virus, který přes totalcomander mění index soubory...

[Atreides]

Zdravím,

tak jsem byl již podruhé napaden jakýmsi virem, který přes total comander (kde jsou uložená hesla pro přístup na ftp) změnil veškěré index.htm, html, php soubory.

Dopsal do nich tag <iframe> odkazující se na jiný web.
Co se děje dále netuším, ovšem chtěl bych se optat přítomných,
- zda se s tím již někdo setkal ?
- zda někdo ví, přes který prohlížeč to přichází ?
- zda víte jak se tomu případně bránit?

Samozřejmně jendoduchá odpověď je neukládáat žádná hesla!
Ovšem když už jednou mne virus napadl, je nutné měnit heslo pro přístup na ftp? protože se již pravděpodobně heslo odeslalo na vzdálený server a soubory již nemusí měnit virus, ale přímo někdo vzdáleně ....

Jaké máte zkušenosti ?

BTW dnes jsem projížděl SpyBotem comp a našlo to cca 4 trojany s názvem "Casalemedia" (nebo tak nějak podobně) a přišlo to přes Chrome prohlížeč.

[motorolarulez]

Zcela urcite by nebyl marny log z HijackThis.
Spybot na tohle bude maly kalibr, zkusil bych urcite nejaky klasicky AV v kombinaci s Combofixem.

Zkusil bych i nastavit firewall do "paranoidniho modu", kdy tedy bude asi dost otravovat, ale budes mit prehled o tom, co se ti snazi z/do pocitace komunikovat.
Jak sam rikas, na zmenu hesel je nyni uz pravdepodobne pozde, kazdopadne po odstraneni tehle haveti, to je prvni vec, kterou bys mel udelat.

Najit, identifikovat, zlikvidovat, zalepit diry.

[Atreides]

HijackThis byl bohužel prázdný, tedy neobsahoval nic co bych neznal. (A že jsem již prošel několika logy z tohoto prográmku..)

Člověk zajišťující webhosting mi za mmt pošle nové hesla na ftp, které už nikam ukládat nebudu, takže to je taktéž v pohodě. Nicméně combofix vyzkouším ten by mohl zjistit více...

[KtK]

s tou detekci aktivity pozor - mam zkusenost s podobnou mrchou. Byla natolik vych.ana, ze se pripojila az pri vypinani pocitace. To se detekuje blbe, idealni je mit nejakej router po ceste, a na nem to hlidat.

[JamesCZ]

Jedná se asi o ten vir, který se šíří díky chybě v TC, proto je lepší raději používat jiný FTP nástroj, třeba Filezilla, viz

http://filezilla-project.org/

tady je něco málo ke čtení ohledně nej:

http://svatas.blog.root.cz/2009/04/2...der-pouzivate/

http://tomas.blog.root.cz/2009/05/11...y-opet-v-akci/

[sAd]

On za to nemůže TC jako takový, nýbrž to, že si ukládá hesla k FTP v plaintext (o čemž samozřejmě varuje).

[Paolo]

On za to nemůže TC jako takový, nýbrž to, že si ukládá hesla k FTP v plaintext (o čemž samozřejmě varuje).

Přesně tak, ten virus (a že sem už viděl dost stránek s virem "IFrame") používá z TC jen ten wcx_ftp.ini.
Alternativou je (jak už bylo zmíněno) používat jiný FTP nástroj, případně začít používat betu od nové verze TC 7.5, která už umožňuje soubor s hesly zašifrovat.

[Jezevec]

Vzhledem k tomu, ze se pri standardnim ftp heslo stejne jako plaintext posila ...

[Rainbow]

Ale odchytavat na sieti je to podstatne vacsi problem ako vytiahnut zo suboru.

[Smitka]

Pokud nekdo mate aktualne problemy s timto virem, zkuste klicovym souborum nastavit read only. Kdyz nepredpokladam, ze by se index soubory casteji menily, tak by to uzivatelsky problem byt nemel. Nevim jestli to pomuze, jen me zajima, jak je ten vir vychcanej