Друзья, хочу вас предостеречь — не сохраняйте пароли в FTP клиенте!
Зайдя на днях на свой блог, я увидел — что-то не то. Более того, тут же начал ругаться мой файрволл. Я посмотрел в исходный код и обнаружил там iframe размером 1х1, ведущий на TDS (traff.co.tv, привет, кулхацкер!). Этот же iframe я обнаружил и на всех других моих сайтах, что на этом же хостинг-аккаунте. Айфрейм был вписан в самый конец всех index файлов, html и php, после тега </ html>. Само собой, все сайты я тут же прикрыл, сменил все пароли, вычистил отовсюду хренов айфрейм, настроил получше права доступа (CHMOD), затем запустил сайты обратно, на всякий случай включив в панели (ISPmanager) блокировку по IP.
Гугление показало, что пострадавших таким образом довольно много, и особо уязвимы те, кто использует наиболее популярные FTP клиенты (Total Commander, Filezilla и т.п.).
Механизм действия, собственно, каков:
1. Троян угоняет с локальной машины сохраненные в FTP клиенте пароли.
2. ???
3. Ура, наши сайты украшены отличным невидимым фреймом (ведущим, к тому же, на высокотехнологичные вирусы и очень современные винлокеры).
Теперь я пользуюсь менее распространенным FTP клиентом и не сохраняю в нем пароли. Негативных последствий нет, не считая некоторого количества нервов, все сайты работают ок.
P.S: Следующий пост будет про арбитраж в AdWords (с применением купонов), чтобы не пропустить — подпишись!
P.P.S: Оказывается, Яндекс настолько мне доверяет, что одолжил мне 90 баксов в Директе 🙂 Спасибо, Яша!