HTML-вирусы и всё с ними связанное

Прошу простить за немного "кривоватый" текст. Сколько я не старался, форум всё равно сам делает большое кол-во такие странных переносов.
------------------------------------------------
Автор: Kuzya (Кузьмин Антон)
Сайт: http://kuzya.name
Перед прочтением хочу Вам сообщить о том, что я не занимаюсь рекламой каких-либо продуктов, я просто рекомендую то в чём сам уверен.
HTML-вирусы и всё с ними связанное.
Здравствуйте. В этой статье я решил рассмотреть так называемые HTML-вирусы. Возможно само название немного не точное (кто-то называет их JS-вирусами, кто-то по иному) но я буду использовать
именно его. Под данным словосочетанием я имею в виду вирусы, распространение которых происходит через веб-страницы.
Уже несколько лет они являются серьёзной проблемой веб-мастеров. На форумах ежедневно появляются одни и те же темы с вопросами - что делать если сайт заражён, как избежать инфицирования, кто во всём этом виноват и т.д. Так же имеется множество различных решений, большинство из которых ложные. Естественно, за такое долгое время появилось большое количество вымыслов в которые люди по незнанию верят. Образовалось море "специалистов" уничтожающих такие вирусы "сотнями в день" и наводящих страх на неопытных людей. Вообщем, заварилась такая каша - мама не горюй. До написания этой статьи я проблем в HTML-вирусах не видел. Ни разу они не поражали сайты над которыми я работал. Бродя по форумам и читая сообщения о заражениях я выработал для себя чёткую схему избавления от них и делился со всеми желающими. Имея знания, я не читал статьи на эту тему потому что сам понимал как и что делать. Как оказалось, зря не читал. К написанию этой статьи меня побудила очередное сообщение из разряда "Помогите, на сайте
вирус". Я думал что в сети достаточно информации по решению подобных проблем, но появляющиеся с завидной регулярностью темы заставили меня в этом усомниться. Тогда я задался вопросом - почему за такое продолжительное время для разработчиков не сделали чёткого руководства по устранению HTML-вирусов? Представив себя на месте паникующего веб-мастера, на чьём сайте появился троян или
прочая пакость, я пошёл в поисковики. Каково же было моё дивление, когда я только минут через 30 смог собрать достаточно информации (на мой взгляд) для устранения вируса. И информации не абы какой, а достоверной и понятной (опять же, у более-менее опытного человека и у новичка разные границы между понятной и непонятной информацией). Почти 90% всего потраченного времени я читал мифы про супер-хакеров, про сервисы которые от вирусов уже половину страны защищают и прочий хлам ориентированный на создание неразберихи в голове. Я сильно был удивлён узнав что
«профессиональная антивирусная защита сайта» стоит от 20 до 50 т.р. в месяц. Хотя работы там и на десятую часть этой суммы не наберётся.
После этого я и решил что статью нужно писать обязательно. Надеюсь, она для многих людей окажется полезной.

1. Суть проблемы.
Начнём с самого начала - с опасностей которые могут представлять для сайтовладельцев HTML-вирусы. На первом месте, понятное дело, стоит заражение пользователей. Так как большинство интернетчиков жалеют 1 т.р. в год (~85 р./месяц - копейки) на антивирус, то сайты с вредоносным кодом служат эффективными разносчиками заразы. Здесь виноваты сами пользователи.
Второе, чем может обернуться заражение – потеря посетителей. Особенно это страшно корпоративному сектору. Зайдя один раз на сайт компании и увидев восклицание антивируса кто-то сообщит об этом хозяину ресурса, а кто-то просто больше не придёт.
Третье – попадание в базу вредоносных сайтов Googl`а. Этот поисковик сейчас в России набирает обороты, поэтому с каждым днём всё больше и больше пользователей начинают искать информацию с его помощью. Прочитав предупреждение о том, что сайт занесён в чёрный список, никто не пройдёт по найденной ссылке. В браузере Firefox есть встроенная проверка посещаемого сайта в этой базе. Если сайт находится в списке «заразных» то браузер предупредит об этом пользователя. К тому же Google распространяет и специальные панели для браузеров со встроенной проверкой посещаемых
адресов. Вообщем, как ни крути – если Google заметит на сайте вредоносный код, то проблемы обеспечены.
И последнее – нарушение нормальной работы сайта. Часто при помещении вредоносного кода в жизненно-важные скрипты сайт просто перестаёт работать, выдавая посетителям вместе с вирусом горы ошибок.Всё вышеперечисленное относится к HTML-заразе. Но злоумышленники могут размещать не только её. На сайт может быть помещён контент из системы продажи ссылок, коды накрутки трафика
(обычно это невидимые iframe`ы в которых открывается другой сайт), или перенаправление пользователей на другой ресурс. Так же может быть размещена информация которая не видна пользователям, но видна поисковикам. Или же реклама любого рода. То есть в этих случаях сам сайт не страдает, но за счёт него нелегально получают выгоду другие люди. Такие варианты ни антивирусы, ни какие-либо другие средства защиты не обнаружают. Поэтому они могут очень долго оставаться незамеченными. Ну разве что моментальное перенаправление пользователя на другие сайты или открытие их в новом окне могут быстро себя раскрыть. Далее я не буду напрямую затрагивать тему такой рекламы, но всё нижеописанное применимо и в этих случаях.

2. Варианты появления вредоносного или нежелательного кода на сайте.
Рассмотрим теперь методы, с помощью которых чужой код может оказаться на Вашем ресурсе. На первом месте находятся вирусы. Здесь способов очень много, всё зависит от фантазии их создателя.
Приведу лишь самые распространённые. Наиболее популярный вариант - похищение FTP-паролей и последующее заражение сайта
третьим сервером. Не нужно думать что для этих целей вирусы пишутся специально. Пароли и прочую чувствительную информацию крадут различные трояны и черви, которые сами по себе могут быть
вообще не связаны с инфицированием сайтов. Украденная информация отсылается «хозяину» и он уже решает что с ней делать – либо кому-то продать, либо самому её использовать. В этом случае
собирается огромный список паролей от различных FTP-серверов и загружается в специальную программу, которая соединяясь с серверами начинает перезаписывать все (или только индексные)
файлы добавляя в них определённый код указанный злоумышленником.
Второй вариант - сайт может быть заражён мгновенно после заражения его владельца. То есть вирус похищает реквизиты доступа к сайту и отсылает их на третий сервер, который в свою очередь
сразу же проверяет полученные данные и инфицирует найденный сайт. Часто этот сервер может время от времени проверять заражённый сайт на наличие вредоносного кода. И если он пропал, производить заражение заново.
Крайне редко, попадая на пользовательскую машину и похитив данные для FTP-доступа, вирус самостоятельно или загружая и запуская специальный модуль, производит проверку и заражение сайта. Способ не распространён из-за того, что проще и надёжнее сначала похитить и собрать огромное количество паролей а потом разом заразить множество сайтов. Этот процесс хотя бы можно будет
контролировать и осуществлять именно тогда когда нужно, а не стихийно от заражения к заражению.
Следом за вирусами идёт использование неправильно выставленных прав доступа к файлам. Осуществляется это только на хостинг-площадках. Суть такова. Регистрируясь на каком-либо хостинге
Вы получаете свой каталог и находитесь с множеством других сайтов на одном сервере. При этом только Вы являетесь владельцем Ваших файлов и только Вы можете записывать в них информацию. Но
некоторые люди по различным причинам выставляют права доступа на файлы своего сайта так, что записывать в них информацию может любой желающий. Следовательно, можно запустить программу
которая будет искать файлы других сайтов с правами на запись, и помещать в них опасный код. В частности именно таким способом недавно были произведены дефейсы множества сайтов православной
тематики на одном специализированном хостинге.
За неправильно выставленными правами доступа идёт взлом самого хостинга. Вещь редкая, но крайне эффективная. Взлом может осуществляться как и при помощи хакерских техник (поиск
уязвимостей, подбор администраторских паролей и т.д.) так и при поддержке инсайдеров. В любом случае либо похищается база данных с реквизитами доступа клиентов, либо получаются привилегии
администратора, позволяющие изменять все веб-сайты на хостинге. Самое плохое тут то, что владельцы сайта почти не могут противостоять такому заражению. На следующем месте специальные сервера-переборщики. Они просто запущены где-то в сети и
всё время занимаются лишь тем, что подбирают пароли к различным FTP-ресурсам. Если подобрать пароль удаётся, они отсылают его своему владельцу. Цели для таких ботов в 99% случаев задаются
точечно (список хостингов, организаций и т.д.). Очень редко они случайным образом выбирают себе жертву.Далее идут вирусы со встроенными снифферами. Размещаясь на машине-жертве они начинают прослушивать сеть и искать в пойманном трафике реквизиты доступа к различным сервисам (например, POP3, FTP и т.д.). Отловив такую информацию они отсылают её хозяину. Ну а дальше злоумышленник делает с ними всё что хочет.
И последнее – заражение вручную. Данный способ осуществляется одним человеком или группой против одного конкретного ресурса. При этом ищутся уязвимости в ПО сервера, в используемых веб-приложениях и т.д. Вообщем, обычный взлом, только с целью размещения на сайте вредоносного кода, а не хищения информации или чего-то ещё (хотя и возможны комбинированные варианты). Если Вы думаете что применять данный способ нерентабельно, в свете использования различных роботов, массовых заражений и т.д., то Вы ошибаетесь. Возьмём очень раскрученные сайты с огромным количеством посетителей и прибыли. К FTP, SSH или панели управления таких сайтов трудно (а порой практически невозможно) подобрать пароль. Всё-таки статус заставляет заботиться о
безопасности. В таком случае сайт взламывается в ручную и только на самом последнем этапе (и то не всегда) процесс инфицирования может быть автоматизирован. Не верьте тому что подобный способ
применяется к обычным пользовательским сайтам или страничкам малых/средних организаций. Под такие атаки чаще всего попадают социальные сети, самые популярные новостные и информационные
порталы. То есть те ресурсы с которых отдачи можно получить намного больше чем с заражения нескольких сотен, а то и тысяч веб-сайтов.

3. Что помещается в коды страниц при таких атаках?
С самого начала и по сей день, на сайты помещаются либо iframe- либо script-теги. В случае с iframe`ом в качестве его источника указывается сайт с вредоносным кодом. Таким образом,
пользователи загружают вирус не с сайта на который они зашли, а со стороннего сервера. Если же используется тег «script» то вирус размещается непосредственно в теле страниц атакованного сайта. Его
код при этом шифруется, превращаясь во что ни будь непонятное. Очень редко встречается JS-код помещающий на текущую страницу тег iframe. К слову о перезаписи. Самые первые вирусы такого рода полностью перезаписывали заражаемые файлы. То есть оставалась лишь пустая страница с кодом вируса. Сейчас этого уже не применяют т.к. в этом случае гарантированно нарушается работа сайта. Следовательно, вирус обнаружается и устраняется быстрее.
С рекламой всё немного по другому. Рекламная информация, в отличие от вирусов, может быть запрятана глубоко, чтобы веб-мастер не мог быстро обнаружить её и удалить (почти всегда она
размещается вручную). Часто её размещают в базах данных. При этом почти всегда используется случайный вывод рекламы – один пользователь может не видеть рекламы, а у другого она будет везде.
Не сильно распространён, но более эффективен, способ подмены ссылок. При нём вообще трудно обнаружить источник вируса. Смысл такой подмены в том чтобы подменить адреса легальных ссылок (не всех, лишь нескольких) на адреса с вредоносным кодом. Бродя по сайту посетитель может внезапно попасть на другой хост где произойдёт заражение. Для маскировки, пользователь сразу может
быть перемещён обратно. Согласитесь, такой подход очень затрудняет выявление источника проблем потому что на сайте-жертве нет ни скриптов с вирусами, ни iframe`ов. Для большей убедительности приведу цитату из аналитической статьи «Буткит: вызов 2008» с сайта http :// viruslist . com
(http://www.viruslist.com/ru/analysis?pubid=204007635)

Не всегда при этом изменяемые ссылки могут быть статичны. Я нигде не встречал упоминания о динамично-изменяющихся ссылках, но теоретически можно написать JS-код который будет при каждом
посещении случайно изменять, скажем, 10-ую часть всех ссылок на странице. Обратите внимание на то что перезапись файлов может происходить по разному. Код может помещаться во все веб-файлы (файлы с расширением php, html, css и т.д.) или только в индексные. В
роли последних выступают не только страницы с именами “index.*”, но и те, название которых начинается или заканчивается на “index” (к примеру ”siteindex.html” или “indexnews.php”). Часто в различных папках, не имеющих индексные файлы, (например, директории со стилями или изображениями) создаются страницы содержащие только код вируса.

4. Как заражаются пользователи.
Почти всем пользователям известно - для того чтобы стать жертвой HTML-вируса требуется лишь зайти на страничку содержащую его код. Но не многие знают как именно происходит само заражение.
Когда этот метод атак только-только набирал популярность схема инфицирования посетителей была крайне проста. На сайт помещался эксплоит под самую свежую уязвимость в браузере Internet
Explorer (сказывалась его популярность), и каждый пользователь, вне зависимости от типа браузера, попадал под его действие. Так делают и сейчас, но очень редко. В основном этим занимаются
начинающие взломщики мечтающие иметь свой ботнет хотя бы в 100-200 машин.
Более технологически и финансово развитые люди/команды пользуются связками эксплойтов. С их использованием схема заражения изменяется, но не сильно. С начала вредоносный код определяет Вашу ОС, браузер, его версию, версии всех установленных компонентов, и только тогда выбирается и
запускается наиболее подходящий эксплоит. То есть с каждым пользователем работа идёт в индивидуальном порядке. Вопреки распространённому мнению инфицирование происходит не только
через уязвимости в браузере. Так же могут быть задействованы эксплойты для дыр в Flash player, Adobe Acrobat Reader, Apple Quicktime и многих других распространённых компонентах.
Решение этих проблем простое – свежий антивирус и регулярные автоматические обновления установленного софта. Проблема в том, что в нашей стране даже в больших городах не все
пользователи имеют безлимитные интернет-линии. Поэтому автоматические обновления программ просто отключаются и долгое время на компьютере может находиться уязвимый софт. С браузером IE, на мой взгляд, вообще всё глухо. Так как сильное распространение у нас получили пиратские копии Windows, а Microsoft блокирует обновление таких систем, то пользователи вообще никогда не пользуются службой Windows Update. Можно использовать различные кряки и патчи для того чтобы получать обновление как легальный пользователь, но зачем это нужно обычным людям? Это делают лишь единицы.

5. Избавление от заразы - сторона пользователя.
Начнём с пользовательских компьютеров т.к. вся цепочка заражения начинается именно с веб-мастера. Не скупитесь, потратьте ~1000р. на годовую лицензию антивируса Касперского. Поставьте его на ту машину, с которой Вы управляете сайтом. Не выключайте его автоматическое обновление, оно съедает минимум трафика. В версии «2009» этого антивируса появилась возможность поиска уязвимого
софта на компьютере пользователя. То есть тех программ, которые требуют срочного обновления связанного с безопасностью.
Не используйте Internet Explorer. Пользуйтесь Mozilla Firefox, Opera, Flock, Safari или Google Chrome. В отличие от первого у них обновления бесплатны, общедоступны и не приводят к различным
сбоям. К тому же эти браузеры просто надёжнее. Никогда не используйте программ основанных на ядре IE. Большая часть софта, показывающего инетрнет-страницы, работают именно через него.
Следовательно, они могут попасть под действие эксплойтов для этого браузера. Будьте внимательны, если программа как-то связана с ядром Internet Explorer`а то в её описании или справке это всегда
указывается. Но не стоит полагать что инфицирование пользователей происходит только через этот браузер. В Mozilla Firefox, Opera и остальных тоже находят уязвимости. Просто до тех пор пока IE
будет самым популярным внимание вирмейкеров будет обращено в основном на него. Плюс ко всему у Microsoft часто случаются серьёзные задержки между обнаружением уязвимости и выпуском патчей, чего не скажешь о других производителях, выпускающих заплатки крайне быстро.
Старайтесь максимально ограничить количество используемых браузером плагинов (если Вы не знаете что делает какой-либо плагин то обратитесь в Yandex или Google). В Mozilla Firefox работа с
плагинами осуществляется в специальном окне по адресу «Инструменты->Дополнения->Плагины». В Opera их список можно посмотреть введя в адресную строку «opera:plugins». Как легко и быстро удалять (или отключать) плагины в Oper`е я не знаю т.к. не часто ею пользуюсь, но на многих сайтах (например тут - http://www.myopera.net/forums/arhiv/32478.html) пишут что делать это нужно вручную. В Chrome плагины показываются по адресу «about:plugins». Удаляются они , если я ничего не упустил,
тоже в ручную. Описание удалений можно найти в Интернете. Небольшой пример удаления плагина Quicktime - http://www.google.com/support/forum/p/Chro...80d549256&hl=en. Как можно чаще проверяйте обновления для используемых плагинов. А ещё проще – не отключайте у них автоматическое обновление (оно есть везде – в Acrobat Reader`e, Shockwave Flash`e и т.д.). Ради безопасности придётся немного раскошелиться на трафик. Ну и в конце концов не нужно отключать антивирус или игнорировать сообщение браузера если он сообщает об опасности на сайте. Ту информацию, за которой Вы пришли на этот сайт, в большинстве случаев можно найти на других сайтах, в КЭШе поисковиков (там может быть нужная Вам страница, но в «чистом» виде), или, на худой конец, в веб-архиве archive.org.
Не слушайте тех кто рекомендует включать NoScript (отключение JavaScript в браузере). Вы только осложните себе жизнь т.к. большинство сайтов сейчас строятся с применением AJAX и прочих
JS-наворотов. Тем более про поддержку пользователей с отключенным JavaScript`ом все давно уже забыли. Сейчас это лишь бесполезная трата времени и сил разработчика. Не полагайтесь на
всевозможные «резалки» опасных тегов. Они легко обходятся конструкциями типа

6. Профилактика инцидентов.
Как известно, лучше бороться с причиной проблемы, чем с ёе последствиями. Сейчас я опишу несколько методов с помощью которых Вы можете свести риск заражения к минимуму.
Возьмитесь за ограничение круга людей имеющих доступ к FTP сайта (в идеале в этот круг должен входить только веб-мастер). Если Вы можете быть уверены в безопасности своего компьютера, то в защищённости компьютера стороннего человека - нет. Возьмите за привычку работать с сайтом только со своей, одной единственной, машины. В случае инцидентов Вы точно будете знать откуда всё
пошло. Предоставляйте другим людям реквизиты FTP-доступа к сайту только в исключительных ситуациях. Причём десять раз подумайте о необходимости этого. Если иного выхода нет, заведите отдельный FTP-аккаунт и после использования удалите его. Обратите внимание на то, что на многих хостингах можно настроить доступ к FTP только с определённых IP-адресов. Почти всегда это делается из панели управления сайтом, реже – через запрос в тех. поддержку (этого уже почти не встретить).
Если Вам требуется зайти на FTP с другой машины просто зайдите в панель управления и разрешите доступ с текущего IP-адреса. Не забудьте потом удалить это разрешение. Как вариант можно отказаться от использования FTP вообще, а для работы с файлами использовать файл-менеджер с веб-интерфейсом. Но мне кажется что это будет слишком параноидально.
Возьмите за привычку ежедневную (максимум – раз в 2 дня) проверку контрольных сумм файлов сайта. Времени это занимает минимум, а заражённые файлы Вы сможете отловить в минимальные сроки. Для этих целей в nix-системах имеется команда md5sum. Если Вы не имеете доступа к этой команде то можете воспользоваться моей утилитой “Structure Checker”.
При входе на FTP сайта обращайте внимание на дату последнего изменения индексного файла. Если она изменилась, а Вы ничего не делали, то немедленно начинайте проверку. Запомните эту дату
т.к. по ней Вы сможете легко найти все инфицированные файлы. На заражение может указать ещё и появление индексных файлов в тех директориях, где их раньше не было и появление файлов “index.php”
в тех папках где индексными файлами являются «index.html», «index.asp» и т.д.
Обычно при инфицировании происходит поиск огромного количества файлов в каждой директории. Это отчётливо отражается в логах FTP-сервера. Там появляется множество записей о запросах к несуществующим файлам.
Много где рекомендуют отказаться от хранения паролей в программах-клиентах типа Total Commander. Это приносит лишь неудобства. Многие вирусы перехватывают реквизиты доступа при их вводе или соединении. Так что, как ни крути, всё равно они уйдут стороннему лицу если компьютер инфицирован.

7. Избавление от заразы – сторона сайта.
Начинать, по моему мнению, стоит с отключения сайта. Если Вы размещаете сайт на хостинге под Apache, то положите в корень сайта файл “.htaccess” со случайным набором букв. После этого он
всегда будет отвечать ошибкой 500 (внутренняя ошибка сервера). Если же сервер доступен Вам физически, то просто отключите его от сети или выключите Apache. Почему я предлагаю именно это?
Всё очень просто. Сайт во время лечения будет недоступен как пользователям, так и поисковикам (следовательно, не может быть занесён в тот же чёрный список Google). Тем более если сервер отвечает кодом 500 или не отвечает вообще то поисковый бот (в случае индексирования сайта) заходит позже. Причём это не отражается на поисковом рейтинге сервера. На некоторых сайтах я видел рекомендации по размещению файла «.htaccess» запрещающего доступ ко всему сайту (ответ 403) или просто
перенаправления пользователей со всего сайта на страницу с текстом «Извините, сейчас на сайте проводятся тех. работы». Не делайте этого! В некоторых ситуациях такое решение может серьёзно
сказаться на рейтинге ресурса в поисковиках.
Проверьте на вирусы все компьютеры с которых в последнее время Вы (или кто-то другой)
заходили на FTP сайта. Не нужно это делать антвирусами типа Symantec, DrWeb, Panda и прочими сомнительными представителями антиврусной индустрии. Воспользуйтесь уже хорошо себя
зарекомендовавшими Avira, NOD или Kaspersky. Если по какой-то причине Вы не можете проверить лицензионной, полной версией антивируса то используйте демонстрационный период (Avira вообще
имеет очень хороший бесплатный вариант). Главное, обновите базы антивируса, а то проверка не даст результатов.
Затем следует поработать с самим телом сайта, предварительно сменив пароли доступа к FTP, а для большей эффективности – ко всем службам (делайте это только после того как будете уверены в
отсутствии вирусов на компьютере, с которого производится смена пароля). Сейчас 99% хостингов делает ежедневные резервные копии. В случае с выделенным сервером позаботьтесь о них
самостоятельно. Как я писал выше, при инфицировании сайта HTML-вирусами изменения вносятся только в веб-файлы (файлы html, php,js,css и т.д.). Соответственно, имея на руках свежий бэкап, в
чистоте которого Вы уверены, можно снести файлы текущего сайта и восстановить их из резервной копии. Благо в наше время работа с контентом производится через БД, а скрипты модифицируются веб-
мастерами не часто. Если же у Вас нет свежей копии, или в скрипты внесены какие-то изменения до создания оной, то придётся немного помучаться. Сначала скачивайте сайт целиком на компьютер (не
нужно качать картинки, exe,doc и прочие файлы в которые HTML-вирусы не записываются).
Идеальный вариант – архивирование файлов сайта на сервере и загрузка архива на машину веб-мастера. Проведите проверку полученных файлов антивирусом. В большинстве случаев он просто
вырежет вредоносный код, облегчив Вам жизнь. Если он этого сделать не может, удаляя заражённые страницы полностью, то придётся осуществлять чистку вручную. Поражённые файлы можно легко отловить, воспользовавшись поиском в них текста (например, такая возможность имеется в Total Commander). Вырежьте небольшой кусок вредоносного кода и ищите содержащие его страницы,
попутно их очищая. По окончанию работ снова проверьте всё антивирусом.
По поводу рекламы. Каких-либо точных способов избавления от неё нет, тут каждый случай индивидуален. Первоначальные действия все те же самые. Разве что сайт можно не отключать т.к. реклама никакого вреда ресурсу не наносит. Дальше начинайте проверять шаблоны и скрипты которые отвечают за вывод данных пользователю. Ну а там всё будет уже ясно.
Подмена ссылок. Изменяемые ссылки в 99% случаев статичны (по крайней мере, я не слышал о динамической подмене ссылок). То есть от веб-мастера, в случае такого заражения, требуется убить
кучу времени и проверить все ссылки на сайте. Для этого стоит использовать любое программное решение и просканировать все странички сайта, попутно отлавливая внешние ссылки (наврятли
рекламные ссылки будут направлены внутрь сайта). Это могут делать всевозможные сканнеры структуры сайтов. Возьмём сканер Intelli Tamper. Использовать его для таких целей я бы не стал, но как
пример вполне подходит – для каждой страницы он может показывать внешние и внутренние ссылки. Кстати, тот же Intelli Tamper и подобные ему программы можно использовать для проверки сайтов на
вирусы. При работе такой софт начинает получать с сайта море http-трафика, а большинство сегодняшних антивирусов этот трафик проверяют. То есть если в нём будет вредоносный код, то
антивирус мгновенно сообщит Вам об этом. Не стоит применять для этих целей он-лайн сканнеры антивирусных компаний. Большинство из них может проверить только указанный пользователем URI и
не более того.
И в самом конце следует уделить пару часов на анализ лог-файлов FTP. Возможно, в том что произошло виноваты не вирусы, а простой переборщик паролей. Полезно это ещё и тем, что Вы увидите
IP-адрес хоста ответственного за заражение. Если это не Ваш адрес (заражение произошло через третий сервер) то отправьте его любой антивирусной компании с описанием того что случилось. Возможно,
одним сервером-разносчиком станет меньше.
Под конец я опишу что делать если сайт попал в «чёрную» базу Google. Большой ошибкой будет просто вылечить сайт и сидеть ждать пока он из этой базы исчезнет. Ждать придётся долго, от недели
до 2 месяцев. Для таких случаев имеется более быстрый способ. Пройдите по адресу https://www.google.com/webmasters/tools/sitestatus?hl=ru и введите URI своего сайта. Кликните «Далее» и
получите общую информацию о введённом ресурсе. Затем жмите кнопку «Перейти в панель Google для веб-мастеров» и авторизируйтесь (если Вы не имеете аккаунта Google то заведите его). На многих форумах дальше рекомендуют загрузить новую карту сайта (sitemap) что автоматически приведёт к пересмотру сайта в течение 1-2 дней. Но для нашего случая есть специальное решение. Как только Вы вошли в панель управления и выбрали нужный Вам сайт, перейдите на страницу «Обзор» и жмите кнопку «Запросить пересмотр».

Ну вот вроде и всё что я хотел Вам рассказать. Если Вы думаете что всё описанное выше очень сложно, то со временем поймёте что ошибаетесь. Ни в коем случае не верьте во всё что пишут про html-вирусы СМИ и различные компании специализирующиеся на борьбе с ними. Избавиться от этой напасти может любой веб-мастер, даже самый не опытный. Удачи!

Это сообщение отредактировал Kuzya - 16.04.2009 - 14:07

Спасибо большое))))
Статья действительно нужная.

Спасибо бальщое за статью! очень интересно оказалос почитать про конструкции js iframe мне интересно очень как же злоумышлиники всетаки на этом наживаються? а если не наживаються то нахер зачем они это делают, с какой целью?