UWAGA! Po sieci grasuje robak, który łączy się z serwerami FTP i infekuje strony internetowe.
Szkodnik kradnie hasła z programu Total Commander po czym dodaje ukryte ramki, linki i złośliwy kod do plików index.php, index.html, main.php i wielu innych, które ma w definicjach.
Zagrożone są strony oparte na autorskich oraz popularnych skryptach, np. WordPress. Użytkownicy tego ostatniego narzędzia mogą znaleźć złośliwy kod w szablonach w katalogu wp-content/themes/ oraz w innych plikach z ustawieniami konfiguracyjnym – ostrzega autor shpyo.net.
Po zainfekowaniu strony dostęp do niej zostaje zablokowany przez osłony sieciowe programów antywirusowych, a także przez wyszukiwarkę Google, która ostrzega o niebezpiecznej stronie.
Aby wyjaśnić sytuację i rozwiać ewentualne wątpliwości Dziennik Internautów skontaktował się z polskim przedstawicielem Total Commandera. Potwierdził on pojawienie się wyjątkowo aktywnego szkodnika, który faktycznie loguje się się na konta FTP i dodaje pewien fragment kodu do plików startowych.- Jedynym bezpiecznym rozwiązaniem problemu jest usunięcie wirusa poprzez program antywirusowy a następnie zmiana haseł do swoich kont FTP. Problem zostanie rozwiązany w wersji 7.50 gdzie hasła do FTP będą zaszyfrowane algorytmem AES. Do czasu wydania finalnej nowej wersji zalecam niezapisywanie haseł w programie
radzi przedstawiciel programu Total Commander.
Źródło: http://di.com.pl/news/26343,0,Wstrzykuje_stronom_zlosliwy_kod_przez_FTP.html
Złośliwy kod jest dodawany do wszystkich katalogów na serwerze do plików index.php, index.html, main.php. W samym kodzie źródłowym dołącza się na samym początku strony (przed !Doctype), zaraz po body, na końcu strony (po zamykającym tagu html) i przed ostatnim tagiem zamykającym body. Ponadto jeżeli używasz WordPressa, to złośliwy kod jest dołączany do szablonów w katalogu wp-content/themes/ a nawet do innych plików z configami. U mnie był to np. wp-includes/default-filters.php
Co?
Dołączany jest niewidoczny iframe, który wygląda tak (oraz różne kombinacje):
Co się dzieje?
Wirus się rozprzestrzenia poprzez wyżej pokazany kod – to raz. Dwa – Google blokuje dostęp do strony przez wyszukiwarkę. Pojawia się komunikat, że „strona może wyrządzić szkody”.
Źródło: http://blog.shpyo.net/?newsID=153
Bardzo ciekawy post na temat robaka na forum jednego z dostawców usług hostingowych + sporo innych linków:
Niestety, codziennie informujemy o takim zagrożeniu przynajmniej 10-20 klientów, którzy używając nieświadomie TC narazili się na ataki w postaci modyfikacji stron WWW i dodania do nich ramek wbudowanych iframe lub skryptów javascript wywołujących zdalnie wirusa.
Mamy 100% pewność co do infekcji która przeprowadzana jest z winy programu Total Commander / Windows Commander, ale także podejrzenia infekcji w przypadku korzystania z innych programów FTP, jeżeli na komputerze ofiary jest zainstalowany wspomniany wirus / koń trojański. Wówczas hasło nawet niezapisane w programie FTP, podczas połączenia, jest przechwytywane i przesyłane do hakerów.
Rozwiązaniem problemu jest:
1. korzystanie tylko z aktualnych, bezpiecznych programów FTP typu Filezilla lub CuteFTP
2. systematyczne (codzienne) skanowanie komputera programami antywirusowymi
3. niezapisywanie haseł w programach FTP lub innych niezabezpieczonych formach na komputerze
4. korzystanie z różnych haseł dostępu do różnych usług / serwerów
5. bezpieczeństwo sieci internetowej z której korzysta użytkownik (dotyczy szczególnie sieci lokalnych, w których z jednego łącza korzysta wiele komputerów – wówczas na łączu może być zainstalowany koń trojański do nasłuch haseł)Nasze serwery mają zaimplementowane różnego rodzaju systemy wczesnego ostrzegania przed takimi atakami. Ataki dzielą się na kilka form, oto one:
1. ataki przewidywane, w których komputer zombie atakujący serwer FTP ofiary najpierw sprawdza czy serwer działa wgrywając specjalnie spreparowany plik testowy, a następnie od razu go usuwając – taki atak jest wykrywalny, w 80% można go wyeliminować
2. atak przewidywalny, w którym komputer zombie atakuje serwer FTP w celu zainstalowania na nim skryptu do wysyłania mass-mailingów spamowych bez wiedzy i zgody użytkownika – taki atak jest wykrywalny, w 70% można go wyeliminować
3. tzw. atak cichy – komputer zombie atakujący serwer FTP ofiary łączy się jednorazowo z tym serwerem, od razu w sposób autoryzowany, bez żadnych błędów, przy użyciu hasła wcześniej wykradzionego, pobiera a następnie praktycznie w tej samej chwili nadpisuje pliki indexowe lub inne pliki kodu strony – taki atak wykrywalny jest przez system zabezpieczeń dopiero po fakcie wystąpienia, w momencie skanowania już wgranych plików pod kątem obecności złośliwego kodu. Tego ataku nie można wyeliminować, a po wykryciu jedyne co może zrobić użytkownik to poprawić zmodyfikowane pliki aby nie zawierały złośliwego koduWe wszystkich przypadkach obserwuje się całkowite zaprzestanie ataków na stronę WWW i FTP klienta po tym kiedy zostanie zmienione hasło dostępu do FTP.
Źródło: http://forum.netlook.pl/index.php/topic,308.0.html
Proszę uważać – zaktualizować swoje programy antywirusowe i nie przechowywać haseł w Total Commanderze – nie korzystać z opcji zapamiętania hasła!
[...] [...]