Вредоносное ПО

Добрый день, Уважаемые любители этой замечательной CMS.

На днях от хостера пришло следующее сообщение, прошу Вашей помощи:

Уведомляем Вас о том, что на Вашем аккаунте обнаружено вредоносное программное обеспечение.

С нашей стороны можем предложить восстановление сайта из резервной копии:
http://www.reg.ru/support/help/#!hosting|how_to_backup

Обращаем Ваше внимание на тот факт, что восстановление из резервной копии не решит причину возникновения проблемы. Если в скриптах Ваших сайтов есть неустраненная уязвимость, то после восстановления из резервной копии возможно повторное заражение.

С подробными рекомендациями по данной проблеме Вы можете ознакомиться в следующем разделе справки: http://www.reg.ru/support/help/#!hosting|what_means_site_infected

suspicious htaccess: u1934512 : /var/www/u1934512/data/www/имя_домена.ru/upload/shop_3/eitems/.htaccess

как защитить сайт от подобных атак?

maratzabbarov писал(а):

как защитить сайт от подобных атак?

В приведенной ссылке от REG-RU написано, как защитить. Да и не атака это вовсе...

правильно ли я понимаю?
Злоумышленник залил через форму мне на сайт какой-то файл?

Как от этого себя защитить? Ведь я могу под фильтр Яндекса попасть

maratzabbarov писал(а):

Злоумышленник залил через форму мне на сайт какой-то файл?

на основании чего Вы делаете вывод, что какой-то файл Вам был залит через некую форму?

Внедрением вредоносного кода занимается программа-троян, похищающая у пользователя пароли FTP-доступа и часто не определяющаяся антивирусными программами.
Анализ механизма заражения сайтов показывает, что файлы меняются посредством легального (!) FTP-подключения, т.е. никакого взлома сайта не производилось, а всего лишь осуществлялся вход по логину/паролю и последующая модификация файлов сайта.
Подобное поведение присуще программам семейства Pinch, которые умеют обходить брандмауэры и антивирусные программы и похищает пароли, сохраненные в InternetExplorer, CuteFTP, TotalCommander, WindowsCommander и др.

Порядок решения проблемы:
1. (!!!) Необходимо проверить свой компьютер антивирусом с самыми последними обновлениями. (!!!)
2. (!!!) Сменить пароли доступа ко всем FTP-аккаунтам. (!!!)
3. Восстановить сайт из резервной копий, предварительно проверив, что сайт в резервной копии не заражен вирусом, т.к. резервная копия могла создаваться уже после заражения сайта или вручную удалить код вируса из файлов, в которых он содержится. Чаще всего код внедряется в index.php файлы в корне и в /admin/, также могут быть повреждены php-файлы в корне, вирус чаще всего находится в самом начале или конце файла и начинается с <script. Определять зараженные файлы можно также по дате их изменения. Также часто повреждаются все JS-файлы, размещенные в /admin/, /modules/, /hostcmsfiles/, /templates/ и т.д.
4. Никогда не сохранять пароли в программах, в том числе в файловых и FTP-менеджерах!
5. Учитывая большой список известных уязвимостей Internet Explorer, воспользоваться альтернативными браузерами, например, Firefox.

Описания найденных вирусов можно прочитать на сайте http://www.securelist.com/ru/descriptions