Mi történt?
A weblap fájljait megfertőzte egy kártékony féreg vagy vírus. Fontos, megjegyezni, hogy nem maga a tárhely kiszolgáló szervert fertőzték, vagy törték fel, hanem az ilyen jellegű cselekmények, olyan fertőzött számítógépről indultak, ahol mente volt a weboldal FTP elérése egy FTP kliens programban (Total Commander, FileZilla stb.).
Hogy lehetséges ez?
Ezek a programok a winchesteren adott helyen tárolják az FTP jelszavakat (Pl.: wcx_ftp.ini) általában kódolatlan formában. Így a féreg bejutva a gépbe, egyszerűen hozzájut ezekhez a fájlokhoz, így az összes olyan weboldalhoz, aminek tároltuk az FTP hozzáférését a programban. Az újabb variánsok már képesek az élő FTP kapcsolatot is kihasználva módosítani a fájlokat.
Mit történik ha ellopták az ftp adatokat?
Külföldi szerverről, IP címről belépnek a szerverre majd módosítják az alábbi fájlokat: index.php/.html/.htm, main.*, default.*, auth.*. A legújabb variánsok, teljes mélységben, tehát minden könyvtárban, amihez hozzáfér.
Mit keressek?
Tapasztalat azt mutatja, hogy általában a veszélyes kód a <body> tag után közvetlenül, vagy a </body> tag elé kerül be. Ez lehet JavaScript, idegen HTML kód vagy 0px-es iframe stb.
Íme egy példa:
Ha már fertőzöttek az index fájlok:
1, Végezzünk vírusirtást a gépünkön, ehhez Avast vírusirtót ajánljuk (otthoni felhasználásra ingyenes). Ha a saját vírusirtónkat használjuk akkor ügyeljünk, hogy a vírus adatbázisa a lehető legfrissebb legyen.
2, Az adminisztrációs felületre belépve változtassuk meg az FTP jelszavunkat, ha lehetséges alapban kerüljük az egyszerű jelszavakat.
3, A fertőzés mentes fájlokat másoljuk vissza a tárhelyünkre
4, Amennyiben Total Commander használunk töltsük le a legújabb, biztonságosabb változatát.
Google és Firefox szolgáltatása is jelzi a problémát a látogatóknak:
Ebben az esetben későn vettük észre a fertőzést és többen bejelentették weboldalunkat, hogy veszélyes.
A következő lépéseknél fontos, hogy már ne legyen fertőzött a weboldal.
1, Ellenőrizze, hogy a Google diagnosztizáló szoftvere mit mond a weboldaláról: (azendomainnevem.hu helyére a saját domain nevét írja!)
http://www.google.com/safebrowsing/diagnostic?site=http://azendomainnevem.hu
2, Jelentkezzen be a Google Webmester Eszközökbe (http://www.google.com/webmasters/) és ott eszközölje a kérdéses domain néven a felülvizsgálati kérelmet
Amint, az ellenőrző robotok végeztek az oldal ellenőrzésével, leveszik a veszély jelzést, ez több időt vehet igénybe, mint 24 óra. A Webmester Eszközökben nyomon követhetjük az állapotot.
