Почему нужно сразу удалять вирус с сайта.

Совсем недавно 13 июня на одном моем хостинг аккаунте произошло пренепреятнейшее проишествие, были взломаны все сайты, заменены все файлы index.php,  index.html и index.htm .Такое бывает и я не обратил особого внимания, в тот же день восстановил все сайты, обновил движки, вычистил уязвимости, сменил пароли, закрыл небезопасные папки, в общем сделал все чтобы подобное не повторилось.Однако каково же было мое удивление, когда от регистратора доменов (рег.ру) пришло уведомление о необходимости подтверждения моих паспортных данных на все домены находящиеся именно в этом хостинг аккаунте.
Почему то я отложил этот вопрос и однажды обнаружил, что часть доменов сняты с делегирования. Рег.ру отнеслись довольно демократично и для начала разделегировали самые некоммерческие проекты.

Я в тот же день отправил сканы, в ответ приходит ответ от тех.поддержки, что на все мои домены пришла абуза и просят принять меры и объяснить, что случилось.

Приложили текст абузы:

Dear abuse team,

please help to close these offending portals sites(26) so far.

status: As of 2012-06-13 01:10:21 CEST
http://support.clean-mx.de/clean-mx/[email protected]&response=alive

(for full uri, please scroll to the right end …

This information has been generated out of our comprehensive real time
database, tracking worldwide portals URI’s

most likely also affected pages for these ip may be found via passive dns
please have a look on these other domains correlated to these ip
example: see  http://www.bfk.de/bfk_dnslogger.html?query=*****(здесь был ip моих сайтов)

If your review this list of offending site, please do this carefully,
pay attention for redirects also!
Also, please consider this particular machines may have a root kit installed !
So simply deleting some files or dirs or disabling cgi may not really
solve the issue !

Advice: The appearance of a Virus Site on a server means that
someone intruded into the system. The server’s owner should
disconnect and not return the system into service until an
audit is performed to ensure no data was lost, that all OS and
internet software is up to date with the latest security fixes,
and that any backdoors and other exploits left by the intruders
are closed. Logs should be preserved and analyzed and, perhaps,
the appropriate law enforcement agencies notified.

DO NOT JUST DELETE THE FILES. IF YOU DO NOT FIX THE SECURITY
PROBLEM, THEY WILL BE BACK!

You may forward my information to law enforcement, CERTs,
other responsible admins, or similar agencies.

+————————————————————————————————

|date                           |id     |virusname      |ip
|domain         |Url|
+————————————————————————————————
|2012-06-13 00:54:05 CEST       |1184275        |defaced_site
|31.31.196.22

******

Здесь был список сайтов

*****
+————————————————————————————————

Your email address has been pulled out of whois concerning this
offending network block(s).
If you are not concerned with anti-fraud measurements, please forward
this mail to the next responsible desk available…

If you just close(d) these incident(s) please give us a feedback, our
automatic walker process may not detect a closed case

 

Я объяснил что случилось, что вирусы были не мои и вообще я пострадавший а не злоумышленник.

Выводы:

  • Вслед за взломом сайтов может последовать абуза регистратору за распространение вирусов. Поэтому удаляйте вирус как можно быстрее.
  • Порадовала тех поддержка рег.ру быстро вникли в ситуацию и оперативно вернули мне домены.

PS. источник картинки

PPS. А ведь наверняка многие вирусописатели пишут свои вирусы, чтобы получить много денег, которых хватит например на новый или б/у вольво . По-моему хороший и красивый автомобиль, а главное европейского качества и по демократичной цене. А главное что это автомобиль с мужским характером.

7 комментариев

  • Андрей

    27.06.2012

    а не редирект ли случайно имел место быть? та же беда постигла, вордпресс надо обновлять чаще)

    Reply
  • ZeDDy

    27.06.2012

    Нет, имел место политический взлом )))

    На все сайты навесили одностраничник с надписью на английском и сирийском «Россия-враг сирийского народа» и объяснение, что это не моя вина, а вина россии за внешнюю политику. и ссылка на хакерскую группу, на их сайте были списки сотен аналогично взломанных российских сайтов.

    Ну и троянчик в придачу.

    Reply
  • Nechaew

    27.06.2012

    Фигасе,
    пострадал в международном конфликте )))

    Reply
    • ZeDDy

      27.06.2012

      Nechaew, Ага,
      сам был в шоке от мотива взлома ))

      Reply
  • Nizami

    26.07.2012

    Интересно, а как можно защитить свой сайт и домен?

    Reply
    • ZeDDy

      01.08.2012

      А никак ))
      если захотят то сломают. Способы есть защиты но многие из них попахивают параноей

      Reply
  • ZeDDy

    26.07.2012

    Самая надежная защита не создавать ничего )))
    все что создано человеком может быть разрушено другим человеком. Все зависит лишь от уровня мастерства и настойчивости взломщика, даже пентагон и банки взламывают, чего уж говорить о сайтах на бесплатном движке.

    Reply

Добавить комментарий