Od paru tygodni obserwujemy wzmożoną aktywność trojanów wykradających hasła ftp z zarażonych komputerów pracujących pod systemem Windows.

Zwykle scenariusz działania trojana jest taki:

• Trojan wykrada z komputera użytkownika zapamiętane przez Windows lub klienta ftp (Total Commander) i przekazuje je poprzez internet do 'centrali'
  
• 'Centrala' włamuje sie na serwer ftp i zwykle kopiuje szkodliwe skrypty (wyświetlanie reklam na stronach lub rozsyłanie spamu) lub dopisuje do plików index.php, index.html, main.php, login.php dodatkowe linie szkodliwego kodu (php, cgi, java script).
  W niektórych przypadkach podmienone skrypty są uruchamiane jednokrotnie (startują proces zakłócający pracę serwera apache) i potem kasowane - lub przywracana jest oryginalna wersja zmienionych skryptów.
  UWAGA!
  Serwer one.hards.pl od ponad 3 lat jest zabezpieczony przed uruchamianiem szkodliwych skrytów pobieranych z obcych serwerów, dlatego zmodyfikowane w opisany powyżej sposób strony zamiast wyświetlania reklam otwierają np. pustą stronę lub komunikat o błędzie.
  Poważnym problemem jest fakt, że okresowo (co 1 lub 2 tygodnie) zakłócana działaniem szkodliwego procesu - zawiesza się usługa apache i trzeba ją restartować ręcznie, gdyż watchdog wbudowany w Panel nie widzi przestoju.
• Zmodyfikowane w ten sposób strony internetowe mogą być odnotowane przez wyszukiwarkę google jako niebezpieczne, a informacja o tym jest wtedy wyświetlana w wynikach wyszukiwania.
  Aby pozbyć się komunikatu - trzeba:
  - zmienić hasło kont ftp i konta main,
  - usunąć szkodliwe skrypty,
  - zalogować się w google i w zakładce Webmaster Tools dokonać weryfikacji strony.

Ciekawe linki opisujace w/w problem: