作者timshan (仲轩)
看板EZsoft
标题Fw: [黑特] filezilla我这麽相信你结果你藏木马!
时间Mon Jan 12 23:31:48 2015
※ [本文转录自 AntiVirus 看板 #1Ki-VHVH ]
作者: timshan (仲轩)
标题: Re: [黑特] filezilla我这麽相信你结果你藏木马!
时间: Mon Jan 12 23:26:52 2015
※ 引述《hirokofan (笠原弘子 命!)》之铭言:
: ※ [本文转录自 EZsoft 看板 #1KizB-Rz ]
: 作者: hirokofan (笠原弘子 命!) 看板: EZsoft
: 标题: [黑特] filezilla我这麽相信你结果你藏木马!
: 时间: Mon Jan 12 21:57:41 2015
: filezilla的网站预设的连结藏有木马,直接点连结,抓下来的是751K的下载工具
: https://filezilla-project.org/download.php?type=client
: 如果直接去FILEZILLA在sourceforge上的储存区看,本体应该是6.2M的档案
: http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/
其他恕删
这是751K下载工具的下载连结
http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/
FileZilla_3.10.0_win32-setup.exe/download
这是正常的档案(来自镜像站)
http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/
FileZilla_3.10.0_win32-setup.exe/download
?nowrap
然後我从这个页面去下载其他档案
http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/
其实也都是抓到
751K的这个档案
虽然会跳出
真的sourceforge.net下载页面
有图为证
http://i.imgur.com/6ibEIrv.png
直接下载的连结也是正常的,但是实际下载却是被导向这里
http://cdn.srcfrgfilesdeliver.com/?ic_user_id=128
稍微查一下这网域
http://www.herdprotect.com/domain-cdn.srcfrgfilesdeliver.cocn.aspx
灯灯灯
接着我就去看看其他软体的Sourceforge.net的下载是否正常
後来发现有个地方不太一样
这是7-zip的页面
http://i.imgur.com/ESQqTlq.png
这是FileZilla的页面,多了一行奇怪的字串
http://i.imgur.com/kO5X0Wz.png
这个连结应该是用Javascript所产生的,所以索性把Javascript给停用,下载就恢复正常
这样看起来比较可能是是Filezilla在Sourceforge.net的页面被骇了,被插入一段有问题
的Javascript,有空的人帮忙抓一下然後回报过去吧
--
KeePass Password Safe 提供加密保护的 帐号密码管理软体 http://goo.gl/RelsVI
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 112.104.202.167
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1421076433.A.7D1.html
※ 编辑: timshan (112.104.202.167), 01/12/2015 23:31:34
※ 发信站: 批踢踢实业坊(ptt.cc)
※ 转录者: timshan (112.104.202.167), 01/12/2015 23:31:48
1F:→ yukitowu: 应该不是被骇... 因为已经好一段时间了 要不是简单好用 01/13 00:23
2F:→ yukitowu: 我曾经想过要放弃他... 无论是Client还是Server 01/13 00:24
3F:→ rick65134: 目前测试结果 不只Filezilla的有问题 01/13 00:27
4F:推 rockmanx52: 所以可能是整个SourceForge都出问题罗? 01/13 01:37
5F:→ rick65134: 只要是下载exe档 都有可能出现那个751KB的档案 01/13 01:39
6F:→ rick65134: 重点在於 Direct Download Link: Off 01/13 01:40
7F:推 mayuyu: 看起来是SF的问题 而且他们这麽做已经有一段时间了 01/13 01:54
9F:→ sate5232: 很久了,我几个月前载就是这样 01/13 10:36
10F:→ KawasumiMai: SF那种需要推广Downloader的网站基本上都不要用 01/13 11:11
11F:推 abc0: PDF sam最新版也被殖入木马了 01/13 15:53
13F:推 nadoka: 他们这麽做很久了...为了赚钱不择手段阿... 01/15 21:53
14F:→ TobyH4cker: 想说奇怪我下载来都正常,原来是我有停用JavaScript 01/16 18:40