※ [本文轉錄自 AntiVirus 看板 #1Ki-VHVH ]
作者: timshan (仲軒)
標題: Re: [黑特] filezilla我這麼相信你結果你藏木馬！
時間: Mon Jan 12 23:26:52 2015
※ 引述《hirokofan (笠原弘子 命！)》之銘言：
: ※ [本文轉錄自 EZsoft 看板 #1KizB-Rz ]
: 作者: hirokofan (笠原弘子 命！) 看板: EZsoft
: 標題: [黑特] filezilla我這麼相信你結果你藏木馬！
: 時間: Mon Jan 12 21:57:41 2015
: filezilla的網站預設的連結藏有木馬，直接點連結，抓下來的是751K的下載工具
: https://filezilla-project.org/download.php?type=client
: 如果直接去FILEZILLA在sourceforge上的儲存區看，本體應該是6.2M的檔案
: http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/
其他恕刪
這是751K下載工具的下載連結
http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/
FileZilla_3.10.0_win32-setup.exe/download
這是正常的檔案(來自鏡像站)
http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/
FileZilla_3.10.0_win32-setup.exe/download?nowrap
然後我從這個頁面去下載其他檔案
http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/
其實也都是抓到751K的這個檔案
雖然會跳出真的sourceforge.net下載頁面
有圖為證
http://i.imgur.com/6ibEIrv.png
直接下載的連結也是正常的，但是實際下載卻是被導向這裡
http://cdn.srcfrgfilesdeliver.com/?ic_user_id=128
稍微查一下這網域
http://www.herdprotect.com/domain-cdn.srcfrgfilesdeliver.com.aspx
燈燈燈
接著我就去看看其他軟體的Sourceforge.net的下載是否正常
後來發現有個地方不太一樣
這是7-zip的頁面
http://i.imgur.com/ESQqTlq.png
這是FileZilla的頁面，多了一行奇怪的字串
http://i.imgur.com/kO5X0Wz.png
這個連結應該是用Javascript所產生的，所以索性把Javascript給停用，下載就恢復正常
這樣看起來比較可能是是Filezilla在Sourceforge.net的頁面被駭了，被插入一段有問題
的Javascript，有空的人幫忙抓一下然後回報過去吧

應該不是被駭... 因為已經好一段時間了 要不是簡單好用我曾經想過要放棄他... 無論是Client還是Server

目前測試結果 不只Filezilla的有問題

所以可能是整個SourceForge都出問題囉?

只要是下載exe檔 都有可能出現那個751KB的檔案重點在於 Direct Download Link: Off

看起來是SF的問題 而且他們這麼做已經有一段時間了http://ppt.cc/ftNf裡面有介紹二個腳本可以避免使用者誤點

很久了，我幾個月前載就是這樣

SF那種需要推廣Downloader的網站基本上都不要用

PDF sam最新版也被殖入木馬了

他們這麼做很久了...為了賺錢不擇手段阿...

想說奇怪我下載來都正常，原來是我有停用JavaScript