CZECH MULTIMEDIA INTERACTIVE logo

CZECH MULTIMEDIA INTERACTIVE | www.czmi.cz


Viry využívají SEO ke zviditelnění

Jak a proč napadají weby FTP viry

Před cca jedním rokem, po opakovaných FTP virových infiltracích, jsme na našich serverech přistoupili k omezení přístupu ze všech, nebo po dohodě s klienty, jen z některých IP adres. Důvodem bylo zavirování webových stránek klientů nikoliv zavirování našich webových serverů. Dnes můžeme konstatovat, že toto opatření bylo účinné a u klientů, kteří na tento způsob zabezpečení přistoupili, k zavirování od té doby nedošlo.

Útočníci hojně využívají SEO Poisoning k cílení své útočné stránky prostřednictvím spousty automaticky generovaných webů pro nejrůznější aktuálně vyhledávaná atraktivní slovní spojení. Je tedy velká pravděpodobnost, že zavirované stránky nebo zavirovaný software na internetu naleznete.

Jak dochází k zavirování webových stránek skrze FTP?

Zavirování je způsobeno zneužitím přidělených přístupových informací k FTP účtu webu (jména a hesla), které útočná stránka získá většinou skrze program Total Commander (zkopíruje všechny uložené FTP přístupy a následně zaviruje, co se dá). Dalším méně častým způsobem je přihlášení k FTP ze zavirovaného počítače, kde vir odposlechne přihlašovací údaje a následně skrze FTP web zaviruje.

Zavirování probíhá formou doplnění kódu viru do stránek klienta (většinou pomocí IFRAME syntaxe nebo jako kód Javascriptu). Útočný robot se přihlásí ze vzdáleného serveru skrze Vaše získané přístupové FTP údaje. Náš server tudíž přístup pokládá za korektní. Vložený kód je často maskován (skládá se z více dílčích kódů nebo je linkován z externího webu a v kódu stránek na FTP se defakto nenachází).

Návštěvníci zavirovaných stránek si při jejich zobrazení, aniž by to tušili, nechtěně, zavedou do počítače virus (pokud nemají dostatečně chráněný počítač antivirem apod). Ten buď opakuje výše popsanou činnost nebo provádí ještě daleko horší operace.

Web s virem je následně Googlem označen jako podezřelá útočná stránka nebo potenciální škodlivá stránka a z některých prohlížečů se na ní nedostanete. Tím je vás web paralyzován. Řešením je škodlivý kód rychle odstranit a následně informovat Google skrze webmaster tools, že jsou již nakažené stránky zase v pořádku.

Jak zajistit bezpečné FTP?

Pokud jste našim klientem, nepotřebujete v 99% FTP přístup. Web ovládáte skrze přístupy k redakčnímu systému nebo jinému administračnímu rozhraní. Tyto přístupy je třeba chránit stejně jako přístupy k vašim emailovým schránkám, kreditním kartám apod.

V případě, že FTP služby využíváte, je lepší neukládat žádná hesla do svého počítače nebo alespoň ne do FTP klientů (do starších verzí programu Total Commander bez šifrování hesel a do dalších podobných). Obecným předpokladem je přítomnost aktivní ochrany počítače (antivirus/firewall) a programů proti spyware a adware. Při otevírání webových stránek neinstalujte nic, co přesně nevíte, k čemu slouží a že je z důvěryhodného zdroje. To samé platí o příchozích emailech a nejvíce o jejich přílohách.

U virů, které odesílají Vaše FTP hesla a následně napadají stránky z různých IP adres, je zablokování neoprávněných přístupů a zamezení zavirování poměrně jednoduché. Pomocí souboru .ftpaccess lze omezit přístup uživatelů na FTP server a to pro celou adresářovou strukturu včetně podadresářů.

Příklad jednoduchého zamezení přístupu ze všech IP adres kromě adresy 94.142.236.77 (obsah souboru .ftpaccess):

<Limit all>
Deny all
Allow 94.142.236.77
Order allow,deny
</Limit>


CZECH MULTIMEDIA INTERACTIVE s.r.o., V Olšinách 2300/75, 100 00 Praha 10

www.czmi.cz, obchod@czmi.cz, +420 274 817 540, +420 739 557 557