U poslednje vreme su na Internetu zabeleženi česti neovlašćeni pristupi FTP nalozima i izmene sadržaja nekih fajlova, uglavnom ubacivanjem skrivenog koda, bez znanja vlasnika. Utvrđeno je da je razlog tome što je računar vlasnika sajta ili web mastera, odnosno računar sa koga je vršen pristup FTP nalogu zaražen nekim trojancem koji "krade" šifre zabeležene u računaru. Najpoznatiji i najčešći virusi tog tipa su Trojan.Gumblar, Trojan.PWS.Tupai, Trojan.PWS.FerTP, ali postoji i još mnogo varijanti ovih trojanaca...
Kako zapravo do toga dolazi?
- Može biti dovoljno da samo posetite neki već zaražen sajt koji može lako zaraziti vaš računar čak i bez vašeg znanja, ukoliko vam računar nije adekvatno zaštićen. Takođe se vaš računar može zaraziti i korišćenjem nelegalnog softwera, jer mnogi nelegalni programi dolaze sa raznim virusima u sebi
- Virus nakon toga analizira vaš računar i pronalazi sve FTP klijentske aplikacije koji sadrže "zapamćene" podatke za pristup FTP nalozima
- Nakon toga virus šalje pronađene podatke, naravno bez vašeg znanja, udaljenom računaru "hakera" koji su kreirali trojanac kojim je vaš računar zaražen
- Računar napadača tada vrši automatsku FTP konekciju na vaš nalog i preuzima fajlove koje želi da izmeni, najčešće .htm, .html i .php fajlove
- Nakon toga preuzeti fajlovi bivaju modifikovani, tako što se ubacuje iframe tag, javascript ili php kod koji će služiti da dalje širi virus, odnosno da zarazi i računare posetilaca vašeg sajta, tako što će direktno sa udaljenog servera "hakera" posetiocu vašeg sajta pokušati da "instalira" virus
- Svaki fajl se nakon te izmene ponovo postavlja na server, odnosno u vaš hosting nalog
- Vaš sajt je od tog trenutka postao "zarazan" i može širiti razne viruse na računare posetilaca vašeg sajta
- Nakon nekog vremena vaš sajt može i od strane Googla biti markiran kao opasan i prilikom pretraživanja na Googlu će se potencijalnim posetiocima prikazivati poruka da je sajt opasan i da može da zarazi računar posetioca
- Pored toga napadač koji je već došao u posed pristupnih podataka može hosting nalog zloupotrebiti i za postavljanje raznih drugih vrsta malicioznog softvera, na primer hostovanje "phishing" sajtova za krađu podataka, slanje spam poruka, napade na računarske mreže trećih lica i slično
Dakle, pored toga što su vam računar i sajt zaraženi i zloupotrebljeni, dodatno i Google može početi da odbija potencijalne posetioce vašeg sajta i vaš sajt će se smatrati "opasnim", a to naravno nikako ne želite...
Prevencija
Kako do ovoga ne bi došlo, veoma je važno da vaš računar bude uvek zaštićen i apdejtovan, kao i da ne koristite nelegalan softver koji često sadrži viruse. Vodite računa da uvek instalirate sve poslednje zakrpe za vaš operativni sistem kao i da uvek koristite poslednju verziju web browsera i da naravno imate instaliran i redovno ažuriran anti-virus sa uvek aktivnom rezidentnom zaštitom. Takođe obavezno izvršite i upgrade vašeg Adobe Acrobat Readera zbog bezbednosnog propusta koji je nedavno otkriven i koji omogućava da se i PDF fajlovi iskoristite da zaraze vaš računar. Poslednju verziju Acrobat Readera možete preuzeti na sledećoj adresi... http://get.adobe.com/reader/
Takođe je dobro da povremeno skenirate i ceo računar nekim anti-virusom. Na žalost neke od virusa/trojanaca ove vrste mnogi anti-virusi ne mogu da pronađu, pa je dobro skenirati računar i sa više različitih anti-virus programa ako postoji bilo kakva sumnja. Jedan od njih koji može da detektuje većinu ovakvih virusa je Malwarebytes Anti-Malware koji ima i besplatnu verziju koja može odlično poslužiti za skeniranje celog računara.
Dobro bi bilo i da šifre za vaše FTP naloge nikada ne snimate u vaš FTP klijent program, već da svaki put ukucate šifru kada želite da pristupite FTP nalogu, jer koliko je nama poznato za sada većina ovakvih virusa krade samo zapamćene šifre u poznatim FTP klijent aplikacijama, pa ćete se time dodatno osigurati da čak i ako vam računar bude zaražen ovakvim virusom ne postoji mogućnost da on u vašem računaru pronađe šifre.
Ukoliko su računar i sajt već zaraženi
Ukoliko vam je sajt već zaražen, to naravno znači da je i računar sa koga je vršen FTP pristup takođe prethodno zaražen nekim virusom koji je vaše podatke za pristup poslao trećem licu bez vašeg znanja...
- Veoma je važno da u najkraćem roku promenite šifru za pristup vašim hosting nalozima. To možete uraditi u svom korisničkom panelu... ( Uputstvo za promenu šifre )
- Takođe je veoma važno da nakon toga ne pristupate ponovo FTP nalogu dok vam je računar još uvek zaražen
- Potrebno je da nakon toga "očistite" računar ili računare sa kojih je vršen pristup serveru
- Najbolje je da pokušate i sa nekoliko različitih anti-virusa, a obavezno i sa prethodno pomenutim "Malwarebytes" koji je veoma uspešan u pronalaženju i otklanjanju ovog tipa virusa
- Na žalost nekad je jedini način da budete potpuno sigurni reinstalacija operativnog sistema, jer uvek postoji opasnost da ste zaraženi nekom za anti-viruse još nepoznatom varijantom virusa ovog tipa i da ga ni jedan anti-virus ne može pronaći niti otkloniti. Naravno to se obično može uraditi i ručno, ako ga anti-virus ne pronalazi, a za to morate angažovati neko stručno lice
- Kada budete sigurni da je vaš računar "čist" možete pristupiti FTP nalogu i početi sa ispravljanjem izmenjenih i zaraženih fajlova
- Kako bi ste znali koji su tačno fajlovi izmenjeni najbolje je da sa servera pre svega preuzmete FTP log fajl. FTP logove možete preuzeti u cPanelu na strani "FTP Accounts" gde ćete pri dnu naći potrebne linkove za preuzimanje logova u kojima ćete naći precizno zabeležene pristupe i izmene fajlova
- Najbolje je da "zaražene" fajlove zamenite originalnim verzijama fajlova sa svog bekapa. Dnevni ili nedeljni bekap možete preuzeti u cPanelu na strani "Backups" (Rezervne kopije)
- Ukoliko ste kasno primetili upad u vaš nalog i možda čak i bekap sadrži već zaražene fajlove, a nemate sačuvan svoj bekap sa originalnim verzijama fajlova moraćete ručno u svakom izmenjenom fajlu da tražite maliciozni kod i da ga uklonite iz svakog fajla. Obavezno u tom slučaju napravite dodatni bekap svakog fajla pre bilo kakvih izmena. Uglavnom se taj kod nalazi na samom početku fajla ili odmah iza <body> taga ili na samom kraju odmah ispred </body> taga ili čak potpuno na kraju. Taj kod može počinjati <iframe> tagom ali može biti i <script> tag ili čak može biti i php kod.
Za dodatnu pomoć i konsultaciju kontaktirajte našu tehničku podršku.
