Теме: Web развој

Неће мене тројанци – мало сутра

Скраћена веза: http://pedja.supurovic.net/veza/2840

virusДошао је и тај дан да мене смлати тројанац. Ошашавио ме је ко младог мајмуна и још увек не знам шта се догодило.

Синоћ су почели људи да ми пријављују за пар сајтова да им Firefox пријављује да су опасни и не дозвољава приступ. Нисам се изненадио, јер сам недељу дана раније већ открио тројанца који је напао четири сајта које администрирам. Мислио сам да сам ствари довео под контролу, али се испоставило да ми је нешто промакло.

Нов, непознат и опасан

Тројанац који је извршио напад се скоро појавио и већ сам виђао случајеве да су неки сајтови страдали, а и пратио сам шта се са њим дешава. У начелу није злоћудан, више је пошаст, јер напада сајтове убацује у њих <iframe>који учитава код који напада кориснике и преко њих напада друге сајтове. И тако у круг. Не прави велику штету, и не брише податке. Циљ му је само да се шири.

С обзиром да се релативно скоро појавио ово је можда само тест верзија којом се проверава технологија, а опасне варијанте  тројанца тек следе. Ако је тако, јао нама, јер се показало да му је техника врло делотворна.

Постоји неколико начина да се заразите овим тројанцем: можете учитати злоћудан код преко <iframe> команде на неком сајту који посетите, можете зложудан код добити у неком ПДФ документу, па чак и преко Flash-a, а примећено је да је за ширење тројанца коришћен и имејл. На овај напад нису отпорни ни Internet Explorer, ни Firefox, ни Opera, ни Chrome, дакле ниједан од популарних веб читача. Ретки су, али су забалежени, примери и да је овај тројанац инсталиран директним нападом на сајт, обично коришћењем неког пропуста у коду апликације на сајту. Укратко: стављени сте на милост и немилост нападачу.

Тројанац не делује директно већ му је циљ да открије корисничка имена и лозинке што већег броја ФТП налога. Када је рачунар заражен тројанац тражи податке о ФТП налозима у неколико њему познатих ФТП програма, узима их и шаље власнику. Неке варијанте чак снимају шта куцате на тастатури и тако долазе до лозинки.

Када власник тројанца добије податке тада почиње напад: преко ФТП-а улази у ваш сајт, и преправља све индексне датотеке (свака датотека чије име почиње са index) тако што у њих уграђује <iframe> команду којом се код сваког посетиоца сајта учитава злонамеран код који га напада и тако започиње нови круг прикупљања података и напада на нове сајтове.

Једина штета коју сајт претрпи (поред самог ширења заразе) је та што неки нападачи користе лоше скрипте за мењање кода па умеју да оштете датотеке које мењају. То уједно и спречава ширење заразе јер те датотеке постају неисправне и не приказују се у веб читачима како треба, па ни тројанац не може бити учитан.

Шта се мени десило

У ствари не знам како сам запатио тројанца. Нападнута су ми четири сајта. Провером логова за сваки од њих нисам нашао никакав траг да је напад извршен директно, коришћењем неког пропуста у коду апликације. Штавише, највећи напад је претрпео управо сајт који је статичан, то јест нема апликације која може да има пропусте.

Логови су показали да су сајтови нападнути преко ФТП-а. Нападач је имао администраторско корисничко име и лозинку, улазио је тако на сајт и мењао датотеке.

То доводи до закључка да је неки од рачунара које користим за администрацију заражен. То је већ био проблем јер не користим један него више рачунара. Сваки сам проверио и нисам нашао никакве трагове тројанца. То сам и очекивао јер описи тројанца које сам нашао на Интернету и кажу да га антивирусни програми не детектују. Исти извори тврде да је једини лек да се заражени рачунар преформатира. Нисам то учинио још увек, јер је то огроман посао.

Уз то, на два рачунара сам и раније наилазио на овај тројанац приликом приступа зараженим сајтовима, јер је мој антивирусни програм (Avast) упозоравао на постојање <iframe> команде. У доброј мери сам уверен сам да та два рачунара нису могла бити заражена, бар не кроз веб читаче (али остају ПДФ читач и Flash као потенцијалне методе напада које сумњам да би антивирус препознао), а сада сам и на преосталима антивирусне програме заменио Avast-ом.

Међутим и са том тезом о зараженом рачунару има проблема. Наиме, нападнута су само четири сајта (срећом сви су моји, ниједан није сајт неког клијента), а ја их администрирам десетак пута више. Штавише, управо у периоду напада сам администрирао неке сајтове који уопште нису нападнути. То искључује могућност да сам запатио варијатну тројанца која прати куцање на тастатури, јер би тада управо сајтови којима сам приступао били нападнути – а нису.

Додатно ме збуњује чињеница да је један од нападнутих сајтова неки коме врло ретко приступам и коме у ствари одавно нисам приступао. Но, то је помогло, јер том сајту приступам само са једног рачунара, тако да сам могао да сузим сумњу да је само тај заражен (ако је заражен) – мада и даље не знам како је тројанац могао доћи до лозинке.

Уз то, ствар компликује то да за ФТП приступ користим један неуобичајен програм, за који сумњам да је писац тројанца уопште и чуо, тако да није могао да из њега узима лозинке. Ако је и могао, како то да није узео лозинке за више сајтова него само за та четири која су нападнута?. Остаје могућност да  можда и јесте покупио све лозинке али да је за почетак напао четири, а остале оставио за касније.

Све у свему, како сам заражен и када, и на који начин је нападач дошао до лозинки – не знам.

Опоравак штете

Попоравка последица напада се врши врло лако. Прва ствар коју треба да урадите је да промените лозинку за приступ. Приметио сам да је нападач у више наврата наново нападао исте сајтове. То сам приметио на сајту који је споредни и ретко ко му приступа па и ја, тако да је он најдуже остао несређен и изложен вишеструким нападима.

Промена лозинке тренутно решава проблем напада. Важно је да лозинку промените са рачунара за који сте сигурни да није заражен, како бисте избегли могућност да тројанац покупи и нову лозинку.

Након промене лозинке, са сигурног рачунара приступите ФТП-ом свом сајту и замените нападнуте датотеке резервним копијама (имате их, зар не?).

Ако немате резервне копије, онда поправку можете урадити и ручно, само у датотекама треба да нађете низ ‘<iframe’, утврдите да је злонамеран тако што видите да учитава код неког непознатог сајта, обично руског или кинеског, и уклоните целу <iframe> команду. Обавезно проверите крај датотеке да видите да ли је она оштећена. Ако јесте, морате ручно уписати код који недостаје.

Нападнуте датотеке није тешко препознати. Пре свега, све имају промењено време последње измене. То време је у ствари време када је напад извршен. Датотеке којима време није промењено нападач није дирао. Ако имате ФТП лог у њему ћете чак наћи и списак датотека којима је нападач приступао. Ипак, за сваки случај, претражите цео сајт и проверите сваку датотеку у којој постоји низ ‘<iframe’.

Обавезно проверите логове да бисте могли да утврдите на који начин је дошло до напада. Ако нисте укључили логовање приступа сајту, то обавезно учините.

Последице

Једина приметна последица овог напада је та што, због напада на један споредан сајт на мом најважнијем домену uzice.net,  Firefox сада за све сајтове на овом домену приказује да су опасни. Чак и Google у резултатима претраге означава све те сајтове као опасне.

Домен је тако означен јер је нападнути сајт коме ни ја, а ни други не приступамо често, остао неколико дана заражен, јер није на време примећено да је нападнут. Да сам одмах реаговао и уклонио тројанца, овог проблема не би било.

Већ сам поднео захтев да се та ознака уклони и надам се да неће са тим превише отезати, а посетиоцима препоручујем да сајтовима приступају Internet Explorer-ом, пошто он не прави проблем. Ко има добар антивирусни програм ионако не мора да брине јер ће њиме напад бити предупређен.

Наравоученије

Најтеже је из свега овога извести неку поуку. Да ли сам нешто научио из овог догађаја? Па и нисам. Довољно дуго сам на Интернету да добро знам како треба да се понашам, и до сада нисам имао оваквих проблема. Шта сам урадио погрешно па сам нагазио овај тројанац – не знам, па не знам ни шта да променим у свом досадашњем понашању.

Могу само да се забринем. Сада моја безбедност више не зависи од мог понашања него од тога колико су програми које користим сигурни и колико су њихови недостаци познати нападачима. Овај тројанац је демострирао огромну силу: користи различите технике за ширење заразе, углавном засноване на пропустима у програмима, што је ван контроле обичног корисника. Чак немамо ни могућност да несигуран програм заменимо неким другим, јер тројанац успешно напада све виђеније веб читаче, ПДФ читач и флеш плејер.

Забрињава ме и то што сам негде прочпитао да аутори овог тројанца на црном тржишту нуде израду прилагођених верзија по поруџбини (то јест тројанац може да на зараженим раунарима ради посао по жељи наручиоцаи) и још дају гаранцију да у наредне четири године тројанац неће бити могуће детектовати и омести у ширењу. То звучи злокобно.

Остаје ми само да седим и чекам, надајући се да нећу поново некако нагазити овог тројанца, а да чекање прекраћујем праћењем информација о њему са жељом да му неко ипак стане на крај.


Поделите овај чланак са пријатељима


12 comments to Неће мене тројанци – мало сутра

  • Au, čitajući ovo jako sam se zabrinuo! Čovek danas mora da bude mađioničar da bi izbegao sve smicalice koje ga vrebaju na netu…

    Najviše me brine činjenica da ga ne detektuju sigurnosni softveri i da prolazi kroz sve browsere, dakle zaštite nema!

    Sad treba biti pametan pa smisliti kako zaštiti FTP i ostale passworde da ne budu pokradeni… Došao sam čak do blesave ideje da držim sve na papiru, pa da svaki put ukucavam, ali i to je dzaba kada ima opciju da snima sve što se otkuca…

    Iskreno se nadam da će kompanije koje prave sigurnosni softver što pre pronaći način da se ovaj opasni trojanac eliminiše, u suprotnom niko više nije siguran, svi smo ugroženi…

  • Milan

    Cekaj malo, kazes:

    Trojanac ne deluje direktno već mu je cilj da otkrije korisnička imena i lozinke što većeg broja FTP naloga. Kada je računar zaražen trojanac traži podatke o FTP nalozima u nekoliko njemu poznatih FTP programa, uzima ih i šalje vlasniku. Neke varijante čak snimaju šta kucate na tastaturi i tako dolaze do lozinki.

    I:

    Štaviše, najveći napad je pretrpeo upravo sajt koji je statičan, to jest nema aplikacije koja može da ima propuste.

    I: spominjes iframe

    Znaci:

    1. Sta ima u tom iframe-u? Odakle vuce i sta ?

    2. Staticke u smislu cist HTML ili neki php bez baze ?

    3. Na kom OS-u radis kad spominjes kayloger opciju ?

    4. Jesi li probao da dignes namerno nebranjen sajt da vidis koji je MO ?

    I najbitnije:

    Jesi li stavio tcpdump na najnapadaniji server? Sta se desava ? Imas li backtrace ?

  • iframe просто учитава неку pdf ili flash датотеку коај садржи тројанац. Сајтови са којих се то учитава имају криптична имена и очигледно постоје само за ту сврху.

    Да, заражени сајт је имао практично само хтмл документе. Измена је направљена преко ФТП-а.

    Радим на Виндоузу, наравно.

    Не врши се неки прави напад директно на сервер. Напад је у облику фтп логина. Нападач се просто улогује на ФТП као админ, иради дир, преузме датотеке којима назив почиње са index, измени их и врати назад и тако рекурзивно све поддиректоријуме на сајту. Ствар је врло јасна и види се у логу ФТП-а.

    Оно што мене највише брине је да ни на једним рачунару који користим нисам нашао никакав вирус или тројанац.

  • Milan

    Da li se ta kripticna imena cesce menjaju ? Moraju nekud da vode.

    A da stavis neki snifer izmedju, recimo open bsd bridge ili nesto slicno. Morao bi da ga nahvatas. Sta kaze ISP ?

    Kuda isporucje? Ako nema otvirenih portova u nekom kracem vremenu mozda ide preko mail-a?

    http://linuxsysadminblog.com/2009/03/heurtrojanscriptiframe/

    ili string:

    http://www.google.com/#hl=en&q=ftp+login+trojan+iframe+abuse&aq=f&aqi=&aq=f&aqi=&fp=35e5f905b5e4329b

  • Ivan

    <IFrame> exploit je odavno poznat metod „ubacivanja“ explita. I nastao je zbog nacina na koji IE6 interperetira ovaj tag. Korisnici Opere ne moraju da brinu, kao ni korisnici IE7 ili IE8. Firefox, iako nije najsigurniji browser na svetu, ne podleze ovom exploit-u.

    <IFrame> exploit omogucava eskalaciju privilegija posle cega nasatupa instaliranje W32/Autorun.worm.ck trojanca u %Windows%Tasksx01xx8p.exe, koji zatim sa neke druge lokacije downloaduje routkit.

    Za one koji ne znaju, rutkit (rootkit) je software koji omogucava napadacu da sakrije procese i programe od samog operativnog sistema. Tako da ih ovaj ni ne vidi. To radi na samom low-level kernel nivou, zamenom drajvera (uglavnom na windows masinama) ili putem izmene samog kernela (kod Linux masina, zbog cega je uvek vazno proveriti MD CHECKSUMS na mirror sajtovima OpenSource software-a, jer je kernel dostupan svima).

    Tako da ni Linux sistemi nisu imuni na ovaj problem.

  • Bas sam hteo da pitam da li je linux zasticen od ovog problema, vidim da izgleda nije.

    Ipak, da li je na linux-u verovatnoća da se ovako nešto zapati manja?

    Koji browser je najsigurniji danas?

    • Ivan

      Najsigurniji browser, trenutno, je Google-ov Chrome. Pre svega zato sto sam browser engine radi unutar sopstvenog sandbox-a, tj. prakticno unutar sopstvenog Application Domain-a. I samim tim ima jako malo interackcija sa samim operativnim sistemom na kome radi. Sto cini ekspoitovanje sistema jako teskim.

      Posebno laki za eksploit su Safari, i generalnog gledano svi koji rade na OS X-u

      Linux sistemi su posebno na udaru rootkitova. Upravo zato sto je opensource, samim tim otvoren za sve i podlozan razlicitim izmenama. Zbog cega je odavno u upotrebi MD5 Checksum, kojim se proverava integritet i ispravnost podatak preuzetih sa neta. Tako da su linux sistemi uglavnom na udaru pri preouzimanju software-a.

  • Hvala,
    Chrome sam probao kad se pojavio ali nije jos bio dobar u to vreme. Probacu opet.

  • Ovo nije prvi put da ti se tako nešto dešava? Tako si nešto pomenuo kod mene kad sam imao sličan problem. Ja kod sebe nisam izvalio šta je tačno bilo u pitanju, no na svu sreću nije se više pojavljivalo :S

  • Ако сумњате да имате несшто чудно на рачунару, прескенирајте га бесплатном верзијом Malwarebytes. То је програм специјализован за чишћење malware-а. БЕспалтна верзија може да прескенира рачунар и побрише све што је опасно (уз вашу контролу, наравно).

    Када инсталриате програм прво га ажурирајте па тек онда пустите скенирање.

    Мени је нашао неколико тројанаца у привременим датотекама које су промакле антивирусној заштити, али није нашао ништа активно.

  • Bratislav

    Evo sta se meni desava:), vec konstantno u poslednjih mesec dana:). Moram prvo reci da sam amater pocetnik..koristim razne cms programe, wordpress, joomlu,…Medjutim konstantno mi se pojavljuje ista greska, kad god sredim sajt i dovedem ga skoro do kraja, i onda recimo posle dva dana pojavi se blank page bez ikakve greske errora, tako da sada stalno moram backapovati root i sql, bas me to nervira…uvek posle toga promenim pass ftp-a, cpanela, i databejsa..i to zamislite samo na jednom sajtu…pomislio sam prvo da nije do greske neke u mom skromnom znanju wordpresa, ali sam potom uploadovao i druge sms-programe i opet isto, nema iframova na sajtu, samo neke moje stvari, radi se o gradskom sajtu, kada sam kontaktirao hostinga rekli si mi da greske nema na serveru, i da ja to moram videti sa mojim administratorom(u ovom slucaju“ja“).

  • Најједноставније, провери датуме и садржај датотека на серверу и оних код себе па види да ли је нешто мењано а да то ниси ти радио.

    Провери ФТП лог (Cpanel има опцију да га прави) па види ко се све и одакел логовао на сајт и мењао га (у логу ћеш видети и шта је тачно мењано).

Leave a Reply

 

 

 

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Попуните израз тако да буде тачан: *