Oké, szóval a következő történik: Amikor a látogató megnéz egy olyan honlapot amiben ez a kód van, a böngészőben lefut ez a szkript, ami annyit csinál, hogy egy távoli (valószínűleg zombi) gépről letölt a látogató gépére egy programot (vírust, trójait, maleware-t, nevezd ahogy tetszik) Kb. másfél éve vizsgáltam ezt az exploitot alaposabban, akkor WinXP-re IE6 és FF2 böngészőknél, default biztonsági beállításoknál is észrevétlenül, jelzés nélkül letöltődött a veszélyes fájl (más böngészőkkel nem teszteltem, és azóta talán a MS frissítések be is zárhatták a kaput, ez esetben csak a nem frissített windózok vannak veszélyben, ezt nem tudom, azóta nem követtem figyelemmel) Amit én vizsgáltam, az ezt a progit töltötte le:
http://www.symantec.com/security_respon ... 99&tabid=2 ami a windows indulásakor lefut, beleír a registry-be, "megmérgezi" az svchost és a lsass processeket, ellopja a total commander jelszó fálját (wcx_ftp.ini), a windowsban elmentett levelezési beállításokat (POP3, IMAP), és elküldi ezeket az információkat "valahova", ahol azután már a wcx_ftp.ini -ben mentett adatok alapján visszafejtik az ftp jelszavakat (a kiszolgálót, és a felhasználónevet nem kell visszafejteni, azok tisztán benne vannak a fájlban) Ezeknek az adatoknak a birtokában azután teljesen normálisan be ftp-zik a tárhelyre (valószínüleg egy zombi gépen lévő szkript) és beleírja a fájlokba a letöltő kódot, hogy így tudjon terjedni. Természetesen egyátalán nem biztos, hogy jelen esetben is pont ezt a progit töltötte le a gépedre ez lehet bármi, akár egy backdoor program, amin keresztül később bármikor bármit telepíthet a gépedre, vagy bármi más. Az utóbbi időben több helyről is hallottam, hogy nem a wcx_ftp.ini fájlból szerezték meg a jelszavakat, hanem a total commanderbe raktak egy sniffert, ami bejelentkezéskor lehallgatja a bejelentkező adatokat amiket a commander küld a szerverre, és utána azokat küldi el valahova. Ez elég érdekesen hangzik nekem mert ez a commander exe fájljának módosítását jelenti, amiért azért a vírusírtóknak sipítozni kellene, de talán megoldották valahogy.. vagy ez csak egy urban legend.. nemtom, konkrét esettel még nem találkoztam.
Szal amit ilyenkor tenni lehet:
megelőzés:
- NE MENTSD EL A COMMANDERBEN AZ ACCOKAT!
- használj legális windózt ami frissül rendesen
- frissítsd a vírusírtót rendszeresen
- ha van rá lehetőség a szolgáltatónál korlátozd az ftp elérhetőséged a Te IP-dre, vagy az internetszolgáltatód tartományára
ha már megvan a baj:
- hálókábel kihúz, és egy teljes vírusírtás
- az általam fent belinkelt progi a registribe is beleír, amit szintén ki kell takarítani, ami sajnos nem szakértő felhasználóknál általában a windows újratelepítését jelenti
- total commander eltávolítása (amikor rákérdez, hogy a mentett jelszavakat is törölje e, akkor igen, törölje) és újratelepítése. Természetesen megbízható helyről letöltve, és ha utána felülírod egy crack-kel, mert nem akarod nyomkodni az 1-2-3 gombokat, akkor oda az egész. Nem tudod mit csinál még a crack, talán pont egy sniffert rak bele..
- ftp jelszó módosítás minden oldalnál aminek az adatai el voltak mentve. (korábban Adrián írta, hogy először a joomla visszaáálítása, és utána jelszó módosítás.. sztem meg fordítva előbb jelszómódosítás, azután már ha "minden tiszta" akkor belépni az új jelszóval bármit is csinálni.
- joomla visszaállítása a legutóbbi tiszta backupból
Ahogy a fentiekből is látszik jelen esetben a szerver is és a joomla is teljesen biztonságos vagy legalábbis nem ezeket használták ki), vagyis sajnos akkor is bele lehet szaldni ilyenekbe, ha gondos joomla adminisztrator az ember, sajnos néha elég csak megnézni egy oldalt a böngészőben és meg is van a baj.
Hozzászóló: zseni Dátum: 2008.06.24. 07:03 
(0%)
Na, de ne akarjak túl sokat tudni. Köszönöm mégegyszer a türelmet, és a válaszokat! 
