Вирусы на сайте
2 июля неожиданно пришло мне на почту вот такое письмо от Яндекса на английском языке:
Some of the pages on your website may pose a threat to your visitor's computer security. The number of potentially harmful pages is 1.
Зарегистрировался на http://webmaster.yandex.com, запустил повторную проверку. На следующий день оно написало, что всё нормально, но я всё таки решил сравнить все файлы сайта с прошлогодней копией. Оказалось, что отличаются 12 файлов.
В папке temlates два файла имели дату 29.06.12. В файле header.tpl вместо строки
обнаружилось вот такое безобразие:
document.write('');
img/main_bg.gif) repeat-y center #244e9f;">
То же самое было в файле galleryEdit.tpl и ещё в десяти файлах в папке script\jscalendar.
Если поискать в Google, этот yogotraff можно встретить в коде множества русских сайтов: https://www.google.ru/search?ie=UTF-8&hl=ru&q=yogotraff.
Явно, это какая-то вредоносная дрянь. Разумеется, я восстановил файлы, поменял пароли и написал запрос хостинг-провайдеру, с вопросом каким образом произошло заражение. Получил ответ и логи. В это время кто-то с американского адреса 208.77.96.72 залез на мой ftp и заменил там кучу файлов. Как выяснилось, пострадали и другие мои сайты. Провайдер предложил проверить мой компьютер на вирусы. Проверил. DrWeb'ом и Касперским с загрузочных дисков для очистки совести. Нету вирусов. Только всякая мелочёвка в кэше FireFox'а. И как же тогда у меня утащили ftp-пароль? Он сложный, его не подберёшь.
Как страшно жить.
Some of the pages on your website may pose a threat to your visitor's computer security. The number of potentially harmful pages is 1.
Зарегистрировался на http://webmaster.yandex.com, запустил повторную проверку. На следующий день оно написало, что всё нормально, но я всё таки решил сравнить все файлы сайта с прошлогодней копией. Оказалось, что отличаются 12 файлов.
В папке temlates два файла имели дату 29.06.12. В файле header.tpl вместо строки
обнаружилось вот такое безобразие:
document.write('');
img/main_bg.gif) repeat-y center #244e9f;">
То же самое было в файле galleryEdit.tpl и ещё в десяти файлах в папке script\jscalendar.
Если поискать в Google, этот yogotraff можно встретить в коде множества русских сайтов: https://www.google.ru/search?ie=UTF-8&hl=ru&q=yogotraff.
Явно, это какая-то вредоносная дрянь. Разумеется, я восстановил файлы, поменял пароли и написал запрос хостинг-провайдеру, с вопросом каким образом произошло заражение. Получил ответ и логи. В это время кто-то с американского адреса 208.77.96.72 залез на мой ftp и заменил там кучу файлов. Как выяснилось, пострадали и другие мои сайты. Провайдер предложил проверить мой компьютер на вирусы. Проверил. DrWeb'ом и Касперским с загрузочных дисков для очистки совести. Нету вирусов. Только всякая мелочёвка в кэше FireFox'а. И как же тогда у меня утащили ftp-пароль? Он сложный, его не подберёшь.
Как страшно жить.