[elektro-etc] weblap felnyomas es virusirto
vajk fekete
halaloszto at yahoo.co.uk
Wed Jan 13 10:44:13 CET 2010
ez egy fasza kis fereg. megnezel egy fertozott weblapot.
a benne levo kod a bongeszod hibait kihasznalva feltelepiti a ferget a gepedre.
aztan a fereg szetnez, es keres elmentett ftp jelszot.
ha talal, bejelentkezik, megkeresi html-eket, es belejukteszi a sajat installeret.
jo mi?
azok a gepek, amiken a jelszo el van mentve, mind gyanusak. jelszot megvaltoztatni, soha el nem menteni!
vajk
________________________________
From: Balázs Bámer <bamerbalazs at gmail.com>
To: elektro-etc at tesla.hu
Sent: Wed, 13 January, 2010 9:04:03
Subject: [elektro-etc] weblap felnyomas es virusirto
Szervusz Lista!
Érdekes történet esett meg velünk. Van egy webbolt, amit mi (azaz én)
tartunk karban. Panaszkodott a tulaj, hogy a kliensek nem látják a
honlapot, mert az AVG vírusirtó letiltja, nézzem meg. Jó. Első
ránézésre a kérdéses oldal forrása semmi különöst nem tartalmaz, írtam
az AVG-nek, hogy mi van ilyenkor, meg szedjék le, ha téves. Azaz a
böngésző "forrás megtekintése" funkciója nem mutatta!!! Aztán
letöltöttem a teljes weblapot, belenéztem itt a HTML kódba, hát, ott
figyel a végén egy kusza Javascript kód, ami betöltéskor indul. Olyan
kusza, hogy ránézésre meg sem mondható, mit csinál, beférne egy
obfuscated programozó versenyre (mint ez
http://www.de.ioccc.org/2004/anonymous.c csak nem tördelték). Na de ez
nekünk nem kell, leszedtem. Mind a másfél tucat fájlból, mert az
index*html, index.php és az összes Javascript fertőzött volt. Hurrá,
átengedi az AVG!
Két napja volt gonoszkodni a védtelen számítógépeken, mert 10-én késő
délután tették föl, és tegnap hasonló időben végeztem az irtással. Ami
érdekes, hogy hogyan juthattak be. FTP felületet kaptam a munkára, ami
nyílt jelszóval megy. Hiába nyílt jelszó, ezt ilyen ritka használat
mellett szerintem lehetetlen kifigyelni. A jelszó nálam el van mentve,
de én NAT és router mögött ülök, Linux van, ezt azért nem törhették
föl, hogy egy ismeretlen helyen levő jelszófájlt kiszedjenek. A jelszó
amúgy nem volt túl erős, 3 szám és 5 kisbetű. Na, most lett egy
durvább.
szia: Balázs
More information about the Elektro-etc
mailing list