Aktív témák

• #14257 Alex_ tag

  2009-05-21 17:22:37 #14257

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Alex_

  tag

  Sziasztok
  egy jó ideje csak olvasóként vagyok jelen, de most kérdeznék is.

  webfejlesztéssel foglalkozó cégnél dolgoztam/zok több mint 120 domainhez van vagy majdszáz ftp kapcsolat is kiosztva, időről időre előforudlt néha, hogy ezen ftp jelszót megszerez egy trójai, majd ftp kapcsolaton keresztül egy külföldi ipről (ami egy meghekkelt szerver http://oderlandblogg.com/), minden index állományt megfertőznek a kóddal az ftp tárhelyen, ezek csak nem védett számítógépek ellen voltak hatásosak, egy <iframe src=kínaioldal/fájl.cgi és paraméter> kódrészek voltak, amelyeket szinte bármilyen de frissített vírusvédelem megfogott.
  nemrég szóltak, hogy hibás az egyik oldal (miért nem azt mondták, hogy nem működik...), bepötyögtem a böngészőbe (amit DropMyRights progival futtatok), az eset smart security jelzett hogy megfogott egy trójait. nosza mondom vírus. megváltoztattam nekik az ftp jelszót, megnéztem a kódot, s ez javascriptes kód, amiben kódolva van maga a javascript is,
  (function(){var [fájlonkéntváltozó változónév]='~76ar~20a~3d~22S~63riptEngi~6....';eval(unescape(változónév.replace(/~/g,'%')))})();
  mentettem belőle egy páldányt, mentésből visszaraktam a kódot, megnéztem a logot, tiltottam az ip-t, irtam mailt, hogy irtsák le a vírusukat a gépről, s minden okés.
  nem telt bele kb 3 nap, s a saját más tárhelyen lévő lapom is megfertőződött.
  log alapján kiderült, hogy az én hozzáférésemmel raktál fel ftp-n keresztül az ártó kódot...
  eset smart securityt használok hivatalos forrásból, tűzfal a linksys routerben, melette spyware terminator, superantyspyware, spybot sd teatimer fut. ezek melett lefuttattam malwarebytot, spybotot,eset csökkentett módban, kaspersky recsue discet, rootkit revealt, sunbelt viprerescue-t, egyedül az internet kesben volt egy javascript exploit fájl.

  Kérdés:
  Létezhet az, hogy amiatt, hogy maga az ártó forrás kódja kódolva van a html forrásban, emiatt először lefut a kód, s már csak a lefutás után fogja meg a vírusvédelem?
  a js eleve hozzáférhet a böngésző összes eseményéhez ok, de egy totalcmd ftp listájához, ami a windows alkönyvtárban van (64 bites xp-t használok) ?
  egy regexpel való kódolás ilyen kiskaput jelentene?
  persze én átszokom ftp helyett az scpre, de ez szerintem akkor is egyben fantasztikusan szép, egyben gáz.
  rosszul gondolom?

Aktív témák