vprašanja debate oglasi
spletni posel
spletni posel crm dhl affiliate programi instagram mailchimp adwords
več ...
spletne strani
spletne strani cms html pdf less sass magento
več ...
splošne debate
splošne debate računalniki
programiranje
programiranje jquery php python postgresql ms sql mysql
več ...
spletni strežniki
spletni strežniki robots.txt domene dns spam .htaccess mod_rewrite
več ...
Značke Menu
spletni posel spletne strani splošne debate programiranje spletni strežniki
Išči
Nova tema
Vprašanje Debata Oglas
Prijava Registracija

Gumblar FTP virus!

16 naročnikov

Včeraj dopoldne, ko sem odprl Podarimo.si, sem opazil, da je stran pomaknjena za okoli 100px nižje kot normalno. Pred mesecem sem dodajal neko JS skripto in mi je stran pomaknilo za 10px navzdol (don't know why), kar me ni motilo. Tako sem vedel, da je moral nekdo šariti po strani. Zalaufam FTP clienta in ugotovim, da imajo vse datoteke korena, ki vsebujejo "index" v imenu, včerajšnji datum.

Malo branja, da se vam ne naredi kaj podobnega:
http://blog.tigertech.net/posts/ftp-virus-spreading/
http://blog.tigertech.net/posts/ftp-password-viruses/
http://www.cnet.com/1770-5_1-0.html?query=martuz.cn%2F.&tag=srch

7886
spletni strežniki javascript

30 odgovorov

filezilla shranjuje v xml sicer, ampak v redu ... jst sedaj uporabljam SmartFTP, ampak se mi je kljub temu vmes neljubi dogodek ponovil še 2x. Najbolj pomaga, da računalnik spucaš z Malwarebytes Anti Malware... nekaj takega.

poznamo kak linux antivirus, ki bi sam odkril kodo v php fajlih, ki se naloži, da ne bi blo treba vsak sajt posebi gledat ali ima to stvar v sebi ali ne ? Poleg tega mi ni čisto jasno kako lahko interrupta httpd procese server wide, ter jih spremeni, tako da prikažejo malicious kodo na random...

kako pa filezillo spremeniti v secure mode, ob ponovni nametitvi ne dobim okna kjer bi izral to opcijo

Evo, za vse ostale hosterje ipd. katere je gumblar okužil preko uporabnikov, ki ne skrbijo za svoje računalnike vam prilepim par regular expressionov, ki najdejo gumblarja v fajlih:

$exp1 = "#\<\?php if\(!function_exists\('tmp_lkojfghx'\)\).*?tmp_lkojfghx2\(\); \?\>#";
        $exp2 = "#<script language=javascript><!-- ?\n\(function\(.*?\){var .*?unescape\(.*?\);\n --></script>#";
        $exp3 = "#<script language=javascript><!-- ?\n\(function\(.*?\){eval\(unescape\(.*?\);\n --></script>#";
        $exp4 = "#<!-- ?\n\(function\(.*?\){var .*?unescape\(.*?\);\n -->#";
        $exp5 = "#<!-- ?\n\(function\(.*?\){eval\(unescape\(.*?\);\n -->#";

Najbolje je da izvedete čekiranje za te regexe nad vsemi web fajli na strežniku, tako da najdete vse okužene datoteke...

Tale gumblar je prava sitnoba, najhuje pa je, da hostingi ne morejo storiti skoraj nič da bi se mu izognili...

1

A mogoče kdo ve kako se filezillo prepriča da ne shranjuje gesla?

Ja tam izberi možnost: Ask for password

nikjer ne najdem te možnosti sem že vse prečesal

Mislim, da nima. Ko se je to meni zgodilo, sem prešaltal na drug FTP client ;)

Kupiš SmartFTP, super fajn stvar:)

katerega priporočate, free varianta mislim