FTP-вирусы, подобные Downloader.JS.Psyme.ct или Троян, распространяются следующим образом:

1. Поражают компьютер клиента, с которого был доступ к вашему сайту по ftp, если:
   • вы зашли на инфицированный сайт небезопасным браузером (например, если не установлены все последние обновления для браузера от его производителя);
   • вы запускали программы, которые уже заражены вирусами;
   • ваш компьютер не защищен FireWall и антивирусником;
   • и другие причины.
2. Взламывает сервера(почтовые, файловые), на которых у вас хранятся пароли к фтп и другим ресурсам.
3. Взламывает сервера, через которые проходит маршрут к вашему сайту или взламывает ваш компьютер, но не крадет пароли, а отслеживает активные ftp-соединения. После того как вы завершили работать с сайтом, он использует ваше открытое соединение и делает свои черные дела, для этого ему даже не нужно знать ваши логины и пароли, так как он поддерживает соединение в открытом состоянии. Но это самый редкий случай.

Обычно вирус отслеживает логины и пароли от FTP-соединений в популярных программах FTP-клиентах под windows или в почтовых ящиках, затем подключается с данными логинами и паролями по протоколу FTP и заменяет один или несколько индексных файлов на сервере, дописывая в них свой код примерно такого содержания:

либо такой:

В результате сайт инфицируется и тоже начинает участвовать в распространении вируса.

Либо вирус полностью удаляет ваш сайт с сервера.

Если вы напишете в суппорт, то вам сообщат, с каких IP происходили FTP соединения с вашим аккаунтом. Но легче вам не станет, так как все равно, с каких IP заходил вирус

Некоторые модификации вируса воруют логины и пароли из Outlook, The Bat и др. почтовых клиентов, а потом пытаются рассылать спам через авторизованный SMTP.

Если вы обнаружили данные изменения на страницах своих сайтов, пожалуйста, обязательно проверьте свой локальный компьютер и сайт на наличие вирусов платными антивирусными программами или бесплатной Virustotal, удалите внесенные вирусом изменения на своих сайтах и измените пароли для ftp-аккаунтов на cервере, почте и других программах, к которым мог получить доступ фтп-вирус. Установите на свой сайт программу stop-ftp-virus, которая защитит его от злоумышленников, получивших доступ к сайту по ftp.

Вот некоторые рекомендации от администраторов, предоставляющих хостинг:

• ставьте антивирусы!!! Они помогают. Не всегда, но помогают;
• если выходите в интернет с определенного количества IP адресов, то попросите хостера ограничить подключение по фтп вашему аккаунту только с этих IP;
• не сохраняйте пароли в фтп-клиентах. Они уязвимы и украсть оттуда пароль очень легко. Пишите пароль на бумажечке и храните эту бумажечку в сейфе( ну или под матрасом если сейфа нет :) ).
• регулярно проверяйте файлы своего сайта.

Наша команда согласна с администраторами, это на самом деле может увеличить безопасность вашего сайта, но не всегда возможно придерживаться этих советов, и не всегда могут помочь эти меры предосторожности, так как:

• если проект часто модифицируется и развивается, то постоянно вводить пароли очень неудобно. А если над проектом работают несколько человек,то сложно проследить, чтоб эти пароли все хранили на бумажке;
• фильтрация IP помогает тоже частично, так как, если вирус не может с удаленного компьютера зайти по ftp, то он без проблем сделает это с вашего компьютера, то есть с разрешенного IP;
• регулярно проверять свои сайты довольно накладно:не нанимать же отдельного человека, который бы проверял сайты на вирус:)

Это еще раз даказывает, что наш софт жизненно необходим и важен для стабильности работы вашего сайта!





Источник: http://www.seomax.ru