※ 引述《hirokofan (笠原弘子 命!)》之铭言:
: ※ [本文转录自 EZsoft 看板 #1KizB-Rz ]
: 作者: hirokofan (笠原弘子 命!) 看板: EZsoft
: 标题: [黑特] filezilla我这么相信你结果你藏木马!
: 时间: Mon Jan 12 21:57:41 2015
: filezilla的网站默认的连结藏有木马,直接点连结,抓下来的是751K的下载工具
: https://filezilla-project.org/download.php?type=client
: 如果直接去FILEZILLA在sourceforge上的储存区看,本体应该是6.2M的档案
: http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/
其他恕删
这是751K下载工具的下载连结
http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/
FileZilla_3.10.0_win32-setup.exe/download
这是正常的档案(来自镜像站)
http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/
FileZilla_3.10.0_win32-setup.exe/download?nowrap
然后我从这个页面去下载其他档案
http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/
其实也都是抓到751K的这个档案
虽然会跳出真的sourceforge.net下载页面
有图为证
http://i.imgur.com/6ibEIrv.png
直接下载的连结也是正常的,但是实际下载却是被导向这里
http://cdn.srcfrgfilesdeliver.com/?ic_user_id=128
稍微查一下这网域
http://www.herdprotect.com/domain-cdn.srcfrgfilesdeliver.com.aspx
灯灯灯
接着我就去看看其他软件的Sourceforge.net的下载是否正常
后来发现有个地方不太一样
这是7-zip的页面
http://i.imgur.com/ESQqTlq.png
这是FileZilla的页面,多了一行奇怪的字串
http://i.imgur.com/kO5X0Wz.png
这个连结应该是用Javascript所产生的,所以索性把Javascript给停用,下载就恢复正常
这样看起来比较可能是是Filezilla在Sourceforge.net的页面被骇了,被插入一段有问题
的Javascript,有空的人帮忙抓一下然后回报过去吧