникам организовать хорошо отлаженный процесс, который в идеале является зацикленным.

Встречаются также разновидности ботнетов, когда после кражи пароля на хостинг закачивается perl-скрипт, который запускается на исполнение и сразу же удаляется с диска, оставляя после себя только работающий процесс в памяти. Запуск таких скриптов осущестляется в несколько этапов:

1. по FTP закачивается perl-скрипт (спам-сервер) и php-скрипт
2. через броузер вызывается php-скрипт, который содержит в себе вызов функции exec (либо аналогичные) для запуска perl-скрипта
3. perl-скрипт запускается, и удаляет файл php-запуска, и сам perl-скрипт.

Таким образом на диске чисто (файлы удалены), а спам-скрипт начинает генерить миллионы спам-писем, получая их от сервера злоумышленника.

Именно поэтому на хостинге отключен вызов следующих PHP-функций:
exec, passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source

Кстати если вы используете php на хостинге для отправки почты, которая не доходит до ящиков - тут также может быть причина (из-за периодических спам-атак адрес хостинга может быть занесен в т.н. черные списки)

Нелишне конечно напоминать о необходимости обновлять свой антивирус - по крайней мере это снизит риски подобных проблем