Gumblar FTP virus!

Včeraj dopoldne, ko sem odprl Podarimo.si, sem opazil, da je stran pomaknjena za okoli 100px nižje kot normalno. Pred mesecem sem dodajal neko JS skripto in mi je stran pomaknilo za 10px navzdol (don't know why), kar me ni motilo. Tako sem vedel, da je moral nekdo šariti po strani. Zalaufam FTP clienta in ugotovim, da imajo vse datoteke korena, ki vsebujejo "index" v imenu, včerajšnji datum.

Malo branja, da se vam ne naredi kaj podobnega:
http://blog.tigertech.net/posts/ftp-virus-spreading/
http://blog.tigertech.net/posts/ftp-password-viruses/
http://www.cnet.com/1770-5_1-0.html?query=martuz.cn%2F.&tag=srch

30 odgovorov

filezilla shranjuje v xml sicer, ampak v redu ... jst sedaj uporabljam SmartFTP, ampak se mi je kljub temu vmes neljubi dogodek ponovil še 2x. Najbolj pomaga, da računalnik spucaš z Malwarebytes Anti Malware... nekaj takega.

poznamo kak linux antivirus, ki bi sam odkril kodo v php fajlih, ki se naloži, da ne bi blo treba vsak sajt posebi gledat ali ima to stvar v sebi ali ne ? Poleg tega mi ni čisto jasno kako lahko interrupta httpd procese server wide, ter jih spremeni, tako da prikažejo malicious kodo na random...

kako pa filezillo spremeniti v secure mode, ob ponovni nametitvi ne dobim okna kjer bi izral to opcijo

Evo, za vse ostale hosterje ipd. katere je gumblar okužil preko uporabnikov, ki ne skrbijo za svoje računalnike vam prilepim par regular expressionov, ki najdejo gumblarja v fajlih:

$exp1 = "#\<\?php if\(!function_exists\('tmp_lkojfghx'\)\).*?tmp_lkojfghx2\(\); \?\>#";
        $exp2 = "#<script language=javascript><!-- ?\n\(function\(.*?\){var .*?unescape\(.*?\);\n --></script>#";
        $exp3 = "#<script language=javascript><!-- ?\n\(function\(.*?\){eval\(unescape\(.*?\);\n --></script>#";
        $exp4 = "#<!-- ?\n\(function\(.*?\){var .*?unescape\(.*?\);\n -->#";
        $exp5 = "#<!-- ?\n\(function\(.*?\){eval\(unescape\(.*?\);\n -->#";

Najbolje je da izvedete čekiranje za te regexe nad vsemi web fajli na strežniku, tako da najdete vse okužene datoteke...

Tale gumblar je prava sitnoba, najhuje pa je, da hostingi ne morejo storiti skoraj nič da bi se mu izognili...

1

A mogoče kdo ve kako se filezillo prepriča da ne shranjuje gesla?

Ja tam izberi možnost: Ask for password

nikjer ne najdem te možnosti sem že vse prečesal

Mislim, da nima. Ko se je to meni zgodilo, sem prešaltal na drug FTP client ;)

Kupiš SmartFTP, super fajn stvar:)

katerega priporočate, free varianta mislim