Chvalšiny.NET - Diskusní fórum

Přihlásit

Vyhledat

Změna fóra | Přehled témat

Re: TrojanClicker.Iframe.GT.gen
Autor: Čížek Milan Datum: 07.06.2009, 12:50:14 Ahoj, prokazatelně musel být zneužit přímo můj login, soudě podle infikovaných cílových webů. Nicméně jak doma (Nod32 v3) tak v práci (Avast) jsem provedl kompletní scan a žádná nákaza odhalena nebyla. Bohužel mi logy už dávno odrotovali pryč, takže nevím, z jaké IP se na FTP připojovalo. Ještě by byl možný nějaký exploit v FTP serveru, po tom jsem už ale nepátral a automaticky udělal upgrade na poslední dostupnou verzi (a změnil hesla). :-) Ono najít infikované stránky je věcí několika sekud - minut, není to tedy až takový problém vyčistit. Např. # find /www/data -exec grep "=(String.fromCharCode" '{}' /dev/null \; -print > /iframe.txt Mimochodem ta chyba v Adobe Acrobatu existuje vážně dost dlouho a oprava žádná. :-( Šifrování hesel v TC je až v posledních beta verzích, konkrétně od 7.50 beta 1 (zabezpečení master heslem a AES šifrování). Milan

Re: TrojanClicker.Iframe.GT.gen

Autor: Čížek Milan
Datum: 07.06.2009, 12:50:14

Ahoj,
prokazatelně musel být zneužit přímo můj login, soudě podle infikovaných cílových webů. Nicméně jak doma (Nod32 v3) tak v práci (Avast) jsem provedl kompletní scan a žádná nákaza odhalena nebyla. Bohužel mi logy už dávno odrotovali pryč, takže nevím, z jaké IP se na FTP připojovalo. Ještě by byl možný nějaký exploit v FTP serveru, po tom jsem už ale nepátral a automaticky udělal upgrade na poslední dostupnou verzi (a změnil hesla). :-) Ono najít infikované stránky je věcí několika sekud - minut, není to tedy až takový problém vyčistit. Např.

# find /www/data -exec grep "=(String.fromCharCode" '{}' /dev/null \; -print > /iframe.txt

Mimochodem ta chyba v Adobe Acrobatu existuje vážně dost dlouho a oprava žádná. :-( Šifrování hesel v TC je až v posledních beta verzích, konkrétně od 7.50 beta 1 (zabezpečení master heslem a AES šifrování).

Milan

Odpovědět na tento příspěvek