Naprosto “miluji” rana, kdy se probudim a rovnou resim nejaky prusvih. Dneska mi vola manazerka z kancelare z Vegas, ze kdyz kdokoliv jde na nasi hlavni stranku www.Incparadise.com, tak mu to zacne stahovat virusy do pocitace. Zkusil jsem si to taky. AVG me hned upozornilo na ruzne virusy, ale pak mi vsechno zkolabovalo. Takze ted doufam, ze nemam nakazeny pocitac. Instaluji jiny antivirus a delam scan.
Na nekterych strankach ten virus zacal hned otevirat PDF soubor. Moc jsem necekal co se stane a vse hned zaviral, ale je to hruza. Na serveru se vsechno vycistilo, zmenily hesla a dal back up ze zalohy.
Sakra, vzdycky kdyz jsem cetl o takovych problemech tak jsem mel pocit, ze me se nemuzou stat. Virus na pocitaci jsem nikdy nemel, protoze nic podezreleho nikdy neoteviram. A ze muj web bude rozdavat virus dalsim lidem to bych vubec necekal.
UPDATE: Marne se snazim prijit na to jestli mam v pocitaci virus. Probehl scan pres AVG (nenasel nic), nainstaloval jsem AVAST (nenasel nic), nainstaloval jsem ESET a taky nic. No je to frustrujici.
No tohle je normální věc. Taky se nám to stalo. A příčinou viru v naší stránce byl zavirovaný hosting!
A teď se přiznejte – kdo nemá aktualizovaný Adobe Reader, ve kterém je známá fatální chyba? Kdo nedává updaty do Windows, hned jak se objeví?
staci ve FTP klientovi (TotalCommander) ulozit hesla k hostingu a na prusvih je zadelano.
4 xdrm: Vies mi pls napisat o tom nieco viac? Bezne to robim, lebo mam tych hostingov neuveritelne vela a casto pouzivam rozne ucty, tak ma to celkom zaujima.
Jurik: u FTP commanderu je to znama chyba ze uklada heslo jednoduchou sifrou(ma to tam i napsane, ze ukladani hesel se nedoporucuje). Takze pokud mas ulozena hesla v PC tak si zadelavas na problem, slysim to tedka ze vsech stran ze ma nekdo zavirovane stranky(vetsinou se jedna o vlozeny iframe).
Jurik: TCMD (nebo aspon drive) uklada hesla do textaku v plaintextu (nebo ted presne nevim, ale ta hesla sla bez problemu precist).
Na 99 % je to zavirovany Total Commander nekoho, kdo v nem ma ulozena hesla. Kdybys johne mel vice casu, napis mi prosim, snazime se to uz dlouho analyzovat, ale porad nemame nikoho spolehliveho, kdo by byl schopen z pocitace vytahnout vzorek viru.
Asi budu dávat většího bacha… Ono se to asi fakt stává 🙁
Jakub Suchy: Ahoj, ten vir jsem trosku blize zkoumal, mam i dost vzorku co se tyce nakazenych webu. Co presne te zajima? Kdyztak napis…….
mam to jen nactene. Popis problemu s TC je treba zde
http://www.dsl.cz/clanky-dsl/clanek-1018/Nebezpec…
Johne nejsi první a myslím že ani poslední, bohužel.
Tento vir se objevil tady "mezi námi" už možná i před měsícem, ale v poslední době je o něm slyšet čím dál víc.
Mě samotného taky postihl a stále to řeším.
Už mi to posralo dva shopy a vlezlo na všechny weby, na které jsem se připojoval.
Už nevím kde jsem ho vzal ale vím že dělá toto:
Vleze ti do pc a protože Total nešifruje hesla, v klidu se připojí na tvé weby, které tam máš.
Stáhne si povětšinou indexy.php/html ale nejen z rootu ale i z podsložek.
Ve WordPressu jde třeba ještě do wp-admin/index.php a index-extra.php;wp-includes/default-filters.php a myslím že i do wp-content/index.php
Tyto indexi změní tak, že nakonec souboru vloží iframe nebo script odkazující na nějaké čínské stránky. Poté indexy nahraje zpět na web.
Tak ti může klidně i rozhodit celý vzhled a návštěnvníkům, kteří mají antivir to hlásí iframe/červa.
nejsi sam. dnes dopoledne byl zavirovany alza.cz, skoro cely den take lenovo.cz a brnensky faval.cz porad odkazuje nekam do ciny.
hehe..
klasika dnesniho dne. Lide pouzivajici WordPress nebo jinou vec kterou pouziva milion dalsich lidi, mimochodem WordPress je v soucasnosti pekne diravej. A hlavne v pripade ktery se tyka tebe Johne mas vychozi instalace takze neni problem najit kde co je se nachazi..
etc u typu cloveka jako jsi ty Johne bych neprepokladal ze rozhodne nebudes mit takovou vec jako je AVG ..
Já jsem to s Total Commanderem "vyřešil" tak, že jsem si ve složce Windows (mám XP) přejmenoval jméno souboru, ve kterém jsou ta hesla, a to tak, že na začátek jsem přidal 2 písmena. Až se budu potřebovat připojit (dělám to většinou každý den), tak si z názvu toho souboru odstraním ta dvě písmena a pracuju. Po skončení s TC zase tomu souboru přidám 2 písmena do názvu… Sice amatérské, ale hlavně funkční řešení. Jediné slabé místo může být napadení v okamžiku práce s TC.
Jinak nevím, proč by AVG mělo být něco špatného. Zní to jako subjektivní názor. Existuje skutečně nějaká objektivní "tabulka" s porovnáním AVG a jiných podobných software?
roman: tak to je trochu kocourkovsky reseni 🙂 docela me pobavilo (takze behem prace imunni nejsi takze nejsi vubec)
jinak s tim virem jsem mel taky zkusenost, asi rok zpatky, klasickej javascript vkladajici iframe, je to zakodovany v nevim jaky znakovy sade, ale to je vse…
predpokladam, ze skript na tom vzdalenem serveru vysosava cookies a dela keylogera pres eventy…coz se hodi, kdyz se treba prihlasujete do bankovnictvi…
no a jestli autor dokaze vyuzit i chyb prohlizecu a zanyst neco do systemu, tak…
Roman: nejvic objektivni se snazi byt asi http://www.av-comparatives.org/ ale v podstate se neda pripravit objektivni test. Pokud je 10 antiviru tak se da pripravit 10 testu tak aby pokazde bylo poradi jine.
Honza: To je taky pěkná fičovina, dříve to tak bylo 2-3 roky, teď je to špička, ale někteří jej stále odsuzují kvůli jeho historii, nicméně je to pro mě nejlepší antivir + firewall za pár kaček. Dá se na něj spolehnout narozdíl od Avastu a podobných sraček, které pípnou jen když už máš vira v pc…
Aj http://www.photosofhomes.com/ mas zavirovane
Jeden klient si takto také zaviroval web. Samozřejmě, používá Total Commander.
Dobrý důvod pro Speed Commander, který preferuji 🙂
Morasino : Ja to ale nekomentuji na zaklade jeho spatne historie ale rozsahlych zkusenosti ktere me neustale utvrzuji za poslednich x let ze AVG a Avast nejsou resenim. Spicka to rozhodne neni. A pokud si chces pochvalovat jejich pos.. firewall tak si projdi prosim posledni verejne testy, firewall od AVG byl 3 od konce .. Zadny antivir neni nejlepsi ale proste jsou mnohonasobne lepsi. Za vse mluvi i pocet PC kteri nasi technici cistili od viru a byly na nich nainstalovany nevyhovujici antiviry..
jasom: Diky za upozorneni..
za PC co cistili nasi technici teda spis mluvi spravce ktery tam necha XP SP2 a vypne WU a uzivatel ktery nasdili systemovy disk do site pro zapis a klika si na kdeco
a pokud mas platnou licenci cehokoliv a si v USA tak neni problem pozadovat vraceni penez pokud nejsi spokojen. .. bezny model tu v USA
Virus na serveru, to zni hodne divne. Znamena to tedy, ze na serveru jsou Windows? (Unixove viry de facto neexistuji). Nevim, pokud nejedes na .NET nebo podobnou MS technologii, tak myslim, ze linux/bsd/solaris/whatever unixoveho je vhodnejsi reseni.
problem ze vetsina tvurcu viru az s 10 nejlepsimi antiviry pocita a umi je obejit nebo vypnout. Proste je to trochu o stesti na jakou kombinaci viru a antiviru narazite.
Ahoj Johne,
pokud mas platnou licenci AVG, doporucuji kontaktovat jejich techsupport, pomuzou Ti s vycistenim pocitace:
http://www.grisoft.cz/support-existing
to je dobra sranda vid ?
1) uz neexistuji viry, pokud si spravne pamatuju posledni vyskyt viru byl tak pred 2 roky.. Proste utocny kod splnujici vlastnost viru se neobjevuje
2) na libovolne platformy se objevuje libovolne nebezpecna havet. Je pravda ze na linux a unix spise trojany, rootkits atd..
3) ta chyba se kterou se tady operuje nebo problem souvisi vetsinou s XSS utokem ci SQL injection kde je zakerny kod vlozen do webu a nasledne zobrazovan vsem nastevnikum. A jak je znamo XSS a SQL injection jsou platformove nezavisle.
4) server na kterym provozuje John sve veci je Debian s Apache a vetsina jeho webu je delana na wordpress
H.
Honza: XSS nebo SQL injection? To dava smysl, diky za vysvetleni.
nepodstatná poznámka – web nakažený VIRY.
Ta chyba se kterou se tady operuje je prosta zranitelnost ve windows a nedokonalost javascriptu (nacitaneho v iframe ze stranky utocnika).
Kod na stranky to vklada pres ftp (zadna zranitelnost ve wordpressu nebo jinde).
Mě se na server dostali jednou přes code injection přes formuláč, oblíbená metoda je taky SQL injection.
Je to pravda, kdo používá jakýkoliv software, který má velkou penetraci (ať už jde o operační systém, blog a nebo cokoliv jiného), tak se musí vždy obávat exploitů. Lepší je si udělat úplně svoje řešení (ale to se vyplatí jen někdy, a chce to čas a peníze)…
O viru, který bere hesla z Total Commanderu slyším prvně. Mám ho koupený taky, je opravdu dobrý.
AVG je otřesný antivirus. Mé osobní zkušenosti z několika desítek instalací je, že ti klidně nechá nakazit počítač trojany, a až pak je začne "odhalovat". Taky jeho aktualizace jede a někdy zase nejedou, je děsně ukecaný, vyžaduje restarty, někdy se aktualizace seknou úplně. Administrátorské rozhraní funguje a někdy zase ne. Chytá málo virů. Nepovažuji ho za dobré řešení. Moc otravuje, je nespolehlivý a před mnoha viry neochrání.
NOD je výborný antiviru, chytá vše, neotravuje a člověk o něm ani neví. A kdo chce řešení na doma zdarma, tak je perfketní Avast.
Objektivní testy virů provádí pravidelně, je to světoznámá autorita, u které si dávají otestovat své produkty pravidelně všechny antiviry (včetně NOD, AVG, Avast, Norton, a tuny dalších)
Virus bulletin
http://www.virusbtn.com/
Se zaregistrujte a nejnovější testy uvidíte na:
http://www.virusbtn.com/vb100/archive/results?dis…
Grisoft AVG v posledním testu uspělo (v poslední době si vede dobře, neuspěl jen občas, ale před rokem 2003 je to doslova doba temna):
http://www.virusbtn.com/vb100/archive/results?dis…
Alwil Avast uspěl na všech operačních systémech kromě Windows Visty (v poslední době několikrát neuspěl, jinak má poměrně dobré výsledky, až na temnou prehistorii)
http://www.virusbtn.com/vb100/archive/results?dis…
ESET NOD uspěl na 100 procent (a má skvělou historii až do roku 1998, je to ideální produkt pro firmy)
http://www.virusbtn.com/vb100/archive/results?ven…
Jak jsem řekl, kdo má firmu, zaplaťte si NOD, vyplatí se to.
AVG bych nebral ani zadarmo, mám s ním otřesné zkušenosti. Měl jsem ho asi na 60ti PC rok a něco, a už ho nechci více vidět. Pořád jsem se hádal s Grisoftem, jak má vlastně antivirus vypadat. Nepovažovali za infekci uložení trojana jeho loaderem na HDD ale až pak jeho spuštění, tohle jsem s nimi řešil několikrát po telefonu, i na Invexu, a navíc ta jeho šílená vzdálená nefungující administrace a otravné aktualizace. Jak říkám, ani zadarmo… I zadarmo jsou lepší produkty.
Testy virů dělaá Virus bulletin už přes 10 let. Je to autorita používaná všechny (včetně AVG, NOD, Avast!, Norton…).
Pokud někdo používá program s velkou penetrací, tak je to problém a typický útok exploitů (a je jedno, jestli jde o rozšířený operační systém, a nebo blog). Pokud si to může firma dovolit, je dobré si vytvořit vlastní aplikaci.
O virech útočící na Total Commander slyším prvně, taky ho mám koupený. V minulost mě někdo cracknul web přes formulář "díky" code injection (SQL injection je taky oblíbený). A to si vstupy hlídám, ale člověk neošetří vždy všechno…
Ohledně antivirů s AVG jsem měl zkušenosti na asi 60ti PC a propouštel viry, neaktualizoval se, otravoval, vyžadoval restarty a špatně fungovala vzdálená administrace :(. Škoda mluvit, tohle u mě není antivirus. Není nic trapnějšího, než když musíte mazat ručně trojana, protože ho AVG pustilo dovnitř, přesto, že o něm vědlo, ale za infekci považuje až spuštění trojana, a ne nahrání jeho zaváděcího souboru na váš HDD. Kvůli tomu jsem se nejednou pohádal s Grisoftem :(.
Ideální antivirus do firmy je podle mých zkušeností NOD (neotravuje, aktualizuje se bezchybně, chytá naprosto vše a u Virus Bulletingu má už 10 let naprosto výtečné hodnoceni). Do domácnosti pak Avast! zdarma.
Také mohu jen doporučit ESET, dříve jsme měli zakoupeny NOD32, nyní Smart Security a s viry jsme nikdy neměli sebemenší problém.
Jinak co se týká FTP, osobně také používám FileZillu a někdy i Total Commander, co ale úplně nechápu je to, že za extrémně nebezpečný je označován zrovna (a jen) TC. Je to spíš tím, že ho používá nejvíce lidí, ale hesla se dají dekódovat i z ostatních programů (FlashFXP, FileZilla, atd.), je jen otázka času, kdy se tvůrci virů zaměří na datové soubory těchto programů. Nebo se snad mýlím a za (ne)bezpečností TC je ještě něco jiného? Dle mého názoru je jediné řešení hesla přímo v FTP klientovi (žádném) neukládat, ale mít je například v KeePass, nebo jiném programu pro správu hesel. Méně komfortní, avšak asi jediné "neprůstřelné" řešení.
Jirka: bezpečné řešení neexistuje. Já být těmi trojany, tak bych nelámal žádné šifry od Total Commanderu a jen seděl na všech portech a sledoval, kdo se kam připojuje a měl bych hesla od všech http://FTP...
Jediné řešení by asi bylo mít zvláštní počítač jen pro nahrávání souborů na FTP. Člověk by přes síť na něj něco nahrál a pak z něho provedl aktualizaci, ale muselo by se připojovat přes SFTP a nebo něco podobného, aby zase někdo nemohl odposlouchávat na síti…
Stejně je to moc složité. Nejjednodušší je mít zálohy všeho a když už je opravdu něco důležité, tak mít monitorovací systém na změny na webu, které budou člověku hlásit, že se změnil md5 třeba na nějakém rootu… Těch děr je strašně moc, tak je třaba hlídat přímo výsledek. Já to ale nedělám, nic kritického neprovozuji. Jen mám zálohy, protože není nic smutnějšího, než když nějaký vtipálek smaže RAID 1 na serveru a provozovatel tak končí (nemá zálohy). Už jsem viděl takhle zkončit asi deset lidí.
re: Jaromír Adámek
ano presne takove zkusenosti a problemy z AVG a Avastu mame neustale..
nejvice me dojala vec ze pred rokem jednomu nasemu zakaznikovy podpora z AVG tvrdila ze staci aktualizace jednou za den.. No pokud vydava AVG aktualizace min. 1x za 24 hod tak potes otez…
H.
Honza: Avast se s AVG nedá srovnat, to je výborný produkt oproti AVG, ale má otřesné rozhraní. Nechápu koho napadlo, aby to vypadalo jako přehrávač 🙂 LOL.
Kdo si není jistý, jestli má na PC vira, může zkusit webové antiviry, které se nainstalují do PC přímo jako applet v prohlížeči.
NOD od ESETu (super) http://www.eset.sk/virus-info/eset-online-scanner
Kaspersky: http://www.kaspersky.com/virusscanner
Je to ideální pro toho, kdo si chce prověřit jednou za půl roku, jestli jeho antivir dělá dobrou práci…
Avast mi aktuálně hlásí vir i na stránce xyz-bikes. Koukni se na to.
Sakra to uz je otravny…