Curățarea site-urilor infestate prin FTP

Infestarea site-urilor prin FTP, implică injectarea în codul site-ului a unui iframe prin care, la accesarea site-ului modificat se încarcă un site raportat ca 'attack site'. Acesta din urmă urmărește instalarea unui program malware pe stația utilizatorului la accesarea site-ului, colectarea de informații sau afișarea de conținut nesolicitat. Faptul că site-ul a fost infestat se observă la incarcarea acestuia în web browser, unde de la caz la caz, browserul afișează un avertisment privind conținutul potențial dăunător al site-ului respectiv, sau printr-un avertisment afișat de antivirusul instalat pe stația de lucru de pe care se acceseaza site-ul.

Mecanismul infecției este următorul: De pe stația de lucru de pe care se accesează site-ul prin FTP sunt preluate parolele de un trojan. Datele furate sunt folosite pentru logarea la FTP descărcarea unor fișiere și injectarea in cadrul acestora a codului dăunător, după care sunt reîncarcate în cadrul site-ului. Fișierele infectate sunt de obicei fișiere index.php sau index.html, insă modificarea poate fi făcută și în cadrul scripturilor .js, care în cazul infestării vor conține un URL codat, care ulterior în momentul execuției va fi decodat.

În continuare sunt descriși pașii necesari pentru a corecta consecințele unui atac prin FTP asupra site-ului și a preveni reinfestarea acestora. Pentru a preveni reinfestarea este important să executați pașii în această ordine:

  • Scanați antivirus și devirusați stațiile de lucru de pe care se face accesul FTP la site-ul infestat. Pentru acesta folosiți cel puțin un produs antivirus bun și un produs antispyware. Dacă această operație nu este executată corect și complet site-ul va fi reinfestat în cel mult câteva ore de la curățare codului străin.

  • Schimbați parolele de FTP ale conturilor folosite la accesarea site-ului. Pentru acesta folosiți panoul de control al contului de găzduire. Neschimbarea parolelor poate duce la reapariția problemei prin refolosirea parolele cunoscute pentru un nou atac.

  • Verificați cu atenție și îndepărtați codul străin din cadrul site-ului infestat. Verificați toate fișierele, cu prioritate fișierele index. Cel mai adesea veți constata prezența unui iframe la începutul sau sfârșitul fișierului infestat.

Executarea cu atenție a acestor operații în ordinea prezentată va asigura rezolvarea problemei. Ulteriror urmăriți asigurarea unei mai bune securități a stației de lucru de pe care efectuați accesul prin FTP, pentru a evita astfel de probleme.