Email: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.

В.В. Севастьянов

Время - это самое дорогое

 

Вирусы типа Trojan-Downloader.JS.Iframe на современных веб-серверах, проблема и пути решения

Вирусы, инфекция iframe Вирусы, инфекция iframe

 

Компьютерная безопасность играет немаловажную роль в жизни современного общества. Атаки на сервера в сети с каждым днем становятся более изощреннее. При этом тип операционной системы и серверной платформы фактически не влияет на защищенность и средства необходимые для защиты от хакерских атак.

Наиболее часто хакеры используют не прямой взлом веб-сервера, а получение доступа по протоколам ftp и http, с помощью инфицирования компьютера администратора сервера и получения идентификационных данных, хранящихся в файлах браузера и ftp клиента. Это связано с тем, что многие администраторы сохраняют логины и пароли своих акаунтов в программах, предназначенных для получения доступа к веб-серверу, минимизируя свои трудозатраты на его ввод при каждом входе в систему.  
В большинстве случаев инфицирование компьютера администратора происходит при посещении зараженного интернет сайта. К сожалению даже популярные антивирусные системы не могут распознать тело подобного класса вируса. После загрузки стелс-вируса на пользовательский компьютер, он производит анализ известных ему программ предназначенных для получения доступа к серверу и либо начинает атаку на сервер непосредственно с зараженного компьютера, либо передает идентификационные данные в сеть четко определенному адресату: iframe src=http://здесь_будет_сайт_инфецированный_вирусом. Посетитель сайта открыв страницу, перейдет по ссылке ("src="/ где запустится скрипт который инфицирует его компьютер). В первом случае вирус попадая на сервер вносит в конец файлов по определенной маске вредоносный код, который чаще всего инфицирует файлы с расширением httacces, php, inc и js. Подобные изменения могут как добавлять нежелательный код на страницы сайта(например Trojan-Clicker.JS.Agent.h – это типичный пример механизма, который использовался в 2008 году и все еще используется (в 2009 году) для внедрения вредоносного кода. На страницу добавляется небольшой фрагмент JavaScript кода, который обычно подвергается обфускации для того, чтобы затруднить анализ. Обфускация просто состоит в подмене ASCII-символов, составляющих вредоносный код, их hex-кодами. После расшифровки код, как правило, представляет собой плавающий фрейм (iframe), ведущий на сайт, на котором находятся эксплойты. IP-адрес, на который ведет ссылка, может меняться, поскольку эксплойты размещаются на множестве различных сайтов. На главной странице вредоносного сайта обычно находятся эксплойты для IE, Firefox и Opera. Похожим образом действует и Trojan-Downloader.JS.Iframe.oj, «HTML:Iframe-inf» HTML-Iframe-inf идентифицирует вредоносные iframes на веб-сайте. iframe является HTML элементом, который интегрирует постороннее веб-содержание в посещаемые веб-сайты. То, какое именно вредоносное содержание интегрируется, зависит от взломщика. Он может внедрить любой вредоносный код на контролируемые веб-сервера, HTML:IFrame-U [Trj] Вредоносный JavaScript, который интегрирует невидимый iframe на веб-сайт. Вредоносный скрипт-код нацеливается на инфицирование компьютера посетителя сайта.), переадресовывать пользователей на другие сайты в случае переходов на веб-ресурс из поисковых систем, переназначить права на доступ к файлам и папкам, а так и уже на стороне сервера инфицировать остальные файлы без участия пользовательской инфицированной машины. Во втором случае данные могут быть использованы хакером по его усмотрению и последствия его действий непредсказуемы.
Для сокращения подобного вида угроз рекомендуется на сервере создание файлов с расширением ftpacces, внутри которых нужно установить запрет доступа на сервер со всех адресов кроме заданного статического ip адреса администратора. Всем файлам на сервера с помощью доступа через root акаунт установить владельцем пользователя root, и назначит права доступа только на чтение. В этом случае вирус не сможет внести изменения в файлы и папки, так как доступ к ним осуществляется пользователем без root-прав. Доступ по http через админ-панель также следует ограничить четко заданным ip адресом или диапазоном адресов. Введение паролей и логинов следует производить при каждом доступе в систему. Только при выполнении этих условий возможно нейтрализация подобного класса вируса на стадии получения доступа к системе.
В случае обнаружения инфицирования файлов на веб-сереве следует перезагрузить свой компьютер, так как в большинстве случаев циклическое инфицирование вирусом в этом случае прекращается, в следствии того что вирус активен пока находится в оперативной памяти компьютера непосредственно после инфицирования, а внесение информации в любые файлы может быть расценено антивирусной системой как вирусные действия, после чего он будет обнаружен и перенесен в карантин. После перезагрузки следует войти на сервер остановить на веб-серверное приложение, заменить все пароли доступа. Если имеется доступ в сайту по SSH (консоль) вы можете выполнить команду find . -type f -name '*.php' | xargs perl -p -i -e 's/.*infectedhost.*$//g' (данный скрипт произведет поиск во всех файлах php строку infectedhost.) В место infectedhost используйте url который был обнаружен как ифекционный. Если у Вас есть на сайте html файлы замените в строке *.php на *.html
После этого необходимо скачать все файлы на персональный компьютер найти шаблон расширений инфицированных файлов, установить какие данные были в них внесены и с помощью пакетной обработки ликвидировать все изменения.  Далее удалить все файлы с сервера и закачать на их место файлы с удаленным вредоносным кодом. Если это возможно, то используется восстановление файлов из бекапа, который также следует проверить на инфекцию и перед его установкой удалить все инфицированные объекты. После чего можно запустить веб-сервер в тестовом режиме для наблюдения за возможной повторной атакой.

Валентин Севастьянов

Мы можем сделать намного больше того, чем то, о чем мы мечтаем.

RATTING:
(9 голосов)