Volite web dizajn?

Zašto ne podijelite svoje znanje s cijelim svijetom? Svatko može pisati za Kroativ i na taj način se promovirati.

Pomoć potrebitima

http://www.hck.hr

Hrvatski Crveni križ

u službi humanosti od 1878.

Epidemija – Trojan / virus koji napada web stranice preko ftp-a

Autor/ica Weberica

Završila fotografiju na ŠPU, a nakon toga grafički i web dizajn. Rođena, živi i radi u epicentru Zagreba. Stalni član Kroativ mreže i autor mnogih korisnih članaka, radi kao stalni suradnik Web Inkubator studija.

Oglas

Scenario je slijedeći: dođemo na neku web stranicu i čim se ona otvori,  na naš pc se automatski downloadira PDF file.  Ili, na nekoj stranici kliknemo na PDF file i downloadiramo ga.

Istog časa naš antivirusni program , recimo NOD 32 AMON, izbaci nam 40tak prozora sa obavijestima o detekciji trojana u našem windows/system32 folderu  i spremanju u karantenu. Ukoliko imamo jači antivirusni program on će ga detektirati prije nego se useli u naš pc i spriječiti mu ulaz. Nažalost, NOD 32 neće.

Ponekada ga NOD32 upće neće primjetiti niti reagirati. Jedino što ćemo primjetiti da se dolaskom na neku stranicu na naše računalo automatski downloadirao PDF file. Možda će se zvati Syszill.pdf ili tako nekako. Pri otkrivanju lokacije trojana pomoći će nam i Malwarebytes anti malware program, a downloadirati ga možemo ovdje.

Nakon toga trebamo deletati zaraženi PDF iz download foldera ( i kante za smeće), zatim  otići u karantenu, označiti svih 40tak beštija, desni klik mišem/delete. (Treba paziti da se ne označi opcija za brisanje zaraženih file-ova jer će nam pobrisati dio windowsa ) U pravilu, nakon toga naš pc bi trebao biti čist.

No, to nažalost nije sve.

Postali smo žrtvom virusa koji je pobrao naše passworde za ftp pristup na naše web stranice. Passworde je pokupio iz našeg browsera ili Fillezille, ušao i izmjenio kodove na našim index.html, default ili .js file-ovima. Naše stranice sada mogu zaraziti druga računala. Zato sada trebamo otvoriti source code naših index, default i .js stranica te na samom kraju pogledati da li imamo dio novog koda koji izgleda otprilike ovako :

print screen dijela malicioznog koda

Ako ga pronađemo, trebamo ga izbrisati i uploadati čisti dokument nazad na web. Ukoliko se radi o većim portalima i blogovima možemo zamoliti da nam uploadaju backup od prije par dana.

Dobro bi bilo nazvati hosting servis i zamoliti izmjenu passworda i ubuduće NE SPREMATI PASSWORDE u browseru, na Fillezili (clean history!) i općenito najbolje nigdje na računalu. Možemo ih zapisati u neki notes ili isprintati, a zatim skenirati i spremiti kao sliku na naš pc.

Više o ovom (ili sličnom) virusu / trojanu možete pročitati ovdje : http://wm.com.hr/vijest/iframe-injection-nova-glavobolja-za-webmastere/45/

Sretno

Označeno s: ,
Za ovaj članak možete glasati na CroPortalu i tako pomoći u njegovoj promociji. Ako članak još nije objavljen vi možete biti prvi!
Stavovi i mišljenja izrečena u ovome članku i/ili komentarima odnose se samo na autora/icu članka i/ili komentara, a ne i cijele Kroativ mreže. Zabranjeno je neovlašteno prenošenje članaka u cjelosti bez prethodnog dogovora ili bez istaknutog povratnog linka na www.kroativ.net stranicu te imena autora.
Oglas

8 komentara

  • liftboy kaže:

    e da, i mene prije tjedan dana snašlo to zlo! a valjd sam ga se riješio…:D

    • weberica kaže:

      to ko poklon za Božić 🙂 Uvijek sam se pitala jel to neko radi iz gušta il mu to neko plaća?

  • Webmaster kaže:

    Ja sam imao sličan slučaj kod jednog klijenta, trojan nije došao od mene već od nekog drugog kojeg nikada nisam pronašao. Mijenjali smo i sve lozinke ali je nekako opet prolazio. Hosting tvrtka uopće nije bila od pomoći, samo su vraćali backup i trojan je opet dolazio (na kraju sam promijenio hosting). Uglavnom izvor nisam nikada doznao ali sam to riješio na sljedeći način. Svi ti trojani više manje rade na jedan te isti način. Traže index.html, default.html, index.php itd. te ubacuju svoje kodove. Napravio sam sljedeću stvar s DirectoryIndex komandom u .htaccess-u. Zamijenio sam index.* s drugim početnim imenom, recimo glavna i onda se glavna.html ponaša kao index.html te ju trojan ne može pronaći 🙂 Dodao sam u .htaccess DirectoryIndex glavna.html, očistio sve od trojana i stvar je upalila. Eto možda nekome pomogne ovo privremeno rješenje…

  • Fitness kaže:

    Uuuu, imao sam gadnih problema sa istom stvari, i to par puta i još mi nije jasno kako se to moglo dogoditi. Zato više nikada ne spremam lozinke, sve su na papiru.
    No neki dan sam pobrao nešto čega se nikako nisam mogao rješiti. Niti jedan antivirus, antispyware, trojan remover nije mogao prepoznati o čemu se radi.
    Naime računalo čim bi se spojilo na net, automatski je slalo viagra mailove. Nikako nisam mogao to prekinuti pa je pao format c:

  • weberica kaže:

    Jedan iskusni lega rekao mi je da Acrobat 8 (i više) ima rupu i pobire te viruse po putu do računala. Da se to može spriječiti nekim silnim zakrpama i updateima al uglavnom eto, loše je….

  • lektira kaže:

    sada je aktuelan brontok. slanje spama, nepritmjetan je..

Trackbacks & Pingbacks

Ostavite komentar

Autori s više od 10 komentara nemaju tag nofollow na svojim linkovima! Zabranjeno je vrijeđanje, omalovažavanje ili na bilo koji drugi način ometanje normalnog toka komentara. Također je zabranjeno oglašavanje u komentarima i sve druge vrste spam-a.

(*) polja su obavezna

XHTML: Možete koristiti: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre lang="" line="" escaped="">