[elektro-etc] weblap felnyomas es virusirto
Balázs Bámer
bamerbalazs at gmail.com
Wed Jan 13 09:04:03 CET 2010
Szervusz Lista!
Érdekes történet esett meg velünk. Van egy webbolt, amit mi (azaz én)
tartunk karban. Panaszkodott a tulaj, hogy a kliensek nem látják a
honlapot, mert az AVG vírusirtó letiltja, nézzem meg. Jó. Első
ránézésre a kérdéses oldal forrása semmi különöst nem tartalmaz, írtam
az AVG-nek, hogy mi van ilyenkor, meg szedjék le, ha téves. Azaz a
böngésző "forrás megtekintése" funkciója nem mutatta!!! Aztán
letöltöttem a teljes weblapot, belenéztem itt a HTML kódba, hát, ott
figyel a végén egy kusza Javascript kód, ami betöltéskor indul. Olyan
kusza, hogy ránézésre meg sem mondható, mit csinál, beférne egy
obfuscated programozó versenyre (mint ez
http://www.de.ioccc.org/2004/anonymous.c csak nem tördelték). Na de ez
nekünk nem kell, leszedtem. Mind a másfél tucat fájlból, mert az
index*html, index.php és az összes Javascript fertőzött volt. Hurrá,
átengedi az AVG!
Két napja volt gonoszkodni a védtelen számítógépeken, mert 10-én késő
délután tették föl, és tegnap hasonló időben végeztem az irtással. Ami
érdekes, hogy hogyan juthattak be. FTP felületet kaptam a munkára, ami
nyílt jelszóval megy. Hiába nyílt jelszó, ezt ilyen ritka használat
mellett szerintem lehetetlen kifigyelni. A jelszó nálam el van mentve,
de én NAT és router mögött ülök, Linux van, ezt azért nem törhették
föl, hogy egy ismeretlen helyen levő jelszófájlt kiszedjenek. A jelszó
amúgy nem volt túl erős, 3 szám és 5 kisbetű. Na, most lett egy
durvább.
szia: Balázs
More information about the Elektro-etc
mailing list