vir - Trojský kůň

Dobrý večer, mám dotaz ohledně opakovaného vložení viru na naše webové stránky knihy-obrazy.prodejce.cz (po otevření odkazu "obrazy na prodej").
Jako 1. pokus jsme nahráli všechny soubory nově (dnes jsme zjistili, že je tam opět vir, který nám již minule zaviroval PC - pěkný prevít, nelze se jej zbavit).
Jako 2. pokus jsme dnes změnili heslo a případně opět smažeme soubory a nahrajeme je nově, ovšem bude to mýt smysl?
Můžete nám prosím poradit jak se zbavit této nechtěné "pozornosti"?

Předem moc děkujeme.

Hádám že ona havěť je ten skript na konci stránky?! Pokud ano:
1) zkontrolujte, jestli jej máte i v lokální kopii
2) zkontrolujte PC na přítomnost havěti (použijte Antivirus - ne ty srandy typu Avast, AVG a spol., které si na antivir jen hrají)
3) kompletně vyprázdněte svou doménu a změňte heslo
4) nahrajte web znovu

No a když už budete u toho, tak by jste mohl změnit editor - M$ Word a ani další programy z továrny na čisté zlo nejsou pro tvorbu webu zrovna nejideálnější...

Pokud ani tohle nepomůže, tak jsou tři možnosti:
1) použil jste nekvalitní AV a máte v PC nějakého zmetka
2) někdo (něco) odposlouchává Vaší komunikaci se servery WZ a připojuje k ní ten kus kódu (nepravděpodobné)
3) bude problém na WZ (pravděpodobnost 0,00nic%)

Zdravím,

musím se připojit k prodejci. Na konec index.php se mi již dvakrát "sám od sebe" vložil nějaký zhovadilý iframe kód. Lokální kopie je čistá, po nahrání na wz je index.php také čistý, po odpojení a připojení na FTP je stále čistý. K zavirování dojde až po několika hodinách/dnech, a to bez mého přístupu na FTP (na FTP nemá přístup nikdo jiný).

Píšete, že pravděpodobnost na wz je nulanulaprd, ale kde tedy může nastat chyba, když není u mne ani u vás?

WZ ti tam asi nic nezapisuje (kromě reklamy). Ta se nastavuje při uploadu na server. Takže možná změna nastavení chmod nebo .htaccess by mohlo být řešení, aby k souborům neměl přístup někdo další z hlediska zápisu. A to je věc každého, kdo na wz umisťuje soubory, ne?

Díky za podněty, Lamo. Přenastavil jsem drobátko atributy souborů, uvidím, jak se to bude chovat dál...
Stejně si ale myslím, že by minimálně PHP soubory měly být chráněné proti zápisu (vyjma FTP přístupu) přímo WZ.

<HTML><i>ale kde tedy může nastat chyba, když není u mne ani u vás?</i><br>
A zkontroloval jsi pc na přítomnost virů, trojanů a jiné havěti? Ty jsou schopny získat tvé heslo na ftp, přípojit se tam bez tvého vědomí a změnit soubory.</HTML>

> Stejně si ale myslím, že by minimálně PHP soubory měly být chráněné proti zápisu

Však jsou. Když jsi připojený přes FTP, tak si příkazem dir můžeš práva zobrazit a příkazem chmod i nastavit.

Mám úplně stejný problém. Stalo se mi to už před pár měsíci. Zákeřný kód jsem odstranil a měl jsem do teďka klid. Dneska mě ale antivir na index.php zase nepustila řádek s kódem tam byl znovu.
Nerad bych podezíral webzdarma, ale zatím ho vidím jako jediného společného jmenovatele s ostatními napadenými uživateli.

Společný jmenovatel bude nejspíše mít i společného čitatele = používání webového rozhraní pro upload na server. Mylím, že všichni "postižení" uploadovali pomocí tohohle nespolehlivého upload manageru. Při použití FTP klienta - např. TC - se to asi neděje. Takže wz by to mělo buď dát do pořádku anebo to vůbec nenabízet k používání.

<HTML>2Lama: nemyslím, minimálně Petr zmiňuje použití FTP. Správcem souborů to nebude. Podle mě mají v PC nějakou havěť, která zjistí jejich heslo na ftp a pak už není problém se tam připojit a doplnit škodlivý kód. Źe to opravdu možné je, viz <a href="http://www.webzdarma.cz/forum/read.php?f=4&i=46721&t=46721">http://www.webzdarma.cz/forum/read.php?f=4&i=46721&t=46721</a>.</HTML>

Thalia:: Možná máš pravdu, ale tohle nevysvětluje fakt, že se lidem po uploadu přes web admina "nahrají" cizí stránky. V jednom z těch článků na odkaze se píše o "žádném nebo slabém" šifrování hesel v TC - koukal jsem u sebe na ta hesla - 26 místná kombinace čísel a písmen... (nevím jestli je to md5 šifrování - i to jde údajně zpětně rozlousknout - za několik... let?).

<HTML>Lama: jaké cizí stránky máš na mysli? Ani jeden z uživatelů v tomto tématu nepíše, že by užíval výhradně správce souborů. Jakým způsobem to heslo z TC získávají, to opravdu nevím. Ale i kdyby se ten škodlivý kód vkládal při uploadu přes správce souborů, tak to bude spíš tím, že je vir v pc, než někde na wz. Pokud se člověku objeví na stránkách změna, kterou nedělal, je dobré v ftp logu mrknout, odkud byl poslední přístup. Nedivila bych se, kdyby to bylo odněkud ze zahraničí (např. Ukrajina, Rusko apod.) - tedy pokud nedošlo ke vniknutí na stránku přes nedostatečně zabezpečený RS.</HTML>

V tomto tématu se o těch záměnách stránek nepíše. Ale viz Petr: "...Lokální kopie je čistá, po nahrání na wz je index.php také čistý, po odpojení a připojení na FTP je stále čistý. K zavirování dojde až po několika hodinách/dnech, a to bez mého přístupu na FTP..."
Tohle moc nevypadá na činnost nějakého viru nebo trojana na lokálním PC.

Thalia: no nejspíš to heslo přečte z wcx_ftp.ini a pak ho nejspíš pošle někam dál... Poslední verze TC už tam to heslo nemají napsané jako to bylo dřív a s tím, co tam je uvedeno se přihlásit nedá.

Tak jsem ho na stránky také chytil. index.html, asi padesát odřádkování a javaskript. Jinde to není. Nemyslím si, že je to záležitost přístupu přes ftp. Přepsal jsem soubor a uvidím.

<HTML>raptor: Je známo, jak ten virus funguje - spustí se při prohlížení stránek špatně zabezpečeným prohlížečem, shromáždí uložená hesla k FTP (ze známých souborů jako např. wcx_ftp.ini apod.) a rozešle se na tyto stránky. Je několik řešení:

1) používat bezpečný prohlížeč (sám nevím, které to jsou, ale přes Operu jsem nic nechyt, ovšem nevím, jestli mě taky nechrání antivir)
2) používat dobrý antivirový program
3) ukládat si hesla k FTP do hlavy anebo zašifrovaná nějakým heslem, které máte v hlavě.</HTML>

Kdysi jsem to taky chytl. Bylo to zapříčiněno pouze počítačem, který tam měl vira nebo spyware. Po vyčištění a přehrátí se to už nestalo. Na webzdarma s tím nemají nic společného, je to problém jen uživatele, co tam něco nahrává.

Zdravím všechny!

Už se mi to stalo podruhé,že jsem musel přemáznout "index.html" ,svým originálem z disku ! Po nějaké době, po umístění na webu, je na konec kódu připsán zhruba 15-ti řádkový script. A poté při vstupu na stránky(prohlížečem),se hlásí jako Trojan Downloader(mám Nod32).
Mimo něj ho detekují BitDefender, ClamAV, GData a Sophos, viz přímý odkaz na na VirusTotal: http://www.virustotal.com/cs/analisis/9d519c149008e3a8464034e228e40d2a (jen pro zajímavost)


Největší riziko, kdy by někdo mohl zjistit moje přihlašovací údaje, je právě moment když se přihlašuju! Pokud se ale "kamkoliv" přihlašuju, musí přece "někdo" na druhým konci moje jméno+heslo přijmout(oveřit) !

Proto by mně zajímalo jak je WZ zabezpečen, např. jakým antivirem je chráněn, popřípadě četnost kontrol ?!?!

Pro přístup na web(k úpravě) používám výhradně ftp/TotaCommander ! Ode dneška jsem upravil přihlášení - standardně si TotalCommander heslo pamatuje....

Také zdravím,

záleží na verzi TC, staré verze ukládaly heslo v konfiguračním souboru v prostém nezašifrovaném stavu, tam si jej kdokoli s přístupem k počítači mohl přečíst - tedy i program, který infikoval operační systém - poslední verze TC již jej ukládají tak, že se tento textový řetězec k přihlášení použít nedá.

Druhé slabé místo, už nesouvisí s TC je protokol FTP, který posílá heslo nezašifrovaně - je proto potřeba používat zabezpečené FTP. Pokud je někdo ve stejné síti jako odesílací počítač tak může "naslouchat" a při klasickém FTP heslo zjistit. Řekně, že velmi jednodušše se tak dá heslo získat např. v počítačové učebně, kde vidím, že se někdo v lavici před mnou připojuje

Pokud se kamkoliv přihlašuji se správnými přihlašovacími údaji tak to druhá strana bez problému ověří. To se také zdá být standardní postup.

Nejsem v této oblasti odborník, ale řekl bych, že pro Linux neexistuje efektivní forma viru jako je to běžné u Windows a tak neexistují ani antiviry, které by jej před viry chránily.
A jaký antivir chrání WZ? Jmenuje se Linux a pracuje v reálné čase - kontroly probíhají tedy "furt".

Viry tedy napadají slabá místa. Tímto je ve vztahu Linux-Windows jednoznačně Windows - pokud tedy Windows uloží na server infikovaný soubor, tak ta infekce je pro server obyčejný, neškodný kus kódu. Je tedy otázka jestli by na takových počítačích, jako je webový server, mělo existovat něco, co bude odstaraňovat kusy kódu z cizích uložených souborů. Standardní je, že HTML žádné viry neobsahuje.

Jenom bych ds doplnil o to, že pro Linux také existují antiviry. Linux samotný chránit nemusí, ten se o sebe umí postarat sám. Používají se právě na detekci škodlivého kódu, který do dat uložila nakažená Windows a jsou škodlivá opět jen pro Windows. Vlastně chrání konkurenci.

V případě WZ, který jede na Linuxu, se stránky mohou zavirovat pouze ze stanice, která má právo zapisovat do adresáře webu prostřednictvím FTP nebo HTTP, tedy v našem případě vlastníka prezentace. Nasazení antiviru na WZ by jen zbytečně zatížilo servery.

Sečteno a podtrženo: Za zavirování své webové prezentace si každý může sám a WZ do toho netahejte.

Možná by se mohlo doplnit, že ten mechanismus. kterým se něco dostane na stránku, nemusí být jen PC-Web, je klidně možné, že navštěvník na Windows jen odešle přístupové údaje a o doplnění škodlivého kódu se může postarat nějaký jiný robot.

Jsem zastáncem "pozitivistického" myšlení: lépe mít na stránkách trojana, než NIC :-)

<HTML><span style="font-variant: small-caps;">Trojana mají kdekde, např. na <a href="http://cs.wikipedia.org/wiki/Ivan_Trojan">Wikipedii</a>. A co se týče <a href="http://en.wiktionary.org/wiki/NIC">NIC</a>, to má dnes pomalu každý počítač.</span></HTML>

Měl jsem stejný problém s tím iframe. Největší problém byl, že google mi díky tomu stránky zaindexoval jako podezřelé a nešlo se na ně odkázat. Nicméně problém vyřešilo neukládání hesla v Total Commanderu. Resp. přechod na linux a na GNOME Commander. :-)

Tento problém je poslední dobou tak vážný , že pokaždé co někdo z mých známých jde na můj web , tak mi hlásí virus .
Pokaždé HTML-ka znovu přepíšu , problém vyřešen - a - netrvá ani týden a viry jsou tam zase !
Používám Total Comander , heslo neukládám , už nevím co dál...