virus, který přes totalcomander mění index soubory...
Zdravím,
tak jsem byl již podruhé napaden jakýmsi virem, který přes total comander (kde jsou uložená hesla pro přístup na ftp) změnil veškěré index.htm, html, php soubory.
Dopsal do nich tag <iframe> odkazující se na jiný web.
Co se děje dále netuším, ovšem chtěl bych se optat přítomných,
- zda se s tím již někdo setkal ?
- zda někdo ví, přes který prohlížeč to přichází ?
- zda víte jak se tomu případně bránit?
Samozřejmně jendoduchá odpověď je neukládáat žádná hesla!
Ovšem když už jednou mne virus napadl, je nutné měnit heslo pro přístup na ftp? protože se již pravděpodobně heslo odeslalo na vzdálený server a soubory již nemusí měnit virus, ale přímo někdo vzdáleně ....
Jaké máte zkušenosti ?
BTW dnes jsem projížděl SpyBotem comp a našlo to cca 4 trojany s názvem "Casalemedia" (nebo tak nějak podobně) a přišlo to přes Chrome prohlížeč.
Re: virus, který přes totalcomander mění index soubory...
Zcela urcite by nebyl marny log z HijackThis.
Spybot na tohle bude maly kalibr, zkusil bych urcite nejaky klasicky AV v kombinaci s Combofixem.
Zkusil bych i nastavit firewall do "paranoidniho modu", kdy tedy bude asi dost otravovat, ale budes mit prehled o tom, co se ti snazi z/do pocitace komunikovat.
Jak sam rikas, na zmenu hesel je nyni uz pravdepodobne pozde, kazdopadne po odstraneni tehle haveti, to je prvni vec, kterou bys mel udelat.
Najit, identifikovat, zlikvidovat, zalepit diry.
Re: virus, který přes totalcomander mění index soubory...
HijackThis byl bohužel prázdný, tedy neobsahoval nic co bych neznal. (A že jsem již prošel několika logy z tohoto prográmku..)
Člověk zajišťující webhosting mi za mmt pošle nové hesla na ftp, které už nikam ukládat nebudu, takže to je taktéž v pohodě. Nicméně combofix vyzkouším ten by mohl zjistit více...
Re: virus, který přes totalcomander mění index soubory...
s tou detekci aktivity pozor - mam zkusenost s podobnou mrchou. Byla natolik vych.ana, ze se pripojila az pri vypinani pocitace. To se detekuje blbe, idealni je mit nejakej router po ceste, a na nem to hlidat.
Re: virus, který přes totalcomander mění index soubory...
Jedná se asi o ten vir, který se šíří díky chybě v TC, proto je lepší raději používat jiný FTP nástroj, třeba Filezilla, viz
http://filezilla-project.org/
tady je něco málo ke čtení ohledně nej:
http://svatas.blog.root.cz/2009/04/2...der-pouzivate/
http://tomas.blog.root.cz/2009/05/11...y-opet-v-akci/
Re: virus, který přes totalcomander mění index soubory...
On za to nemůže TC jako takový, nýbrž to, že si ukládá hesla k FTP v plaintext (o čemž samozřejmě varuje).
Re: virus, který přes totalcomander mění index soubory...
Citace:
Původně odeslal
sAd
On za to nemůže TC jako takový, nýbrž to, že si ukládá hesla k FTP v plaintext (o čemž samozřejmě varuje).
Přesně tak, ten virus (a že sem už viděl dost stránek s virem "IFrame") používá z TC jen ten wcx_ftp.ini.
Alternativou je (jak už bylo zmíněno) používat jiný FTP nástroj, případně začít používat betu od nové verze TC 7.5, která už umožňuje soubor s hesly zašifrovat.
Re: virus, který přes totalcomander mění index soubory...
Vzhledem k tomu, ze se pri standardnim ftp heslo stejne jako plaintext posila ...
Re: virus, který přes totalcomander mění index soubory...
Ale odchytavat na sieti je to podstatne vacsi problem ako vytiahnut zo suboru.
Re: virus, který přes totalcomander mění index soubory...
Pokud nekdo mate aktualne problemy s timto virem, zkuste klicovym souborum nastavit read only. Kdyz nepredpokladam, ze by se index soubory casteji menily, tak by to uzivatelsky problem byt nemel. Nevim jestli to pomuze, jen me zajima, jak je ten vir vychcanej :-)
