Fw: [黑特] filezilla我這麼相信你結果你藏木馬！

看板EZsoft作者timshan (仲軒)時間9年前 (2015/01/12 23:31)推噓5(5推 0噓 9→)

留言14則, 10人參與討論串2/2 (看更多)

※ [本文轉錄自 AntiVirus 看板 #1Ki-VHVH ] 作者: timshan (仲軒) 標題: Re: [黑特] filezilla我這麼相信你結果你藏木馬！時間: Mon Jan 12 23:26:52 2015 ※ 引述《hirokofan (笠原弘子命！)》之銘言： : ※ [本文轉錄自 EZsoft 看板 #1KizB-Rz ] : 作者: hirokofan (笠原弘子命！) 看板: EZsoft : 標題: [黑特] filezilla我這麼相信你結果你藏木馬！ : 時間: Mon Jan 12 21:57:41 2015 : filezilla的網站預設的連結藏有木馬，直接點連結，抓下來的是751K的下載工具 : https://filezilla-project.org/download.php?type=client : 如果直接去FILEZILLA在sourceforge上的儲存區看，本體應該是6.2M的檔案 : http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/ 其他恕刪這是751K下載工具的下載連結 http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/ FileZilla_3.10.0_win32-setup.exe/download 這是正常的檔案(來自鏡像站) http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/ FileZilla_3.10.0_win32-setup.exe/download?nowrap 然後我從這個頁面去下載其他檔案 http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/ 其實也都是抓到751K的這個檔案雖然會跳出真的sourceforge.net下載頁面有圖為證 http://i.imgur.com/6ibEIrv.png

直接下載的連結也是正常的，但是實際下載卻是被導向這裡 http://cdn.srcfrgfilesdeliver.com/?ic_user_id=128 稍微查一下這網域 http://www.herdprotect.com/domain-cdn.srcfrgfilesdeliver.com.aspx 燈燈燈接著我就去看看其他軟體的Sourceforge.net的下載是否正常後來發現有個地方不太一樣這是7-zip的頁面 http://i.imgur.com/ESQqTlq.png

這是FileZilla的頁面，多了一行奇怪的字串 http://i.imgur.com/kO5X0Wz.png

這個連結應該是用Javascript所產生的，所以索性把Javascript給停用，下載就恢復正常這樣看起來比較可能是是Filezilla在Sourceforge.net的頁面被駭了，被插入一段有問題的Javascript，有空的人幫忙抓一下然後回報過去吧 -- KeePass Password Safe 提供加密保護的帳號密碼管理軟體 http://goo.gl/RelsVI -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 112.104.202.167 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1421076433.A.7D1.html ※ 編輯: timshan (112.104.202.167), 01/12/2015 23:31:34 ※ 發信站: 批踢踢實業坊(ptt.cc) ※ 轉錄者: timshan (112.104.202.167), 01/12/2015 23:31:48

→

yukitowu

01/13 00:23, , 1^F

01/13 00:23, 1^F

→

yukitowu

01/13 00:24, , 2^F

01/13 00:24, 2^F

→

rick65134

01/13 00:27, , 3^F

01/13 00:27, 3^F