※ [本文转录自 AntiVirus 看板 #1Ki-VHVH ] 作者: timshan (仲轩) 标题: Re: [黑特] filezilla我这麽相信你结果你藏木马！ 时间: Mon Jan 12 23:26:52 2015 ※ 引述《hirokofan (笠原弘子 命！)》之铭言： : ※ [本文转录自 EZsoft 看板 #1KizB-Rz ] : 作者: hirokofan (笠原弘子 命！) 看板: EZsoft : 标题: [黑特] filezilla我这麽相信你结果你藏木马！ : 时间: Mon Jan 12 21:57:41 2015 : filezilla的网站预设的连结藏有木马，直接点连结，抓下来的是751K的下载工具 : https://filezilla-project.org/download.php?type=client : 如果直接去FILEZILLA在sourceforge上的储存区看，本体应该是6.2M的档案 : http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/ 其他恕删 这是751K下载工具的下载连结 http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/ FileZilla_3.10.0_win32-setup.exe/download 这是正常的档案(来自镜像站) http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/ FileZilla_3.10.0_win32-setup.exe/download?nowrap 然後我从这个页面去下载其他档案 http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/ 其实也都是抓到751K的这个档案 虽然会跳出真的sourceforge.net下载页面 有图为证 http://i.imgur.com/6ibEIrv.png 直接下载的连结也是正常的，但是实际下载却是被导向这里 http://cdn.srcfrgfilesdeliver.com/?ic_user_id=128 稍微查一下这网域 http://www.herdprotect.com/domain-cdn.srcfrgfilesdeliver.cocn.aspx 灯灯灯 接着我就去看看其他软体的Sourceforge.net的下载是否正常 後来发现有个地方不太一样 这是7-zip的页面 http://i.imgur.com/ESQqTlq.png 这是FileZilla的页面，多了一行奇怪的字串 http://i.imgur.com/kO5X0Wz.png 这个连结应该是用Javascript所产生的，所以索性把Javascript给停用，下载就恢复正常 这样看起来比较可能是是Filezilla在Sourceforge.net的页面被骇了，被插入一段有问题 的Javascript，有空的人帮忙抓一下然後回报过去吧 -- KeePass Password Safe 提供加密保护的 帐号密码管理软体 http://goo.gl/RelsVI --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 112.104.202.167 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1421076433.A.7D1.html ※ 编辑: timshan (112.104.202.167), 01/12/2015 23:31:34

※ 发信站: 批踢踢实业坊(ptt.cc) ※ 转录者: timshan (112.104.202.167), 01/12/2015 23:31:48