Došao je i taj dan da mene smlati trojanac. Ošašavio me je ko mladog majmuna i još uvek ne znam šta se dogodilo.
Sinoć su počeli ljudi da mi prijavljuju za par sajtova da im Firefox prijavljuje da su opasni i ne dozvoljava pristup. Nisam se iznenadio, jer sam nedelju dana ranije već otkrio trojanca koji je napao četiri sajta koje administriram. Mislio sam da sam stvari doveo pod kontrolu, ali se ispostavilo da mi je nešto promaklo.
Nov, nepoznat i opasan
Trojanac koji je izvršio napad se skoro pojavio i već sam viđao slučajeve da su neki sajtovi stradali, a i pratio sam šta se sa njim dešava. U načelu nije zloćudan, više je pošast, jer napada sajtove ubacuje u njih <iframe>koji učitava kod koji napada korisnike i preko njih napada druge sajtove. I tako u krug. Ne pravi veliku štetu, i ne briše podatke. Cilj mu je samo da se širi.
S obzirom da se relativno skoro pojavio ovo je možda samo test verzija kojom se proverava tehnologija, a opasne varijante trojanca tek slede. Ako je tako, jao nama, jer se pokazalo da mu je tehnika vrlo delotvorna.
Postoji nekoliko načina da se zarazite ovim trojancem: možete učitati zloćudan kod preko <iframe> komande na nekom sajtu koji posetite, možete zložudan kod dobiti u nekom PDF dokumentu, pa čak i preko Flash-a, a primećeno je da je za širenje trojanca korišćen i imejl. Na ovaj napad nisu otporni ni Internet Explorer, ni Firefox, ni Opera, ni Chrome, dakle nijedan od popularnih veb čitača. Retki su, ali su zabaleženi, primeri i da je ovaj trojanac instaliran direktnim napadom na sajt, obično korišćenjem nekog propusta u kodu aplikacije na sajtu. Ukratko: stavljeni ste na milost i nemilost napadaču.
Trojanac ne deluje direktno već mu je cilj da otkrije korisnička imena i lozinke što većeg broja FTP naloga. Kada je računar zaražen trojanac traži podatke o FTP nalozima u nekoliko njemu poznatih FTP programa, uzima ih i šalje vlasniku. Neke varijante čak snimaju šta kucate na tastaturi i tako dolaze do lozinki.
Kada vlasnik trojanca dobije podatke tada počinje napad: preko FTP-a ulazi u vaš sajt, i prepravlja sve indeksne datoteke (svaka datoteka čije ime počinje sa index) tako što u njih ugrađuje <iframe> komandu kojom se kod svakog posetioca sajta učitava zlonameran kod koji ga napada i tako započinje novi krug prikupljanja podataka i napada na nove sajtove.
Jedina šteta koju sajt pretrpi (pored samog širenja zaraze) je ta što neki napadači koriste loše skripte za menjanje koda pa umeju da oštete datoteke koje menjaju. To ujedno i sprečava širenje zaraze jer te datoteke postaju neispravne i ne prikazuju se u veb čitačima kako treba, pa ni trojanac ne može biti učitan.
Šta se meni desilo
U stvari ne znam kako sam zapatio trojanca. Napadnuta su mi četiri sajta. Proverom logova za svaki od njih nisam našao nikakav trag da je napad izvršen direktno, korišćenjem nekog propusta u kodu aplikacije. Štaviše, najveći napad je pretrpeo upravo sajt koji je statičan, to jest nema aplikacije koja može da ima propuste.
Logovi su pokazali da su sajtovi napadnuti preko FTP-a. Napadač je imao administratorsko korisničko ime i lozinku, ulazio je tako na sajt i menjao datoteke.
To dovodi do zaključka da je neki od računara koje koristim za administraciju zaražen. To je već bio problem jer ne koristim jedan nego više računara. Svaki sam proverio i nisam našao nikakve tragove trojanca. To sam i očekivao jer opisi trojanca koje sam našao na Internetu i kažu da ga antivirusni programi ne detektuju. Isti izvori tvrde da je jedini lek da se zaraženi računar preformatira. Nisam to učinio još uvek, jer je to ogroman posao.
Uz to, na dva računara sam i ranije nailazio na ovaj trojanac prilikom pristupa zaraženim sajtovima, jer je moj antivirusni program (Avast) upozoravao na postojanje <iframe> komande. U dobroj meri sam uveren sam da ta dva računara nisu mogla biti zaražena, bar ne kroz veb čitače (ali ostaju PDF čitač i Flash kao potencijalne metode napada koje sumnjam da bi antivirus prepoznao), a sada sam i na preostalima antivirusne programe zamenio Avast-om.
Međutim i sa tom tezom o zaraženom računaru ima problema. Naime, napadnuta su samo četiri sajta (srećom svi su moji, nijedan nije sajt nekog klijenta), a ja ih administriram desetak puta više. Štaviše, upravo u periodu napada sam administrirao neke sajtove koji uopšte nisu napadnuti. To isključuje mogućnost da sam zapatio varijatnu trojanca koja prati kucanje na tastaturi, jer bi tada upravo sajtovi kojima sam pristupao bili napadnuti – a nisu.
Dodatno me zbunjuje činjenica da je jedan od napadnutih sajtova neki kome vrlo retko pristupam i kome u stvari odavno nisam pristupao. No, to je pomoglo, jer tom sajtu pristupam samo sa jednog računara, tako da sam mogao da suzim sumnju da je samo taj zaražen (ako je zaražen) – mada i dalje ne znam kako je trojanac mogao doći do lozinke.
Uz to, stvar komplikuje to da za FTP pristup koristim jedan neuobičajen program, za koji sumnjam da je pisac trojanca uopšte i čuo, tako da nije mogao da iz njega uzima lozinke. Ako je i mogao, kako to da nije uzeo lozinke za više sajtova nego samo za ta četiri koja su napadnuta?. Ostaje mogućnost da možda i jeste pokupio sve lozinke ali da je za početak napao četiri, a ostale ostavio za kasnije.
Sve u svemu, kako sam zaražen i kada, i na koji način je napadač došao do lozinki – ne znam.
Oporavak štete
Poporavka posledica napada se vrši vrlo lako. Prva stvar koju treba da uradite je da promenite lozinku za pristup. Primetio sam da je napadač u više navrata nanovo napadao iste sajtove. To sam primetio na sajtu koji je sporedni i retko ko mu pristupa pa i ja, tako da je on najduže ostao nesređen i izložen višestrukim napadima.
Promena lozinke trenutno rešava problem napada. Važno je da lozinku promenite sa računara za koji ste sigurni da nije zaražen, kako biste izbegli mogućnost da trojanac pokupi i novu lozinku.
Nakon promene lozinke, sa sigurnog računara pristupite FTP-om svom sajtu i zamenite napadnute datoteke rezervnim kopijama (imate ih, zar ne?).
Ako nemate rezervne kopije, onda popravku možete uraditi i ručno, samo u datotekama treba da nađete niz ‘<iframe’, utvrdite da je zlonameran tako što vidite da učitava kod nekog nepoznatog sajta, obično ruskog ili kineskog, i uklonite celu <iframe> komandu. Obavezno proverite kraj datoteke da vidite da li je ona oštećena. Ako jeste, morate ručno upisati kod koji nedostaje.
Napadnute datoteke nije teško prepoznati. Pre svega, sve imaju promenjeno vreme poslednje izmene. To vreme je u stvari vreme kada je napad izvršen. Datoteke kojima vreme nije promenjeno napadač nije dirao. Ako imate FTP log u njemu ćete čak naći i spisak datoteka kojima je napadač pristupao. Ipak, za svaki slučaj, pretražite ceo sajt i proverite svaku datoteku u kojoj postoji niz ‘<iframe’.
Obavezno proverite logove da biste mogli da utvrdite na koji način je došlo do napada. Ako niste uključili logovanje pristupa sajtu, to obavezno učinite.
Posledice
Jedina primetna posledica ovog napada je ta što, zbog napada na jedan sporedan sajt na mom najvažnijem domenu uzice.net, Firefox sada za sve sajtove na ovom domenu prikazuje da su opasni. Čak i Google u rezultatima pretrage označava sve te sajtove kao opasne.
Domen je tako označen jer je napadnuti sajt kome ni ja, a ni drugi ne pristupamo često, ostao nekoliko dana zaražen, jer nije na vreme primećeno da je napadnut. Da sam odmah reagovao i uklonio trojanca, ovog problema ne bi bilo.
Već sam podneo zahtev da se ta oznaka ukloni i nadam se da neće sa tim previše otezati, a posetiocima preporučujem da sajtovima pristupaju Internet Explorer-om, pošto on ne pravi problem. Ko ima dobar antivirusni program ionako ne mora da brine jer će njime napad biti predupređen.
Naravoučenije
Najteže je iz svega ovoga izvesti neku pouku. Da li sam nešto naučio iz ovog događaja? Pa i nisam. Dovoljno dugo sam na Internetu da dobro znam kako treba da se ponašam, i do sada nisam imao ovakvih problema. Šta sam uradio pogrešno pa sam nagazio ovaj trojanac – ne znam, pa ne znam ni šta da promenim u svom dosadašnjem ponašanju.
Mogu samo da se zabrinem. Sada moja bezbednost više ne zavisi od mog ponašanja nego od toga koliko su programi koje koristim sigurni i koliko su njihovi nedostaci poznati napadačima. Ovaj trojanac je demostrirao ogromnu silu: koristi različite tehnike za širenje zaraze, uglavnom zasnovane na propustima u programima, što je van kontrole običnog korisnika. Čak nemamo ni mogućnost da nesiguran program zamenimo nekim drugim, jer trojanac uspešno napada sve viđenije veb čitače, PDF čitač i fleš plejer.
Zabrinjava me i to što sam negde pročpitao da autori ovog trojanca na crnom tržištu nude izradu prilagođenih verzija po porudžbini (to jest trojanac može da na zaraženim raunarima radi posao po želji naručiocai) i još daju garanciju da u naredne četiri godine trojanac neće biti moguće detektovati i omesti u širenju. To zvuči zlokobno.
Ostaje mi samo da sedim i čekam, nadajući se da neću ponovo nekako nagaziti ovog trojanca, a da čekanje prekraćujem praćenjem informacija o njemu sa željom da mu neko ipak stane na kraj.
Au, čitajući ovo jako sam se zabrinuo! Čovek danas mora da bude mađioničar da bi izbegao sve smicalice koje ga vrebaju na netu…
Najviše me brine činjenica da ga ne detektuju sigurnosni softveri i da prolazi kroz sve browsere, dakle zaštite nema!
Sad treba biti pametan pa smisliti kako zaštiti FTP i ostale passworde da ne budu pokradeni… Došao sam čak do blesave ideje da držim sve na papiru, pa da svaki put ukucavam, ali i to je dzaba kada ima opciju da snima sve što se otkuca…
Iskreno se nadam da će kompanije koje prave sigurnosni softver što pre pronaći način da se ovaj opasni trojanac eliminiše, u suprotnom niko više nije siguran, svi smo ugroženi…
Cekaj malo, kazes:
Trojanac ne deluje direktno već mu je cilj da otkrije korisnička imena i lozinke što većeg broja FTP naloga. Kada je računar zaražen trojanac traži podatke o FTP nalozima u nekoliko njemu poznatih FTP programa, uzima ih i šalje vlasniku. Neke varijante čak snimaju šta kucate na tastaturi i tako dolaze do lozinki.
I:
Štaviše, najveći napad je pretrpeo upravo sajt koji je statičan, to jest nema aplikacije koja može da ima propuste.
I: spominjes iframe
Znaci:
1. Sta ima u tom iframe-u? Odakle vuce i sta ?
2. Staticke u smislu cist HTML ili neki php bez baze ?
3. Na kom OS-u radis kad spominjes kayloger opciju ?
4. Jesi li probao da dignes namerno nebranjen sajt da vidis koji je MO ?
I najbitnije:
Jesi li stavio tcpdump na najnapadaniji server? Sta se desava ? Imas li backtrace ?
iframe prosto učitava neku pdf ili flash datoteku koaj sadrži trojanac. Sajtovi sa kojih se to učitava imaju kriptična imena i očigledno postoje samo za tu svrhu.
Da, zaraženi sajt je imao praktično samo html dokumente. Izmena je napravljena preko FTP-a.
Radim na Vindouzu, naravno.
Ne vrši se neki pravi napad direktno na server. Napad je u obliku ftp logina. Napadač se prosto uloguje na FTP kao admin, iradi dir, preuzme datoteke kojima naziv počinje sa index, izmeni ih i vrati nazad i tako rekurzivno sve poddirektorijume na sajtu. Stvar je vrlo jasna i vidi se u logu FTP-a.
Ono što mene najviše brine je da ni na jednim računaru koji koristim nisam našao nikakav virus ili trojanac.
Da li se ta kripticna imena cesce menjaju ? Moraju nekud da vode.
A da stavis neki snifer izmedju, recimo open bsd bridge ili nesto slicno. Morao bi da ga nahvatas. Sta kaze ISP ?
Kuda isporucje? Ako nema otvirenih portova u nekom kracem vremenu mozda ide preko mail-a?
http://linuxsysadminblog.com/2009/03/heurtrojanscriptiframe/
ili string:
http://www.google.com/#hl=en&q=ftp+login+trojan+iframe+abuse&aq=f&aqi=&aq=f&aqi=&fp=35e5f905b5e4329b
<IFrame> exploit je odavno poznat metod „ubacivanja“ explita. I nastao je zbog nacina na koji IE6 interperetira ovaj tag. Korisnici Opere ne moraju da brinu, kao ni korisnici IE7 ili IE8. Firefox, iako nije najsigurniji browser na svetu, ne podleze ovom exploit-u.
<IFrame> exploit omogucava eskalaciju privilegija posle cega nasatupa instaliranje W32/Autorun.worm.ck trojanca u %Windows%Tasksx01xx8p.exe, koji zatim sa neke druge lokacije downloaduje routkit.
Za one koji ne znaju, rutkit (rootkit) je software koji omogucava napadacu da sakrije procese i programe od samog operativnog sistema. Tako da ih ovaj ni ne vidi. To radi na samom low-level kernel nivou, zamenom drajvera (uglavnom na windows masinama) ili putem izmene samog kernela (kod Linux masina, zbog cega je uvek vazno proveriti MD CHECKSUMS na mirror sajtovima OpenSource software-a, jer je kernel dostupan svima).
Tako da ni Linux sistemi nisu imuni na ovaj problem.
Bas sam hteo da pitam da li je linux zasticen od ovog problema, vidim da izgleda nije.
Ipak, da li je na linux-u verovatnoća da se ovako nešto zapati manja?
Koji browser je najsigurniji danas?
Najsigurniji browser, trenutno, je Google-ov Chrome. Pre svega zato sto sam browser engine radi unutar sopstvenog sandbox-a, tj. prakticno unutar sopstvenog Application Domain-a. I samim tim ima jako malo interackcija sa samim operativnim sistemom na kome radi. Sto cini ekspoitovanje sistema jako teskim.
Posebno laki za eksploit su Safari, i generalnog gledano svi koji rade na OS X-u
Linux sistemi su posebno na udaru rootkitova. Upravo zato sto je opensource, samim tim otvoren za sve i podlozan razlicitim izmenama. Zbog cega je odavno u upotrebi MD5 Checksum, kojim se proverava integritet i ispravnost podatak preuzetih sa neta. Tako da su linux sistemi uglavnom na udaru pri preouzimanju software-a.
Hvala,
Chrome sam probao kad se pojavio ali nije jos bio dobar u to vreme. Probacu opet.
Ovo nije prvi put da ti se tako nešto dešava? Tako si nešto pomenuo kod mene kad sam imao sličan problem. Ja kod sebe nisam izvalio šta je tačno bilo u pitanju, no na svu sreću nije se više pojavljivalo :S
Ako sumnjate da imate nesšto čudno na računaru, preskenirajte ga besplatnom verzijom Malwarebytes. To je program specijalizovan za čišćenje malware-a. BEspaltna verzija može da preskenira računar i pobriše sve što je opasno (uz vašu kontrolu, naravno).
Kada instalriate program prvo ga ažurirajte pa tek onda pustite skeniranje.
Meni je našao nekoliko trojanaca u privremenim datotekama koje su promakle antivirusnoj zaštiti, ali nije našao ništa aktivno.
Evo sta se meni desava:), vec konstantno u poslednjih mesec dana:). Moram prvo reci da sam amater pocetnik..koristim razne cms programe, wordpress, joomlu,…Medjutim konstantno mi se pojavljuje ista greska, kad god sredim sajt i dovedem ga skoro do kraja, i onda recimo posle dva dana pojavi se blank page bez ikakve greske errora, tako da sada stalno moram backapovati root i sql, bas me to nervira…uvek posle toga promenim pass ftp-a, cpanela, i databejsa..i to zamislite samo na jednom sajtu…pomislio sam prvo da nije do greske neke u mom skromnom znanju wordpresa, ali sam potom uploadovao i druge sms-programe i opet isto, nema iframova na sajtu, samo neke moje stvari, radi se o gradskom sajtu, kada sam kontaktirao hostinga rekli si mi da greske nema na serveru, i da ja to moram videti sa mojim administratorom(u ovom slucaju“ja“).
Najjednostavnije, proveri datume i sadržaj datoteka na serveru i onih kod sebe pa vidi da li je nešto menjano a da to nisi ti radio.
Proveri FTP log (Cpanel ima opciju da ga pravi) pa vidi ko se sve i odakel logovao na sajt i menjao ga (u logu ćeš videti i šta je tačno menjano).