Po ilgos pertraukos vėl naujas įrašas į skaitykit.lt. Na viena priežastis yra tai, kad buvau išvažiavęs į Estiją, o kita priežastis daug svarbesnė, kuriai nusprendžiau pašvęsti atskirą straipsnį. Istorija apie tai, kaip mano darbiniame kompiuteryje užsiveisė virusas, kuris užkrėtė mano valdomus tinklapius, ir aš turėjau poros dienų košmarą, banadydamas išsigydyti. Bet apie viską nuo pradžių.
Mano darbiniame kompe buvo įdiegta NOD32 naujausia versija – nemokamas jos variantas 30 dienų. Gera antivirusinė, per tas 30 dienų neturėjau kuo skųstis. Tam periodui pasibaigus, kažkaip patingėjau ieškoti kitos antivirusinės ar pirkti NOD, taip ir sėdėjau faktiškai be antivirusinės kokią savaitę, nes buvo labai įtemptas darbo ritmas ir apie kompiuterio apsaugą tiesiog nebuvo kada susimąstyti. O be reikalo.
Praėjusią savaitę gavau laišką iš skaitykit.lt vieno skaitytojo, kuris atsiuntė man tokią ekrano nuotrauką:
Ir gavau kaltinimą, kad mano tinklapis platina virusus. Pirmiausia pagalvojau – WTF, juk aš ten jokių nesamonių nedėjau. Užėjau pats, pažiūrėjau kodą – ogi žiūriu kažkurioj eilutėj kodas: iframe bla bla bla http://www.blablabla.cn… Nuo tada ir prasidėjo visos bėdos… Pradėjau ieškoti antivirusinės, bet jos man tiesiog neleido užinstaliuoti, nepasileisdavo ir Registry Editor, o tai tikrai reiškė, kad kažkoks kenksmingas gyvūnas mano kompe sėdi. Išvaliau jį dalinai su MalwareBytes programa, o po to jau pilnai su NOD32 praskanavęs kompiuterį. Bet esmė net ne tame, kaip išsivaliau, o tame, ką pridarė niekšas trojanas.
1. Visiems savo prižiūrimiems tinklapiams naudoju nemokamą FTP klientą CoreFTP. Tai trojanas sugebėjo iš jo paimti slaptažodžius prie mano svetainių, prisijungti ir į tam tikrų katalogų index.php failus įkelti kenksmingą kodą! O kai atpažino WordPress, tai jam iš viso buvo pasaka – jis žinojo, į kuriuos katalogus ką kišt. Užkretė pagrindinį index.php, dizaino temos index.php, administravimo panelės index.php ir dar includes direktorijoje kažkokį failą. Siaubas! Bet bėda buvo ne tik ant WordPress, buvo užkrėsta dar pora mano tinklapių, bet kažkodėl ne visi. Taip ir neišsiaiškinau, kaip jis atrinkdavo aukas. Bet atstačiau normalų kodą visur ir pakeičiau slaptažodžius prie FTP.
2. Trojanas pavertė mano kompą spamo mašina. O kadangi kompas buvo darbinis, tai mūsų siunčiamo pašto serverio IP adresas buvo įrašytas į juodą spamerių sąrašą, ir iš mūsų ofiso niekas nebegaudavo laiškų. Turėjau raudonuot prieš visą kolektyvą ir atsiprašinėt…
3. Na ir, kaip jau minėjau, buvo uždraustas priėjimas prie kai kurių programų, pats kompo darbas sulėtėjo ir buvo įrašyta dar porą “draugų-trojanų”, kurių paskirties taip ir nesužinojau.
Reziumė 1. Atsiprašau visų mano tinklapių lankytojų už nepatogumus, tikiuosi turite antivirusines ir pagavote niekšą.
Reziumė 2. Tinklapių savininkai! Būkite budrūs, turėkite naujausią kompiuterio apsaugos programinę įrangą, nes nuo jūsų kompiuterio saugumo priklauso ir tūkstančių kitų kompiuterių saugumas. Jei jau skelbiate viešą informaciją, pasirūpinkite, kad ji būtų saugi! Pats užsiroviau ant šito, tai daugiau jau nebebūsiu toks aplaidus. Kitaip tariant, kol perkūnas nesugriaudi, tol žmogus ir nepersižegnoja…
April 21, 2009 2:34 pm
April 21, 2009 3:39 pm
Su Avira jau dvejus metus draugauju ir visiškai pasitikiu.
Retkarčiais iš neturėjimo ką veikt dar su HijackThis praskenuoju.
April 21, 2009 5:39 pm
Mantas, +1 Tik as jau 3+ metus su free versija ir jokiu problemu:)
Ties nupirkau premium versija… vien is supporto kompanijais sumetimu:) Bet ja i draige pc irasiau, pats ir toliau free naudoju:)
April 21, 2009 7:37 pm
O aš, kai pasibaigia NOD32 trial, tai einu į http://www.nod321.com/ ir iš tenai pasiemu naują trial username ir slaptažodį
April 21, 2009 7:58 pm
[...] kompiuteriams, ne tik šiukšlių laiškais draugams ir pašto serverio blokavimu, bet netgi grėsme jūsų tinklaraščio skaitytojams! Saugokite savo sistemas, nes jos – nebe jūsų asmeninis, o visos bendruomenės [...]
April 21, 2009 8:10 pm
aš ir galvoju koks tinklapis ten man pypsėjo amžinai, kai opera isjungdavau. Naudoju Avira ir no problem.
April 21, 2009 8:50 pm
bus tau po pron landžioti
April 21, 2009 9:19 pm
Avast! Personal surado JS:Agent-AV [Trj]. O koks iš tikro virusas buvo ir kaip atsikratei jo?
April 21, 2009 10:19 pm
Algirdui: būtent kad po pron nelandžioju darbe, tas ir apmaudžiausia, geriau jau būčiau landžiojęs
DoT: Nepamenu dabar viruso pavadinimo, ten iš tikrųjų buvo trojanų rinkinys, net ne vienas virusas, ta prasme kol aš jį pastebėjau, jis jau buvo ir draugų pasikvietęs…
April 21, 2009 11:34 pm
ajaj, ir mano antivirusas rėkė ne vienąkart jau…
April 22, 2009 1:08 am
GNU/Linux naudok
April 22, 2009 10:31 am
Pasiskaiciau internete ir Avast pasikeiciau i Comodo, nes anas dar ir firewallą duoda. O istorija labai panasi ir panasiai skausminga.
Klausimas paprastas. Kaip, po paraliais, užkamšyt wordpress, kad jis taptų sunkiai įveikiamas. Man, kaip naujokui, kol kas sunkiai sekasi net su visais online patarimais.
April 23, 2009 7:23 am
Mane irgi tokia problema buvo istikus
Naudoju NOD`a bet praskanuoju pc jis nieko neranda. Gal galit pasiulyt ka kito?
Problema issisprende kai atstaciau uzkrestus failus ir pakeiciau ftp slaptazodzius, dabar viskas gerai
Nuo to laiko pasidariau visas ftp kopijas, esant reikalui bus lengviau atstatineti, nereiks isimineti to kodo vos ne iskiekvieno failo..
April 24, 2009 12:24 am
ne per seniausiai kaune valiau vienoje organizacijoje kompus, visuose Comodo, rodo kad su paskutiniais atnaujinimais ir visuose bent po 3 virusus. taip ir nesupratau kas per bajeris tas Comodo.
April 24, 2009 10:10 am
“Algirdui: būtent kad po pron nelandžioju darbe, tas ir apmaudžiausia, geriau jau būčiau landžiojęs” Lialia.. visi žino, iš kur vaikai atsiranda, kaip ir žino, iš kur virusai.
Pats kaltas, kad visokį porną į PC siunties.. Aš šimtą metų nenaudoju jokių antivirusinių, mano Win 7 patys pažeidžiamiausi, bet nesiunčiu pr0n, nesuku galvos.
Nei man kompas nuo virusų, nei nuo anti-virusų lagina. Nuo pastarųjų daugiau bėdos, bent man. 
Aišku, čia galvoje turiu, kad nereik visokių skype nesąmonių spaudžioti mynakeddad.jpg, ir bus ok. O visi draugai savo flash pas save gali kištis.. Gal tu ir nesiunti pr0n, bet lamiškai elgiesi, jei vistiek pasigauni.
April 24, 2009 12:24 pm
Originalai, nebūtina landžiot po porno saitus. Užtenka ne savo kompiuteryje data stick’ą kyštelt ir jei sėdi be antiviruso gali gaut dovanų.
Prisiskaičiau kaip wordpress daro ir daro net atnaujinus į naujausią versiją ir išėjau į blogr. Mažiau vargo.
April 24, 2009 12:31 pm
Tame ir reikalas, kad nebūtina landžiot, užtenka po draugo pr0n flashą palandžiot ar jo skype linkus paspaudinėt. :p Tai nereik taip daryti, ir nereiks išvis jokių virusų anti-virusų. Aš kelis metus nenaudojau, nes iš kart matau, kad ten kažkoks nesąmoningas linkas pašte, skype ar t.t.
Net jei ant bairio įdiegiu kokį spyware doctor, tai jis nieko neranda mano OS.
April 25, 2009 10:00 am
Bet cia ne tik WordPress sistemoje sitas buvo, pas mano drauga ir jomloj buvo :]
April 27, 2009 11:37 am
Man buvo tas pats. Sukiso kodus ne i TVS o i statini html puslapeli. Faktas, kad per FTP. Dvi dienas teko knistis, kol isvaliau is visu puslapiu sukistus iframe … teko keist visus slaptazodzius, nes tik isvalius vel atsirasdavo. O pries tai teko kompa issivalyt nuoviruso, kuris pranesdavo mano naujus slaptazodzius kazkam..
May 4, 2009 7:16 am
su kokia antivirusine tai padarei?