Od kilku tygodni niezwykle złośliwy wirus atakuje strony internetowe. Do plików index.php i index.html dodaje m.in. ukryte ramki iFrame, ale także wiele innych złośliwych modyfikacji (np. przekierowania na strony porno przy próbie wejścia na stronę z wyszukiwarki google itp. w pliku .htaccess). W kilku źródłach pojawiły się informacje o tym, że wirus atakuje wykradając hasła z programu Total Commander. Z naszych osobistych przygód z tym wirusem wynikałoby jednak zupełnie co innego.
Kiedy wirus zaatakował niektóre z naszych stron wystraszyliśmy się, że faktycznie na którąś z maszyn dostał się wirus pozwalający na wykradnięcie haseł. Pierwszym krokiem była zatem zmiana haseł do serwera FTP i usunięcie szkodliwych wpisów przy użyciu “czystego” komputera. Zadziałało na kilka godzin. Powtórzyliśmy operację dwukrotnie, za każdym razem sytuacja powtarzała się. W międzyczasie przeskanowaliśmy komputery z zainstalowanym Total Commanderem 5 różnymi narzędziami (Symantec, MKS_VIR online, Avast, Combo Fix, Spybot) – nic nie znalazły.
Zauważyliśmy natomiast następującą prawidłowość – jeśli wirus faktycznie wykradłby hasła z Total Commandera zaatakowałby wszystkie strony, jednakże ofiarami ataku padły tylko te, które były a) dynamiczne b) hostowane w podkatalogach na home.pl.
Rozwiązanie
W katalogu głównym przestrzeni serwerowej udostępnianej użytkownikom home.pl tworzy domyślnie katalog TMP, chcąc “postawić” dynamiczny serwis, w podfolderze musimy stworzyć identyczny katalog, dzięki któremu będziemy mogli używać sesji (czytaj więcej tutaj). Domyślne uprawnienia, z którymi tworzone są katalogi to 755, home.pl nadaje swoim katalogom jednakże uprawnienia 711. Wirus najprawdopodobniej przeszukiwał sieć (tak jak pajączki google) w poszukiwaniu prawidłowości – niezabezpieczonych folderów TMP. W jaki sposób dodawał wpisy do plików? No cóż… nie jesteśmy hakerami, nie znamy odpowiedzi na to pytanie. W naszym wypadku ataki faktycznie ustały po zmianie uprawnień do folderów TMP na 711. Jak to zrobić przy użyciu Total Commandera?
Połącz się FTP’a zaznacz katalog TMP, z menu Pliki wybierz Zmień atrybuty i ustaw uprawnienia na 711 (właściciel: czytaj, zapisz, wykonaj; grupa: wykonaj; świat: wykonaj).
Avast informuje o nasileniu ataków iFrame, ofiarami padły m.in. strony USA-Today, ABC News, Target, Wal-Mart, niektóre strony rządowe. Pełny artykuł tutaj http://www.avast.com/eng/avast-and-forum-users-combine-to-defeat-website-hackers.html
ja używam FireFTP do firefox-a i quick connect . Cisza spokój od 2 tygodni . pozdrawiam
Niestety również zaatakowali i część moich stron. Logi FTP pokazywały połączenia co kilka sekund z IP z całego świata. Zmiana hasła, zmiana chmod, odtworzenie z kopii zapasowej strony, wywalenie totalcmd i jak narazie cisza. W logach FTP tylko nieudane próby wejścia na stare hasło.
Witam, też stałem sie jędną z ofiar tego wirusa, jak na złość dwa razy unieruchomil mi serwer a wszystkie strony sypały błędami 500. co ciekawe, niewiem jak on to zrobił mimo wywalenia total commandera, i zmiany haseł do kont po paru probach znowu zaczol dzialać , tak jak by odgadl hasło którego jeszzce nie zdołałem nigdzie zapisac i nawet zalogować na ftp`a. Naprawde złośliwe jest to gó…….. co ciekawe , ktoś próbóje logować się wogóle na dane kont które w moim przypadku istniały jakies 5 lat temu na serwerze a teraz wogole ich juz nie ma. Tak jak by gdzies ktoś mial jakaś starą baze loginów i hasel .
Ale co da ustawienie chmody 711 jak on się włamuje właśnie przez total comander?
I jak sobie poradzić z takim problemem?
Nie mam TotalCommandera a jednak cały czas mam tego typu problem co Wy.
Dodatkowo nie wiem jak zmienić hasło do ftp na Debianie. Mam hasło admina ale nie wiem jak zmienić je.
Proszę o pomoc
a moim zdaniem przyczyna jest zupełnie gdzieś indziej, po stronie serwera: http://webhosting.pl/Botnet.serwerow.WWW.bo.Linux.tez.jest.podatny.na.zombifikacje
Witam, ponownie .
a przykażdej probie w tórej roboty próboja zalogowac się na nasza domene przy danych ktore przechwyciły będą miały jedynie komunikat o przekroczonym czasie oczekiwania , i bedzie to wygladac jak by serwer FTP sostal wyłaczony .
najprostrzym sposobem w moim przypadku było przeniesienia serwera FTP na inny numer portu. jak wiadomo Aplikacje serwerow FTP które mamy poinstalowane na FTP działaja na porcie 21. Jeżeli posiadamy wlasna maszyne ( dedyka ) polecam zmiane numeru portu na jakiś nietpowy, 5-6 cyfrowy. Gwarantuje że problem zniknie
pozdrawiam