Механизм заражения: заражение производится автоматически, поэтому перед чисткой файлов от iframe’а нужно установить, как злоумышленник получил доступ к сайту. Наиболее вероятный вариант – троянец крадет пароли, передаваемые по сети в открытом виде, и отдает хозяину, который добавляет их в список и скармливает программе, заражающей сайты автоматически. Хотя бывает и так, что ломают хостинг. Описывать, как найти малварь на своем компьютере я здесь не буду.

Удаление вирусов: после того, как определен способ, которым воруются логин\пароль от ftp и приняты соответствующие меры (шифрование трафика, использование антивируса, фаервола, общение с саппортом) для защиты новых паролей, можно переходить к удалению вирусного кода с сайта.

Сначала нужно определить, какие файлы были заражены. Если таких очень много, то проще всего будет удалить все файлы и перезалить их заново, но это не всегда возможно и целесообразно.  Обычно заражают пару файлов вроде index.php, index.htm, *.js и т.д. Найти все зараженные файлы можно с помощью рекурсивого поиска характерной подстроки по всем директориям. Для этого я использую небольшой php-скрипт, принимающий 2 параметра – искомую строку str и дату date, после которой были изменения.

[download id="3"]

Если файлов немного, можно удалить вирусный код вручную, если много – использовать готовые решения в каких-нибудь редакторах или написать небольшой php-скрипт.

Обнаружение вирусов \ shell и т.п.: для обнаружения конкретно iframe-заражения можно попробовать использовать siteguard, но лучше всего написать php-скрипт, который будет подключаться ко всем php-файлам через auto_prepend_file и сверять со списком своих файлов и их контрольных сумм, в случае чего завершаться или слать репорт на почту \ в асю. Спецы могут дописать и восстановление. На одном из моих сайтов как раз после взлома хостера бот-ревизор подчищал за ботом-ифреймером

Как-нибудь потом я поделюсь своим скриптом, который все это делает.

Напишу очень коротко.  Я уже затрагивал эту тему в размышлении ““, но там вопрос ставился чуть иначе. Я писал, что пресловутой 100% защиты, которую косвенно внушает реклама продуктов, нет. Однако что же выбрать, ведь не использовать их нельзя? Пусть какая-то, но все-таки защита…

В этом посте я напишу о своем выборе антивируса.Первый фактор: оперативность обновлений. А все на самом деле просто: любой антивирус, который не обновляется, не способен по большому счету что-то противопоставить даже известному, но новому виду нечисти из семейства вредоносных программ.

Поэтому если вы не собираетесь следить за обновлениями антивируса или у вас нет такой возможности, то выбор в общем-то определяется вторым фактором, о котором чуть позже.

Стоит отметить, что важным критерием является оперативность выпуска обновлений для антивируса и возможностью автоматизировать этот процесс. В этой части все антивирусы более-менее равны, потому что особо сложного в обновлении технически ничего нет.

Тем не менее, еще раз повторю – без обновлений антивирус не эффективен.

На эвристику полагаться особо не стоит, как бы ее не рекламировали в своих продуктах антивирусные компании, в этом особых продвижений за 10 лет не видно.

Второй фактор: ресурсоемкость. Если антивирус слишком сильно тормозит систему, рефлекторно появляется желание поскорее его выключить или удалить.

Третий фактор: опытность пользователя. Если я умею пользоваться Process Explorerom, Autoruns и другими утилитами из набора sysinternals.com и уже не раз отлавливал вирусы, то особой нужны в резиденте \ антивирусном мониторе для себя я не вижу. Просканировал новый файл сканером 1 раз и этого, как правило, достаточно.

С другой стороны, если компьютером пользуются несколько человек и среди них не все опытные пользователи, то тогда лучше оставить резидент в памяти.

В общем, работает известный принцип разумной достаточности.

Для себя я выбрал простой и достаточно надежный сканер DrWeb.

P.S. это не реклама, по крайней мере, пока я не разобрался с партнеркой веба Просто мое субъективное мнение, которое подтверждено моей практикой.

Кстати, интересен парадокс – такая интересная штука, как возможность сканировать файлы онлайн, дает возможность вирусописателям гораздо быстрее создавать вирусы, которые не обнаруживаются авирами с последними базами. Мысль не моя, озвучена моим преподом, и в будущем, наверно, я ей уделю еще внимание.