Kiedy wirus zaatakował niektóre z naszych stron wystraszyliśmy się, że faktycznie na którąś z maszyn dostał się wirus pozwalający na wykradnięcie haseł. Pierwszym krokiem była zatem zmiana haseł do serwera FTP i usunięcie szkodliwych wpisów przy użyciu “czystego” komputera. Zadziałało na kilka godzin. Powtórzyliśmy operację dwukrotnie, za każdym razem sytuacja powtarzała się. W międzyczasie przeskanowaliśmy komputery z zainstalowanym Total Commanderem 5 różnymi narzędziami (Symantec, MKS_VIR online, Avast, Combo Fix, Spybot) – nic nie znalazły.
Zauważyliśmy natomiast następującą prawidłowość – jeśli wirus faktycznie wykradłby hasła z Total Commandera zaatakowałby wszystkie strony, jednakże ofiarami ataku padły tylko te, które były a) dynamiczne b) hostowane w podkatalogach na home.pl.

Rozwiązanie

W katalogu głównym przestrzeni serwerowej udostępnianej użytkownikom home.pl tworzy domyślnie katalog TMP, chcąc “postawić” dynamiczny serwis, w podfolderze musimy stworzyć identyczny katalog, dzięki któremu będziemy mogli używać sesji (czytaj więcej tutaj). Domyślne uprawnienia, z którymi tworzone są katalogi to 755, home.pl nadaje swoim katalogom jednakże uprawnienia 711. Wirus najprawdopodobniej przeszukiwał sieć (tak jak pajączki google) w poszukiwaniu prawidłowości – niezabezpieczonych folderów TMP. W jaki sposób dodawał wpisy do plików? No cóż… nie jesteśmy hakerami, nie znamy odpowiedzi na to pytanie. W naszym wypadku ataki faktycznie ustały po zmianie uprawnień do folderów TMP na 711. Jak to zrobić przy użyciu Total Commandera?

Połącz się FTP’a zaznacz katalog TMP, z menu Pliki wybierz Zmień atrybuty i ustaw uprawnienia na 711 (właściciel: czytaj, zapisz, wykonaj; grupa: wykonaj; świat: wykonaj).