Последствия заражения сайта вирусами

Помимо заброса ссылок на продвигаемые злоумышленником сайты, вирусы могут делать множество других вредных действий:

  • Переадресация посетителей с Вашего сайта на сайт создателя вируса.
    Иногда создателю вируса надо срочно собрать много посетителей на своем сайте или сайте клиента, который он продвигает. В этом случае все средства хороши, и ему наплевать, что хозяин сайта быстро заметит беду. Вирус выдает javascript-редирект, перебрасывающий посетителя с Вашего сайта на другой. Этот редирект видят также и поисковики, и расценивают его как недобросовестную технологию продвижения. В реультате позиции сайта в поисковиках падают и восстанавливаются очень долго, как и в первом варианте.
  • Навязчивый баннер, уводящий посетителей Вашего сайта на ресурс создателя вируса.
    Этот вариант встречается редко, потому что его сразу видно и хозяин сайта принимает меры. Чаще всего этот вид вирусов используется не самостоятельно, а в комбинации с вирусами из следующей группы.
  • Клоакинг, делающий Ваш сайт незаметным для поисковиков. Этот случай бывает, если вирус подбросил Ваш конкурент. Обосновавшись на Вашем сайте, вирус внедряет в него meta тег, директиву в robots.txt либо http-ответ сервера, запрещающие индексацию, и сайт выпадает из поисковиков. Проверка сайта с помощью антивирусной сигнализации позволяет выявить такие случаи.

Загрузка троянов в компьютеры посетителей

Главная цель таких вирусов - похищение номеров пластиковых карт, паролей ftp доступа, паролей от e-mail, ICQ, Skype, webmoney и других электронных валют.

"злые" вирусы, как правило, не выбивают сайт из поисковиков. Им выгодно, чтобы у Вас всегда было много посетителей, которых можно заразить. Увидев вирус на Вашем сайте, поисковики ставят на него метку "этот сайт распространяет вредоносные программы", и эта метка отображается в результатах поиска около названия вашего сайта. Более того, посетители, использующие броузер Mozilla, при попытке перейти на Ваш сайт видят красный предупреждающий экран, и в страхе закрывают броузер.

Кроме того, эти вирусы:

  • вызывают катастрофическое падение посещаемости сайта, вызванное вирусной пометкой, отображемой в результатах поиска Google, Яндекс и других поисковиков,
  • рассылают вашим друзьям спам и вирусы по e-mail и ICQ от Вашего имени;
  • размножаются сами и распроспространяют другие вирусы, заражая по ftp другие Ваши сайты и сайты Ваших друзей;
  • наносят вред Вашей репутации, потому что посетители уходят с Вашего сайта, когда их антивирусные программы начинают бить тревогу.
  • прописывают на сайте код, позволяющий закачивать на сайт любые файлы и управлять базой данных сайта (скрипты web-shell),
  • эксплуатируют уязвимости движка сайта,
  • перехватывают финансовую информацию,
  • подставляют платежные реквизиты создателя вируса вместо Ваших (но только на момент совершения оплаты),
  • тихо сливают информацию с Вашего сайта создателю вируса (адреса Ваших пользователей попадают в спам-базы, анкетные данные используются для pfishing и т.д.)

"Контроль вируса над сайтом"

Есть вирусы, которые глубоко и интеллектуально интегрируются в код Вашего сайта, что делает их очень трудными для обнаружения. Долгие месяцы длится борьба с последствиями деятельности таких вирусов, идут большие убытки прежде чем заразу все же удается искоренить.

К "очень страшным" можно отнести хорошо замаскированные скрипты.

Борьба с такого рода вирусами может стоить столько же, как создание нового сайта, и прогресс всегда имеет вероятностный характер, никто не может дать ответ по срокам и вообще по самой перспективе победы.

 

Механизмы заражения

Наиболее типичный способ поймать вирус - посещение зараженного сайта уязвимым броузером (Internet Explorer и в меньшей степени Mozilla).

В код зараженного сайта вписан iframe или шифрованный javascript, закачивающий в Ваш компьютер .exe файл, который уже делает остальную работу.
Свежезакачанный троян похищает из популярных ftp-клиентов, таких как Total Commander и Cute FTP файлы паролей от Ваших сайтов и отправляет их создателю вируса. Используя эти пароли, сделанный хакером робот вписывает пресловутый iframe или javascript в код Вашего сайта. Посетители подхватывают вирус от Вас и заражение продолжается.

Как правило iframe или закодированный javascript вписывают в файлы, содержащие в своем названии слова "index", "main", реже "header" и "footer". Иногда вирусный код вписывается во все файлы, содержащие в себе теги "<html>", "<body>", "<head>", "</head>", "</body>", "</html>". Поскольку обход файлов, пароли от которых удалось украсть, осуществляет робот, вписание вредоносного кода делается вслепую и часто получается кривоватым. В результате файлы сайта повреждаются, сайт перестает открываться. Цель вирусописателя в этом случае оказывается недостигнутой: размножение вируса не происходит.

Второй по распространенности и "эпидемичности" способ заражения - утечка паролей у хостеров.

Порой случается, что хакерам удается завладеть файлами, содержащими ftp пароли тысяч клиентов хостинговой компании. Вскоре все сайты этих клиентов оказываются зараженными и хостеры хватаются за головы. Странно, что при таком раскладе никто из хостеров до сих пор не создал достойных антивирусных решений для своих серверов и для сайтов клиентов.

Третий способ, поражающий довольно малое число сайтов, но зато более точно и опасно - это намеренное заражение Вашего сайта хакером или бывшим сотрудником или бизнес-партнером (программистом, системным администратором, seo-специалистом, администратором/модератором сайта или форума, контент-менеджером, дизайнером). Именно к такому способу заражения относится наибольшее число "очень страшных" вирусов.
Выход один: давать доступ к сайту только надежным людям и менять все пароли доступа ДО того, как сообщать сотруднику, что в его услугах Вы больше не нуждаетесь.

Подробнее о том, как избежать заражения.