Debata o vlákně „Máte na webu virus“

Chamurappi:
Díky za soupis. Mám jen jednu malou poznámku:
„Odkáže-li někdo na zavirovanou stránku, přivolejte moderátora a žádejte zrušení odkazu.“ - co doplnit jakým způsobem? I když pravda, tento text si stejně asi budou, bohužel, číst jen návštěvníci zběhlí v užívání této diskuse, takže ti stávající tříemkový trik snad znají.

Chamurappi
„Má někdo něco k doplnění? Nějaké další odkazy na povídání o virech?“
Armin psal na Tlachtaci ještě jedno zajímavé řešení.

Kdybych měl tak čas na to popisování... já myslím že velice rychle se najde dobrák co to bude prezentovat za "vlastní řešení". Jinak já už něco psal i zde o tom...

armin
„já myslím že velice rychle se najde dobrák co to bude prezentovat za "vlastní řešení".“
Na něco takového jsem kdysi přišel sám, používal jsem v internetových kavárnách v "pravěku", kdy jsem neměl doma net, abych nemusel vždy vypisovat heslo, pozděli jsem na to zapoměl. Přijít na něco takového nevyžaduje genialitu.
Prvenství za zveřejnění a konkrétní použití ti neupírám, budu tomu říkat arminův návod.

Bubák: Netvrdím že je to unikátní řešení... každý kdo aktívně používa hosts či už na vhosty pro apache nebo kvůli jiným účelům, tak ho to nejspíš už i napadlo a používá to. Jen vycházím z mentality "konkurence". Jinak nejsem si 100% jist zda ten vir náhodou i nehlídá přímo komunikaci na ftp portu, nakolik 2-3 klienti tvrdili že určitě neměli heslo v total commanderu a že došlo k modifikaci (Flash FXP, Filezilla), tak fakt nevím. Až v dnes / v noci dokončím jeden větší projekt, tak u sebe obohatím administraci o možnost vypnutí FTP přístupu, to je nejlepší ochrana. Bo řekněme si to na rovinu - jak často se lozí na FTP? Moc ne. A když už, tak řekl bych stojí to za tu "námahu" si v administraci účet povolit a nahrát co je potřeba, než pak z milionu souborů vyhazovat hloupé žluté iframe tagy.

Chamurappi, armin - raz som to vyriešil tak, že som obmedzil práva na r--r--r--, stačilo to. Zároveň som si vytvoril v nejakom adresári testovací index.php s plnými právami a ukladal si čas poslednej zmeny. Tak som vedel že niečo nie je v poriadku, a pritom som neohrozil návštevníkov.

Chtěl bych upozornit na nový virus "Antispyware Soft" (upozonění: pokud ho budete googlit, dávejte velký pozor -- hned první 2 odkazy vedou na zavirované (i když důvěryhodně vypadající) stránky pravděpodobně od tvůrce viru). Stačí otevřít nakaženou webovou stránku a virus se nainstaluje, funguje to v IE i nejnovějším Firefoxu 3.6.3. Google ani antiviry ho zatím neznají. Dobré informace o viru a jak se ho zbavit jsou tady: http://www.virusremovalguru.com/?p=6088

Zajímavé na tomhle viru je, že v Možnostech internetu (tj. nastavení IE) nastaví používání proxy serveru na 127.0.0.1:5555, takže veškerá komunikace jde přes virus. Když se virus chová jako proxy, může odposlouchávat spojení a při nešifrovaném příhlášení (HTTP, FTP) ukrást přihlašovací údaje, bez ohledu na použitý klient a bez ohledu na to, jestli je heslo uložené a jestli je chráněné master heslem. Nevím přesně, jak se zrovna tenhle virus šíří a co všechno dělá (nijak podrobně jsem ho nezkoumal), ale rozhodně je možné, aby virus fungoval jako proxy a kradl tak přihlašovací údaje na FTP bez ohledu na použitého klienta i když se heslo neukládá. Je to skvělý nápad (tím nechci nikoho navádět) a dá se předpokládat, že to webové viry budou dělat.

Nezbývá než nemít v počítači virus a pokud už virus chytíme, tak aby měl omezené možnosti. Jako bezpečnostní opatření mě napadá:

---------

1. Neprohlížet web jako uživatel s administrátorskými právy
(zvlášť ne úplně důvěryhodné stránky - např. microsoft.com, djpw.cz, google, seznam.cz se asi dají považovat za důvěryhodné, anti-santa.cz nebo jiné menší amatérské weby už tak úplně ne)
Virus může zapisovat jen tam, kam má právo zápisu uživatel, pod kterým se spustí. Když se spustí pod běžným uživatelem (ne administrátorem), má omezené možnosti a nemůže nakazit samotný systém nebo třeba boot sektor disku. K odstranění nákazy by pak mělo stačit odstranit uživatele, pod kterým se virus spustil a všechny spustitelné soubory ve složkách, kam mohl zapisovat.

2. Na nahrávání souborů na server používat jiného uživatele, než pod kterým si prohlížím web
Tohle opatření má smysl jen pokud je splněn bod 1. I když je uživatel, pod kterým si prohlížím web, nakažený, tak jiného uživatele to neovlivní a virus nezíská přilhašovací údaje k FTP ani kdyby fungoval jako proxy.

---------

Bod 2 je z hlediska pohodlnosti používání docela drastické opatření, ale pokud jste fakt paranoidní, pak v současných OS asi není jiná možnost.

„Google ani antiviry ho zatím neznají“
Kvalitní antivirové firmy jsou schopné reakce v řádu hodin, jiné v řádu dní. Zda "můj" antivit tenhle virus rozpozná, zkoušet nebudu, takové pokusy může dělat třebas někdo s "virtuálem". Ale tenhle nový virus asi bude tvůrce virů inspirovat, takže hrozí vyrojení dalšího podobného svinstva.

„1. Neprohlížet web jako uživatel s administrátorskými právy“
Tesat do kamene a některým uživatelům i do monitoru

„Bod 2 je z hlediska pohodlnosti používání docela drastické opatření, ale pokud jste fakt paranoidní, pak v současných OS asi není jiná možnost.“
Paranoidní jedinci používají Live CD/DVD s Linuxem :-)

Bubák:
Už ho většinoiu znají (ale takové AVG třeba ne).
http://www.virustotal.com/cs/analisis/0c460a41379865f2a752a6717fbf5e642d9fc287a5cc34833364a6ca6ac55a83-1273159809

Tohle zrovna je spíš takový virus co prostě dělá bordel (otevírá plno varovných hlášek, IE s porno.org atd.) a snaží se přesvědčit uživatele, že má zavirovaný počítač (prostě falešný antivir), možná ani nic nekrade. V IE ale blokuje HTTP, zatímce FTP ne. Takže s tím kradením hesel bych si nebyl tak jistý. Dávat mu pravé heslo se mi nechce. V každém případě je potřeba počítat s tím, že se takové viry objeví.

Keeehiho rada mi přijde užitečná, možná by se hodilo doplnit ji do vlákna Máte na webu virus.