Problemy z trojanami wykradającymi hasła ftp 2009-05-06
Od paru tygodni obserwujemy wzmożoną aktywność trojanów wykradających hasła ftp z zarażonych komputerów pracujących pod systemem Windows.
Zwykle scenariusz działania trojana jest taki:
- Trojan wykrada z komputera użytkownika zapamiętane przez Windows lub klienta ftp (Total Commander) i przekazuje je poprzez internet do 'centrali'
- 'Centrala' włamuje sie na serwer ftp i zwykle kopiuje szkodliwe skrypty (wyświetlanie reklam na stronach lub rozsyłanie spamu) lub dopisuje do plików index.php, index.html, main.php, login.php dodatkowe linie szkodliwego kodu (php, cgi, java script).
W niektórych przypadkach podmienone skrypty są uruchamiane jednokrotnie (startują proces zakłócający pracę serwera apache) i potem kasowane - lub przywracana jest oryginalna wersja zmienionych skryptów.
UWAGA!
Serwer one.hards.pl od ponad 3 lat jest zabezpieczony przed uruchamianiem szkodliwych skrytów pobieranych z obcych serwerów, dlatego zmodyfikowane w opisany powyżej sposób strony zamiast wyświetlania reklam otwierają np. pustą stronę lub komunikat o błędzie.
Poważnym problemem jest fakt, że okresowo (co 1 lub 2 tygodnie) zakłócana działaniem szkodliwego procesu - zawiesza się usługa apache i trzeba ją restartować ręcznie, gdyż watchdog wbudowany w Panel nie widzi przestoju. - Zmodyfikowane w ten sposób strony internetowe mogą być odnotowane przez wyszukiwarkę google jako niebezpieczne, a informacja o tym jest wtedy wyświetlana w wynikach wyszukiwania.
Aby pozbyć się komunikatu - trzeba:
- zmienić hasło kont ftp i konta main,
- usunąć szkodliwe skrypty,
- zalogować się w google i w zakładce Webmaster Tools dokonać weryfikacji strony.
Ciekawe linki opisujace w/w problem:
- http://forum.php.pl/index.php?showtopic=121411- http://www.photography-forum.org/showpost.php?p=291482&postcount=398