Najpierw kradnie hasła z menedżera plików Total Commander (TC), potem łączy się z serwerami FTP i dodaje złośliwe skrypty do plików stron internetowych. Jak bronić się przed niezidentyfikowanym wirusem radzi przedstawiciel polskiej ekipy TC.
Po sieci grasuje wirus, który łączy się z serwerami FTP i infekuje strony internetowe. Informacje taką przekazał nam jeden z czytelników Dziennika Internautów kierując na blog shpyo.net. Szkodnik kradnie hasła z programu Total Commander po czym dodaje ukryte ramki, linki i złośliwy kod do plików index.php, index.html, main.php i wielu innych, które ma w definicjach.
Zagrożone są strony oparte na autorskich oraz popularnych skryptach, np. WordPress. Użytkownicy tego ostatniego narzędzia mogą znaleźć złośliwy kod w szablonach w katalogu wp-content/themes/ oraz w innych plikach z ustawieniami konfiguracyjnym – ostrzega autor shpyo.net.
Po zainfekowaniu strony dostęp do niej zostaje zablokowany przez osłony sieciowe programów antywirusowych, a także przez wyszukiwarkę Google, która ostrzega o niebezpiecznej stronie.
Aby wyjaśnić sytuację i rozwiać ewentualne wątpliwości Dziennik Internautów skontaktował się z polskim przedstawicielem Total Commandera. Potwierdził on pojawienie się wyjątkowo aktywnego szkodnika, który faktycznie loguje się się na konta FTP i dodaje pewien fragment kodu do plików startowych.
Co do samego wirusa to wiem tylko, że jest to oprogramowanie malware/trojan. Dodatkowo wykrada ono hasła z programu Filezilla. Jedynym bezpiecznym rozwiązaniem problemu jest usunięcie wirusa poprzez program antywirusowy a następnie zmiana haseł do swoich kont FTP. Problem zostanie rozwiązany w wersji 7.50, gdzie hasła do FTP będą zaszyfrowane algorytmem AES. Do czasu wydania finalnej nowej wersji zalecam niezapisywanie haseł w programie – radzi Adam Bukowiński, przedstawiciel programu Total Commander.
O tym też wspomniałem 🙂 Ciężko jednak, jeśli dostęp do FTP ma kilku administratorów, a większość ludzi jak wiadomo nie usuwa zapamiętywania haseł dla własnej wygody.
Sama zmiana nic nie daje. Niech nie daje w ustawieniach zapamietywania haseł w TC.
Właśnie kilka dni temu na forum kolegi Irzyka (classiccarsgorzow.pl/forum) w indexach znaleźliśmy ramki. Co ciekawe nawet po przywróceniu plików, po kilku godzinach znowu dodawane zostawały ramki zawierające taki link: shopmovieproduction.cn:8080/index.php Poleciłem jak najszybszą zmianę hasła do FTP, po tym problem zniknął natychmiast. Raczej nie mam wątpliwości co do tego, ze to był właśnie ten wirus.
a ja jeszcze dodam, że skrypt nie jest zorientowany na konkretne cms’y tylko wchodząc na ftp przeszukuje pliki i wyszukuje index.htm/l / index.php / main.php
dodaje najczęściej złośliwe ramki, tuż po body. Jeśli zaś tego nie znajdzie to tuż na początku lub na samym końcu.
Sprawdzałeś? Dla Ciebie może nie, dla innych tak 🙂
E, tam mi wirus. Wielkie g.., nie wirus. Wystarczy podpiąć do głównego pliku (w przypadku PF, to subheader i maincore) jQuery i wklepać kod
$(„iframe”).removeAttr(„src”);