2009 februárjában vettük észre az első eseteket, bár a probléma már korrábban néha-néha felütötte a fejét.

A jelenség leírása:
A tárhelyre feltöltött weboldal kibővül javascriptekkel, ritkán php scriptekkel. Néhány esetben előfordul a .htaccess fájlok fertőzése, ilyenkor a rewrite engine-t használva térítik el az oldalt. A .htaccess-es trójai fertőzés nagyon ritka, jelenleg úgy tűnik ettől nem kell tartani, de az index.html, index.php és egyéb html és php fájlok végére beszúrt kártékony kódok rendszeresek sajnos.

Mitől történik meg a fertőzés?
A probléma kiinduló pontja a webmester vírusos számítógépe, ahol be van állítva az ftp programba az ftp kapcsolati adatok (ftpcím, felhasználónév, jelszó). Ennek a három adatnak a birtokában teljesen legális módon lehet kapcsolódni ftpre és lehet feltölteni, vagy karbantartani a weboldalt. A vírus kilopja a 3 adatot és elküldi egy hacker hálózatnak (botnet). A botnet kiosztja a feladatot néhány megfertőzött másik gépnek (zombi). A feladat az, hogy csatlakozzon a megadott ftp címre, nézzen körül a tárhelyen, hogy milyen fájlok vannak (index, main stb.. html és php fájlok), aztán ha ilyet talál (többnyire talál), akkor szedje le, bővítse ki a trójai kóddal, majd pár másodperc múlva töltse fel.

Egy szájt fertőzése így kb 20-30 másodperc alatt megtörténhet.

A MEGOLDÁS?
Az alábbi lépéseket kérjük megtenni: (A sorrendet kérjük betartani!)

1. Kérjük, változtassa meg ftp jelszavát a Control Centerben (weboldal feltöltés, ftp adatok ikon alatt)
2. Kapcsolja vissza az ftp hozzáférést ugyanezen a felületen (ha kikapcsolat állapotban van)
3. Az új jelszót ne mentse le az ftp programjában, csak csatlakozáskor adja meg kézzel.
4. Vírustalanítsa számítógépét.