Uwaga na Wordpressy!

O podkradaniu haseł do ftp z Totla Commandera już słyszałem.
Jedno pytanie: czy adres w tym kodzie jest stały? Można by go dodać do filtra. I: jak bardzo jest to zaraźliwe, infekuje tylko IE, czy coś jeszcze?

Miałem coś takiego u klienta. Hasło wypłynęło raczej przez jego komputer (u siebie mam i firewalla i antywira) a wirusa znajdowałem ja po wejściu na stronę.

@Jurgi - niestety, wygląda na to że problemem nie jest pojedynczy wirus, a mamy do czynienia po prostu z nowym rodzajem ataków.
Na witrynach klientków widziałem już najróżniejsze wersje - od ramek, przez wklejenie żywych linków, aż po pseudoszyfrowane JavaScripty.
Projektant TC już o problemie wie, ponoć szukują aktualizację, żeby szyfrować hasła i loginy do FTP - być może nowa wersja już bangla. Ale zagrożony tak naprawdę jest każdy program do FTP nie szyfrujący plików z hasłami.

Przy okazji - co robić po ataku - otóż nie wystarczy usunąć kod i przeskanować komputer w poszukiwaniu robala - trzeba też zmienić hasło do FTP! Miałem już przypadek, że kod został usunięty, komputer wyczyszczony, a bot po pewnym czasie wrócił i używając tego samego hasła wrzucił ponownie śmieci na stronę.

Potwierdzam to co pisze @Kapsel, po usunięciu wirusa, trzeba jeszcze zmienić hasło do FTP. Miałem podobnego wirusa, tylko, że mi wklejał kod JS.

#!/bin/sh

FINDLINE=$(grep -r "cutlot.cn" * |cut -f1 -d: |grep -v $0)

for i in $FINDLINE;do
sed -i "s###" $i
done



Tu skrypt wyszukujacy dodane linijki. Podziekowania dla spolecznosci forum Ubuntu.pl za pomoc.

[klik]?t=98263

tutaj jest poprawny skrypt.

aby wyszukac pliki zainfekowane:

find -type f -exec grep -q 'cutlot' {} ; -print

Polecam FlashFXP z szyfrowaniem zapamiętanych haseł.

Również ja miałem problemy z podobnym wirusem. Kod doklejał się do każdego index.php, bez względu na zastosowany CMS. Bardzo nieprzyjemne, bo po skasowaniu w parę dni później znów było. Wyleczyłem to dzięki Trojan Removerowi i później zmianie wszystkich haseł.

Wczoraj spotkało mnie to samo. Wirus dokleja swój kod do każdego pliku index.php i index.html. Nie ma znaczenia czy to skrypt czy stateczna strona www.
Szybkie rozwiązanie problemu: kontakt z hostingiem, poprosić o logi do ftp, sprawdzić kiedy akcja się zaczęła i poprosić o odtworzenie konta z backupu z dnia wcześniejszego. Wcześniej oczywiście trzeba usunąć paskudztwo z komputera i zmienić hasło do ftp.

Co to jest wirus? :D

@Mac User: duża bakteria :D:D

@DJ SEBSON: Raczej mała bakteria (a w zasadzie to nie bakteria tylko wirus) :D:D

@Kapsel
>Projektant TC już o problemie wie, ponoć szukują aktualizację, żeby szyfrować hasła i loginy

Zaraz zaraz, chcesz powiedzieć, że TC do tej pory przechowuje hasła jako plaintext? Hm, dobrze, że po krótkim kontakcie z tym programem zrezygnowałem z niego. ;)

a ja tego wirusa podam do sądu!

Słyszałem o tym "chadziajestwie wrednym" wiele osób złapało. Przejrzałem część swoich stron i nie ma na szczęście ramek. Zmieniłem nawet TC na Filezilla, chociaż to nie jest pewne, że wykrada hasła z TC.

Z FileZilli też wykrada...

ale jednak TC jest najpopularniejszy, więc ryzyko chyba największe, zależy w jaki sposób wykrada hasała.

Ja polecam FlashFXP, mimo iż nie jest darmowy. Na pewno bardziej przyjazny w użyciu niż FileZilla. Jeśli zaś chodzi o szablony do WP to polecam pobierać je z oficjalnych stron ich autorów, gdyż w serwisach będących zbiorami takich szablonów można wielokrotnie nadziać się na "modyfikowane" szablony z różnymi "niespodziankami".

a co myslicie na laczenie sie poprzez WINSCP?
Zamiast TC oczywiscie.

Jednego z moich userów to też dopadło. Co do SCP to oczywiście jest znacznie lepszy niż FTP (zwłaszcza przy autoryzacji kluczami), ale i tak podstawowa zasada bezpieczeństwa to nigdy nie przechowywać zapamiętanych haseł w żadnym programie! Hasło jest od tego, żeby znajdowało się tylko w głowie i żeby za każdym razem trzeba było je "z palca" wpisywać przy połączeniu. Inaczej użycie haseł traci w ogóle sens.

Hej, wydaje mi się, że to nie jest Total Commander, prawdopodobnie wirus wykorzystuje katalog TMP - więcej pod tym adresem [klik]

Pojawila sie chyba kolejna mutacja - zmiania index.php i dodaje juz pokodowane linki :)

Potyczki na Wordpressem i pozostawionym hasłem
[klik]

U mnie to samo sie stalo.. na winylowe.com. O dziwo - korzystam z Maca, Leopard. TYLKO i wyłącznie.

Wirus wykrada cały plik z zapisanymi danymi do strony, zaszyfrowanie hasła pomoże jedynie w dodaniu go do robota doklejającego kod, ponieważ ręcznie da się wejść na FTP, jedyna szansa to zaszyfrować cały plik unikalnym kluczem który można otworzyć tylko na tym jednym komputerze.

Zmieniłem hasło, zainstalowałem TCMD, wgrałem ponownie wszystkie pliki, wirus wraca... Ma ktoś jakiś pomysł?

Wirus wykrada hasła także za pośrednictwem FlashFXP, co mnie bardzo dziwi. Niestety i mnie to spotkało, choć używam tylko tego jednego klienta FTP.

Ja miałem 43 robaki na swojej stronie. I wszystkie zniszczyłem. Jak narazie żaden nie powrócił. Napisałem krótki poradnik jak się ich pozbyć - [klik]?p=5

Problem jest tylko taki, o czym prawie nikt nie wspomina, ze np. Kaspersky absolutnie nie wykrywa tego wirusa i moze on sobie buszowac po kompie w dowolny sposob... o czym sie wlasnie bolesnie przekonalem.
Druga sprawa - niestety nie wystarczy samo wyciecie wrednego kodu ze strony (bo tam nie ma zadnego wirusa tylko kod - glownie generujacy ruch na stronach np xxx pewnie w celach reklamowych) - trzeba poprawic caly plik bo wirus wklejajac zlosliwy iframe niestety dokonuje ciec w kodzie strony (pewnie wynika to z bledu w wirusie bo jest to dzialanie calkiem bezsensowne z punktu widzenia dzialania kodu - uniemozliwia czesto dzialanie strony)

Ja mam już najnowszego TC i na szczęście hasła są szyfrowane... zresztą i tak wolę korzystać z ftp przez Mozille bo jest 10 razy bezpieczniejsza bardziej komfortowa i ma praktycznie same zalety... ;)

Nie wiem czemu ludzie tworzą te wirusy. To jest takie bezinteresowne szkodzenie innym z pogranicza megalomani. Siedzą potem tacy w swoich jamach i podniecają się czyj wirus więcej naszkodził . Żal

Chyba jedyna rada to nie dodawać do Total Commandera zapamiętywania haseł, ale jak się ma około stu kont to wpisywanie ręcznie każdego hasła jest co najmniej katorgą i strasznie utrudnia pracę. Można jeszcze przeklejać hasła zapisane chronologicznie, gdzie indziej.

Ja już raz się przejechałem na zapamiętanym haśle w TC i choć byłem chroniony przez niezłego antywirusa, nie pomogło. Dziś korzystam z FileZilli, nie zapamiętuje haseł i jest spokój.

Chyba jedyna rada to nie dodawać do Total Commandera zapamiętywania haseł, ale jak się ma około stu kont to wpisywanie ręcznie każdego hasła jest co najmniej katorgą i strasznie utrudnia pracę. Można jeszcze przeklejać hasła zapisane chronologicznie, gdzie indziej.

Ja już raz się przejechałem na zapamiętanym haśle w TC i choć byłem chroniony przez niezłego antywirusa, nie pomogło. Dziś korzystam z FileZilli, nie zapamiętuje haseł i jest spokój.

Jak cos jest za darmo, to nigdy nie bedzie bezpieczne w100% i tyle...

Sam mam kilka wordpressów i inny stron więc warto uważać na wirusy.

U mnie wirus zainfekował stronę dopisując adres bigdeal777 .com