Pin It

Bug...

UWAGA! Po sieci grasuje robak, który łączy się z serwerami FTP i infekuje strony internetowe.

Szkodnik kradnie hasła z programu Total Commander po czym dodaje ukryte ramki, linki i złośliwy kod do plików index.php, index.html, main.php i wielu innych, które ma w definicjach.
Zagrożone są strony oparte na autorskich oraz popularnych skryptach, np. WordPress. Użytkownicy tego ostatniego narzędzia mogą znaleźć złośliwy kod w szablonach w katalogu wp-content/themes/ oraz w innych plikach z ustawieniami konfiguracyjnym – ostrzega autor shpyo.net.
Po zainfekowaniu strony dostęp do niej zostaje zablokowany przez osłony sieciowe programów antywirusowych, a także przez wyszukiwarkę Google, która ostrzega o niebezpiecznej stronie.
Aby wyjaśnić sytuację i rozwiać ewentualne wątpliwości Dziennik Internautów skontaktował się z polskim przedstawicielem Total Commandera. Potwierdził on pojawienie się wyjątkowo aktywnego szkodnika, który faktycznie loguje się się na konta FTP i dodaje pewien fragment kodu do plików startowych.

– Jedynym bezpiecznym rozwiązaniem problemu jest usunięcie wirusa poprzez program antywirusowy a następnie zmiana haseł do swoich kont FTP. Problem zostanie rozwiązany w wersji 7.50 gdzie hasła do FTP będą zaszyfrowane algorytmem AES. Do czasu wydania finalnej nowej wersji zalecam niezapisywanie haseł w programie

radzi przedstawiciel programu Total Commander.

Źródło: http://di.com.pl/news/26343,0,Wstrzykuje_stronom_zlosliwy_kod_przez_FTP.html

Złośliwy kod jest dodawany do wszystkich katalogów na serwerze do plików index.php, index.html, main.php. W samym kodzie źródłowym dołącza się na samym początku strony (przed !Doctype), zaraz po body, na końcu strony (po zamykającym tagu html) i przed ostatnim tagiem zamykającym body. Ponadto jeżeli używasz WordPressa, to złośliwy kod jest dołączany do szablonów w katalogu wp-content/themes/ a nawet do innych plików z configami. U mnie był to np. wp-includes/default-filters.php
Co?
Dołączany jest niewidoczny iframe, który wygląda tak (oraz różne kombinacje):
codevirus
Co się dzieje?
Wirus się rozprzestrzenia poprzez wyżej pokazany kod – to raz. Dwa – Google blokuje dostęp do strony przez wyszukiwarkę. Pojawia się komunikat, że „strona może wyrządzić szkody”.

Źródło: http://blog.shpyo.net/?newsID=153

Bardzo ciekawy post na temat robaka na forum jednego z dostawców usług hostingowych + sporo innych linków:

Niestety, codziennie informujemy o takim zagrożeniu przynajmniej 10-20 klientów, którzy używając nieświadomie TC narazili się na ataki w postaci modyfikacji stron WWW i dodania do nich ramek wbudowanych iframe lub skryptów javascript wywołujących zdalnie wirusa.

Mamy 100% pewność co do infekcji która przeprowadzana jest z winy programu Total Commander / Windows Commander, ale także podejrzenia infekcji w przypadku korzystania z innych programów FTP, jeżeli na komputerze ofiary jest zainstalowany wspomniany wirus / koń trojański. Wówczas hasło nawet niezapisane w programie FTP, podczas połączenia, jest przechwytywane i przesyłane do hakerów.

Rozwiązaniem problemu jest:

1. korzystanie tylko z aktualnych, bezpiecznych programów FTP typu Filezilla lub CuteFTP
2. systematyczne (codzienne) skanowanie komputera programami antywirusowymi
3. niezapisywanie haseł w programach FTP lub innych niezabezpieczonych formach na komputerze
4. korzystanie z różnych haseł dostępu do różnych usług / serwerów
5. bezpieczeństwo sieci internetowej z której korzysta użytkownik (dotyczy szczególnie sieci lokalnych, w których z jednego łącza korzysta wiele komputerów – wówczas na łączu może być zainstalowany koń trojański do nasłuch haseł)

Nasze serwery mają zaimplementowane różnego rodzaju systemy wczesnego ostrzegania przed takimi atakami. Ataki dzielą się na kilka form, oto one:

1. ataki przewidywane, w których komputer zombie atakujący serwer FTP ofiary najpierw sprawdza czy serwer działa wgrywając specjalnie spreparowany plik testowy, a następnie od razu go usuwając – taki atak jest wykrywalny, w 80% można go wyeliminować
2. atak przewidywalny, w którym komputer zombie atakuje serwer FTP w celu zainstalowania na nim skryptu do wysyłania mass-mailingów spamowych bez wiedzy i zgody użytkownika – taki atak jest wykrywalny, w 70% można go wyeliminować
3. tzw. atak cichy – komputer zombie atakujący serwer FTP ofiary łączy się jednorazowo z tym serwerem, od razu w sposób autoryzowany, bez żadnych błędów, przy użyciu hasła wcześniej wykradzionego, pobiera a następnie praktycznie w tej samej chwili nadpisuje pliki indexowe lub inne pliki kodu strony – taki atak wykrywalny jest przez system zabezpieczeń dopiero po fakcie wystąpienia, w momencie skanowania już wgranych plików pod kątem obecności złośliwego kodu. Tego ataku nie można wyeliminować, a po wykryciu jedyne co może zrobić użytkownik to poprawić zmodyfikowane pliki aby nie zawierały złośliwego kodu

We wszystkich przypadkach obserwuje się całkowite zaprzestanie ataków na stronę WWW i FTP klienta po tym kiedy zostanie zmienione hasło dostępu do FTP.

Źródło: http://forum.netlook.pl/index.php/topic,308.0.html

Proszę uważać – zaktualizować swoje programy antywirusowe i nie przechowywać haseł w Total Commanderze – nie korzystać z opcji zapamiętania hasła!