winnow.botnet.ff.trojans.23137.UNOFFICIAL от hc.ru

Пока мы с Ритуськой были заняты всяческими делами блог висел себе и кушать не просил. Мысли написать что-либо мне я посещали регулярно, а вот собраться и написать что-нибудь более-менее внятное руки не доходили. И тут вдруг на почту пришло письмо от хостинг провайдера hc.ru, который вот уже три года предоставляет мне крохотный уголочек какого-то сервера под нужды этого бложика за умеренное вознаграждение.

Суть письма

Первая часть письма представляла собой следующее:

Информируем Вас о том, что на сайте murzix.ru или одном из доменов, прикрепленных к основному сайту, в ходе плановой проверки обнаружен следующий вредоносный контент:

тут был десяток ссылок на файлы, каждый из которых обвинялся в заражении неким winnow.botnet.ff.trojans.23137.UNOFFICIAL

Если Вы не имеете представления о возможных источниках появления на хостинг-аккаунте вредоносных файлов, рекомендуем ознакомиться со статьей в разделе помощи: http://help.hc.ru/entry/634/

На странице помощи про такой вирус ничего сказано не было. И вообще ничего толкового не написано. Посему вторая часть письма заставила меня взволноваться:

Обратите внимание, что в интернет-сообществе наличие вредоносного содержимого на сайтах является неприемлемым. Вам необходимо в кратчайшие сроки удалить вредоносные файлы, так как их наличие негативно сказывается на репутации Вашего ресурса и нашей репутации как компании, предоставляющей услугу хостинга.

Настоятельно рекомендуем незамедлительно принять меры, описанные в разделе помощи, так как в случае поступления сторонних жалоб на Ваш ресурс мы будем вынуждены заблокировать его без дополнительных уведомлений.

Переводя с канцелярского на русский: если не вылечишь вирусы, удалим твой уютненький с сервера нафиг.

Кто виноват и что делать?

Первым делом я полез в код файлов. Читал вдумчиво и по слогам, но ничего подозрительного не нашел.

Вторая мысль была, что это какой-нибудь хитрожопый вирус, который способен мастерски маскироваться под типичный быдлокод, поэтому решено было нагуглить инфу по названию зловреда.

Третьего шага не было, т.к. ни на русском, ни на басурманских языках ни одной статьи про сейс зловред не было.

Решено было писать в техподдержку и требовать указать код, который вызвал срабатывание антивируса.

Ответ первый – копипаст

Первый ответ был явным копипастом, не отвечающим ни на один из поставленных вопросов:

В ходе плановой антивирусной проверки системой clamAV были обнаружены подозрительные сигнатуры в файлах Вашего сайта. К сожалению, любой антивирус не застрахован от ложных срабатываний. В качестве дополнительного способа проверки подозрительных файлов рекомендуем использовать следующий сервис https://www.virustotal.com/. Ближайшая антивирусная проверка будет произведена 20.10.2012. По вопросу детальной диагностики кода Вашего сайта рекомендуем Вам обратиться к разработчику Вашего сайта или штатному техническому специалисту. В случае, если Вы проверили весь Ваш контент и не обнаружили вирусов — Вам не о чем беспокоиться.

Последняя фраза забавная. Мол: «Ничего не обнаружили – не беспокойтесь». Ага, а потом мы возьмём и сотрём всё нажитое вашим непосильным трудом. Волнительно.

Ответ второй – алярм отменяется

Текст ответа эпичен:

Вы являетесь клиентом Хостинг-Центра.

В ходе антивирусной проверки сайта murzix.ru и связанных с ним доменов произошла ошибка, в результате которой вам было отправлено письмо с перечнем инфицированных файлов.

Эти файлы не содержат вредоносного кода. Пожалуйста, не предпринимайте никаких действий. Если вы уже удалили некоторые из них, вернитесь к последней стабильно работающей версии.

Ошибка произошла из-за некорректного списка сигнатур антивируса. Мы уже связались с производителем антивирусной программы и устранили неполадку.

Приносим извинения за доставленные неудобства!

Мы тут вас попугали пару дней, и вы там могли чего-то уже наковырять. Так вот вковыряйте обратно – мы пошутили =)

Итог

Мораль сей басни такова – не экономьте на техподдержке, а то пользователи могут натворить всяческих безобразий у себя в коде с перепугу.