Wirus wstrzykuje stronom złośliwy kod przez FTP

virusNajpierw kradnie hasła z menedżera plików Total Commander (TC), potem łączy się z serwerami FTP i dodaje złośliwe skrypty do plików stron internetowych. Jak bronić się przed niezidentyfikowanym wirusem radzi przedstawiciel polskiej ekipy TC.

Po sieci grasuje wirus, który łączy się z serwerami FTP i infekuje strony internetowe. Informacje taką przekazał nam jeden z czytelników Dziennika Internautów kierując na blog shpyo.net. Szkodnik kradnie hasła z programu Total Commander po czym dodaje ukryte ramki, linki i złośliwy kod do plików index.php, index.html, main.php i wielu innych, które ma w definicjach.

Zagrożone są strony oparte na autorskich oraz popularnych skryptach, np. WordPress. Użytkownicy tego ostatniego narzędzia mogą znaleźć złośliwy kod w szablonach w katalogu wp-content/themes/ oraz w innych plikach z ustawieniami konfiguracyjnym – ostrzega autor shpyo.net.

Po zainfekowaniu strony dostęp do niej zostaje zablokowany przez osłony sieciowe programów antywirusowych, a także przez wyszukiwarkę Google, która ostrzega o niebezpiecznej stronie.

Aby wyjaśnić sytuację i rozwiać ewentualne wątpliwości Dziennik Internautów skontaktował się z polskim przedstawicielem Total Commandera. Potwierdził on pojawienie się wyjątkowo aktywnego szkodnika, który faktycznie loguje się się na konta FTP i dodaje pewien fragment kodu do plików startowych.

Co do samego wirusa to wiem tylko, że jest to oprogramowanie malware/trojan. Dodatkowo wykrada ono hasła z programu Filezilla. Jedynym bezpiecznym rozwiązaniem problemu jest usunięcie wirusa poprzez program antywirusowy a następnie zmiana haseł do swoich kont FTP. Problem zostanie rozwiązany w wersji 7.50, gdzie hasła do FTP będą zaszyfrowane algorytmem AES. Do czasu wydania finalnej nowej wersji zalecam niezapisywanie haseł w programie – radzi Adam Bukowiński, przedstawiciel programu Total Commander.

Źródło: Dziennik Internautów, shpyo.net

6 przemyśleń nt. „Wirus wstrzykuje stronom złośliwy kod przez FTP

  1. E, tam mi wirus. Wielkie g.., nie wirus. Wystarczy podpiąć do głównego pliku (w przypadku PF, to subheader i maincore) jQuery i wklepać kod

    $(“iframe”).removeAttr(“src”);

  2. a ja jeszcze dodam, że skrypt nie jest zorientowany na konkretne cms’y tylko wchodząc na ftp przeszukuje pliki i wyszukuje index.htm/l / index.php / main.php

    dodaje najczęściej złośliwe ramki, tuż po body. Jeśli zaś tego nie znajdzie to tuż na początku lub na samym końcu.

  3. Właśnie kilka dni temu na forum kolegi Irzyka (classiccarsgorzow.pl/forum) w indexach znaleźliśmy ramki. Co ciekawe nawet po przywróceniu plików, po kilku godzinach znowu dodawane zostawały ramki zawierające taki link: shopmovieproduction.cn:8080/index.php Poleciłem jak najszybszą zmianę hasła do FTP, po tym problem zniknął natychmiast. Raczej nie mam wątpliwości co do tego, ze to był właśnie ten wirus.

  4. O tym też wspomniałem 🙂 Ciężko jednak, jeśli dostęp do FTP ma kilku administratorów, a większość ludzi jak wiadomo nie usuwa zapamiętywania haseł dla własnej wygody.

Jakieś przemyślenia? Podziel się nimi! :)