Akik regisztrálva vannak a BitMusic-on MusiX-en, valószínűleg már tapasztalták, hogy a vírusirtójuk (már ha van a gépen) jelez, amikor meglátogatják az oldalt. A riasztás nem alaptalan, az oldal forráskódja valóban megfertőződött.

A trójai valószínűleg az adminok, vagy tulajok gépén van, és az FTP jelszavakat megszerezve (leginkább TotalCommander .ini-jét szokták visszafejteni) jutott be az oldal szerverére. Itt pedig a JavaScript fájlokba írta be magát úgy, hogy a működést ne akadályozza meg, viszont a plusz kód is lefut. A fertőzés kódja persze ügyesen el van kódolva.

Képek:

bitmusic_virus

Jelez a vírusírtó.

bitmusic

Az egyik fertőzött fájl.

bitmusic_2

De van más fertőzött js is.

A megoldás a tulajoknál egy alapos vírusírtás a saját gépükön (értsd: nem a szerveren), plusz persze az eredeti js-ek visszaállítása backupból (ugye van?). Na meg az FTP jelszavát sem árt megváltoztatni, mert ki tudja, hány helyre küldte már szét a trójai az információt.

Az ilyen hiba elég nevetséges, és komolyabb oldalak esetében elő sem szabadott volna fordulnia. A felhasználók minden bizonnyal ilyenkor csalódnak az oldalban, és nem is alaptalanul. Ha valaki a saját gépén nem tud rendet tartani, hogy várhatjuk, hogy egy közösséget el tud vezetni?

Frissítve: Szóval akkor ez a Musix oldal, csak most éppen a bitmusic.eu címen is elérhető. Javítottam a bevezetőt, viszont az oldal gazdái még mindig nem távolították el az idegen kódokat az oldalból.

Frissítve 2:

Január elsején végül javították a hibát.

Feladó: <nevalaszolj@localhost>
Dátum: 2010. január 1. 17:28
Tárgy: oldalad neve Account

Többen jelezték, hogy nem tudnak belépni az oldalra, mert vírust jelez nekik

a vírus hibát sikeresen elhárítottuk! Így biztonságban tudtok torrentezni!

És valóban, a fertőzött js-ek eltűntek, már csak az email küldést kellene jól beállítani, hogy a tárgy nevébe ne “oldala neve” szerepeljen, és a küldő le “localhost” legyen.