поиск вируса на сайте

[greysells]

Недавно гугль при посещении сайта  выдал сообщение что на нем присутствует вирус.  Про местоположение и удаление вредоносного кода прочитал. Что он находится в iframe или scripts, почти всегда в файле index.html , index.php. 

Я только недавно начал знакомиться с данной cms, и зараженный сайт делал не я.

-------------------------------------------------------------
Поэтому у меня вопрос:  где в cmsms находится главный индексный файл, или если архитектруа этой cms-ки имеет какие либо свои особенности, где можно найти инородный код?

А может вообще есть какие либо другие способы поиска и лечения сайта на этой cms?

[ZYV]

Самый главный совет - это, конечно, покупать порно на DVD-9 1080p и смотреть четко в проигрывателе на HD панели, тогда шансов заразить компьютер вирусом просто не будет. К кому в данном случае он обращен уточнить не могу --- к тому, кто при разработке сайта и его обслуживании от исключительного интеллекта сохранял пароли в своей программе FTP - Total Comander, FlashFXP или кто уж там чем пользуется.

Этот вирус работает так:

1) Товарищ шляется по сайтам сомнительного содержимого (у товарища, разумеется, лучшая операционная система всех времен и народов, при этом последние обновления не стоят, антивирус галимый (ворованный) и базы не свежие)

2) На странички одного из таких сайтов внедрен код вируса, который определяет что стоит у пользователя и подсовывает ему индивидуальный эксплоит.

3) Компьютер заражается вирусом, который сканирует жесткий диск на предмет файлов настроек популярных программ для работы с FTP, крадет сохраненные пароли и отсылает их своему хозяину . На этапе 3) может также устанавливаться дополнительный руткит, который будет иметь куда более злые намерения.

4) Хозяин передаёт их одному из армии ботов, который заходит на сайты, заражает все файлы, которые может найти кодом вируса и включает их в свою сеть. Обычно это файлы типа index.html, index.php и т.п.

Отсюда вывод: лечение надо начинать со смены паролей. Затем восстановить сайт из резервной копии, которые, вы, конечно, делаете каждую ночь. Потом уволить всех, кто хранил пароли в клиенте.

Если резервных копий не делается --- сами себе злобные буратина. Тогда удалять зловредный код вручную или пользуясь регулярными выражениями.

[greysells]

ZYV спасибо за ответ. Но все же, если придется искать злой код вручую, то в каких файлах cmsms его смотреть? где они в структуре админки находятся?

[ZYV]

Во всех. Раньше видел, что только index.php / index.html / index.htm заражали, теперь вообще куда ни попадя стали пихать.

[Il_Burbero]

ZYV спасибо за ответ. Но все же, если придется искать злой код вручую, то в каких файлах cmsms его смотреть? где они в структуре админки находятся?

Ну кабы я писал вирус я бы отталкивался от рекурсивной проверки имен файлов и директорий, т.е. получал бы все дерево сайта (файлов) и втыкал бы код либо во все файлы дерева, либо по расширению файла, либо по расширению и случайному алгоритму (а чтобы никто не догадался .
Так что ZYV прав, все файлы шерстить надо.

Недавно гугль при посещении сайта  выдал сообщение что на нем присутствует вирус.

Для начала я бы не стал слишком уж паниковать, Гугль как и Бог часто ошибается несмотря на все мое уважение к обоим возможно там БЫЛ вирус. Просто у меня была аналогичная ситуация сайт попал в "вирусный список" хотя был на простом ХТМЛе, я прошерстил весь ХТМЛь (благо его было немножко) ничего не нашел, создал клиенту сайт на КМС МС клиент сменил домен и проблема ушла.
Я предпологаю что кто то тупо "попользовался" сайтом, такое тоже может быть. Так что и тут ZYV прав нужно поменять все логин/пароли и пути (тоже не помешает)

1) Товарищ шляется по сайтам сомнительного содержимого (у товарища, разумеется, лучшая операционная система всех времен и народов, при этом последние обновления не стоят, антивирус галимый (ворованный) и базы не свежие)

Да а еще если "товарищ" работает на какого нибудь хостера (админит там) то такой товарищ просто клад

[ZYV]

Кстати, ещё о важности совета номер один.

Не далее как час назад заявился тут я в один академический институт. Там есть компьютер, которым пользуются по четным --- студенты-гастарбайтеры, а по нечетным --- секретарша маленького начальника. Когда я пришел, наша работа по оформлению бумаг время от времени прерывалась разворачивающимся на весь экран рекламным окном, в котором предлагались на выбор всякие замечательные резиновые фаллосы и тому подобные важные и полезные для здорового образа жизни в хозяйстве товары, однако закрыть его было никак нельзя (позже я узнал, что программа инъектирует код в системный процесс explorer.exe) пока оно само не закроется, через 30 секунд.

Мне стали жаловаться, что это окно не даёт никакой жизни, да и посетители стремаются. А ответ был прост. На комьютере стоял клиент какой-то pay per view сети, который так работал. И совершенно замечательным образом он удалился через "Установку и удаление программ". Так вот я им строго наказал порнографию покупать - только на DVD и в хорошем качестве.

[greysells]

проглядел некоторые файлы и обнаружил в них после тега вот такие злобные штукенции))  

eval('\x66\x75\x6e\x63\x74\x69\x6f\x6e\x20\x65\x4e\x46\x78\x28\x67\x7a\x64\x5a\x4e\x61\x29\x7b\x66\x75\x6e\x63\x74\x69\...   очень очень дофига  ...x6f\x6e\x20\x6a\x66\x79\x78\x28\x71\x4a\x6b\x47\x29\x3b');

и еще в некоторых директориях присутствуют пустые (0 байт) файлы index.html  -  они несут какой то вред?

--------------------------------------------------------------------
может ли помимо этого быть еще что то, менее масштабное.  Очень было бы полезно на примеры этих кодов посмотреть.

[MASSER]

можно установить антивирусный плагин для браузера и проверять подозрительные страницы.
Проверка ссылок — бесплатная услуга от компании «Доктор Веб» - http://www.freedrweb.com/browser/

и еще в некоторых директориях присутствуют пустые (0 байт) файлы index.html  -  они несут какой то вред?

эти точно не несут

[anbe]

Можно попробовать посмотреть шаблон, хотя не думаю, что код внедряли вручную.