Zobacz temat
Atak iframe na v6.01.18
|
|
werian |
Dodany dnia 13.06.2009 14:01:42
|
Przedszkolak Postów: 12 Data rejestracji: 23.06.2008 07:27 |
Dzisiaj rano po wejściu na mojego fusiona http://www.wesnot...l/news.php dostałem komunikat już na głównej że coś jest nie tak z "maincore.php" okazało się że ktoś jakimś sposobem zmodyfikował pliki maincore.php, index.php w katalogu głównym oraz index forum i administracji. Mam najnowszą łatkę (i przeżywałem ataki sprzed wersji 6.01.18) a mimo to ktoś i tak włamał mi się na CMS'a. "Zainfekowane" pliki zamieniłem na pliki z backupu, wszystko było okej, po 3 godzinach niestety zastałem tą samą sytuację. Do plików które wymieniłem powyżej dopisuje się kod iframe z linkiem na jakąś stronę o adresie http://greatmixlot.cn (chyba z mp3). Nie wiem jak to naprawić, w panelach nie mam żadnych obcych pól, to samo tyczy się stron informacyjnych (odnośnie wcześniejszego tematu w tym dziale forum). Po raz drugi wymieniłem zainfekowane poliki, do tego zmieniłem moje hasło do konta. Co mogę więcej powiedzieć? Pomocy! Edytowane przez Pieka dnia 13.06.2009 19:12:41 |
|
|
Wścibski Gość |
Dodany dnia 24.11.2024 15:26:26
|
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze |
|
IP: localhost | |
krystian1988 |
Dodany dnia 13.06.2009 14:07:39
|
Zaawansowany Postów: 1187 Pomógł: 100 v7.02.07 Data rejestracji: 07.05.2009 17:37 |
Pytanie moje dla Ciebie przez co przesyłasz pliki? Przez Total Commander?
|
|
|
werian |
Dodany dnia 13.06.2009 14:08:44
|
Przedszkolak Postów: 12 Data rejestracji: 23.06.2008 07:27 |
Tak. |
|
|
krystian1988 |
Dodany dnia 13.06.2009 14:09:59
|
Zaawansowany Postów: 1187 Pomógł: 100 v7.02.07 Data rejestracji: 07.05.2009 17:37 |
To mało czytasz, proszę: Wirus iFrame - Total Commander? Od kilku tygodni niezwykle złośliwy wirus atakuje strony internetowe. Do plików index.php i index.html dodaje m.in. ukryte ramki iFrame, ale także wiele innych złośliwych modyfikacji (np. przekierowania na strony porno przy próbie wejścia na stronę z wyszukiwarki google itp. w pliku .htaccess). W kilku źródłach pojawiły się informacje o tym, że wirus atakuje wykradając hasła z programu Total Commander. Z naszych osobistych przygód z tym wirusem wynikałoby jednak zupełnie co innego. Kiedy wirus zaatakował niektóre z naszych stron wystraszyliśmy się, że faktycznie na którąś z maszyn dostał się wirus pozwalający na wykradnięcie haseł. Pierwszym krokiem była zatem zmiana haseł do serwera FTP i usunięcie szkodliwych wpisów przy użyciu "czystego" komputera. Zadziałało na kilka godzin. Powtórzyliśmy operację dwukrotnie, za każdym razem sytuacja powtarzała się. W międzyczasie przeskanowaliśmy komputery z zainstalowanym Total Commanderem 5 różnymi narzędziami (Symantec, MKS_VIR online, Avast, Combo Fix, Spybot) - nic nie znalazły. Zauważyliśmy natomiast następującą prawidłowość - jeśli wirus faktycznie wykradłby hasła z Total Commandera zaatakowałby wszystkie strony, jednakże ofiarami ataku padły tylko te, które były: a) dynamiczne b) hostowane w podkatalogach na home.pl. Rozwiązanie W katalogu głównym przestrzeni serwerowej udostępnianej użytkownikom home.pl tworzy domyślnie katalog TMP, chcąc "postawić" dynamiczny serwis, w podfolderze musimy stworzyć identyczny katalog, dzięki któremu będziemy mogli używać sesji (czytaj więcej tutaj). Domyślne uprawnienia, z którymi tworzone są katalogi to 755, home.pl nadaje swoim katalogom jednakże uprawnienia 711. Wirus najprawdopodobniej przeszukiwał sieć (tak jak pajączki google) w poszukiwaniu prawidłowości - niezabezpieczonych folderów TMP. W jaki sposób dodawał wpisy do plików? No coż... nie jesteśmy hakerami, nie znamy odpowiedzi na to pytanie. W naszym wypadku ataki faktycznie ustały po zmianie uprawnień do folderów TMP na 711. Jak to zrobić przy użyciu Total Commandera? Połącz się FTP-a zaznacz katalog TMP, z menu Pliki wybierz Zmień atrybuty i ustaw uprawnienia na 711 (właściciel: czytaj, zapisz, wykonaj; grupa: wykonaj; świat: wykonaj). Zródło: http://www.mojito...commander/ Poprawilem bledy kodowania oraz dodalem zrodlo. Prosze nastepnym razem pamietac zarowno o jednym jak i drugim. Cytowanie tresci postow, artykulow, czy newsow z innych stron wymaga zgody autora i/lub podania zrodla/Pieka Edytowane przez Pieka dnia 25.06.2009 11:09:00 |
|
|
Gander |
Dodany dnia 13.06.2009 14:16:59
|
Bywalec Postów: 720 Pomógł: 37 Data rejestracji: 22.05.2005 23:17 |
Czyli to może nie być Gumblar? Total Commander jest do ****, polecam: File Zilla. |
|
|
krystian1988 |
Dodany dnia 13.06.2009 14:19:08
|
Zaawansowany Postów: 1187 Pomógł: 100 v7.02.07 Data rejestracji: 07.05.2009 17:37 |
Zgadzam się z kolegą Gander
|
|
|
werian |
Dodany dnia 13.06.2009 14:19:09
|
Przedszkolak Postów: 12 Data rejestracji: 23.06.2008 07:27 |
Ułaa, pomocne. Nie mam co prawda hostingu na home.pl ale zmieniłem atrybuty katalogu TMP na swoim (o dziwo był) i.. no właśnie. Jakby problem pojawił się po raz kolejny to będę pisał. Wielkie dzięki Krystian! |
|
|
krystian1988 |
Dodany dnia 13.06.2009 14:20:22
|
Zaawansowany Postów: 1187 Pomógł: 100 v7.02.07 Data rejestracji: 07.05.2009 17:37 |
Miałem ten sam problem dlatego powiedziałem dość ciężko było mi samemu z tego się wybronić ale jednak wujek google mi wtedy pomógł.
|
|
|
Gander |
Dodany dnia 13.06.2009 14:26:26
|
Bywalec Postów: 720 Pomógł: 37 Data rejestracji: 22.05.2005 23:17 |
Według mnie: 1. Prawa 777 na TMP mogą umożliwić włam na stronę, ale nie wyobrażam sobie doklejania kodu do plików, nie będących w katalogach z uprawnieniami 777. Bo niby jak? Po to są prawa żeby można było zapisywać albo nie. 2. Doklejanie kodu do plików nie będących w katalogach z uprawnieniami 777 i to w tym samym momencie (ten sam czas modyfikacji na kilkunastu plikach) wskazuje na Gumblar-a, gdyż haker wykorzystuje do tego skrypt łączeniowy FTP, który modyfikuje kilkanaście plików na raz. Mój klient najpewniej miał tego typu atak przeprowadzony a ja zdiagnozowałem metodę nim jeszcze dowiedziałem się o Gumblarze... Edytowane przez Gander dnia 13.06.2009 14:28:40 |
|
|
werian |
Dodany dnia 13.06.2009 14:46:06
|
Przedszkolak Postów: 12 Data rejestracji: 23.06.2008 07:27 |
Ehh, life is brutal, kolejny problem to (prawdopodobny) brak możliwości zmiany hasła konta głównego FTP w moim hostingu na gtmhosting.net Niech to szlag, egzaminy na widnokręgu a ja muszę się z tym bawić ;| Raz jeszcze dziękuję za pomoc. Werian |
|
|
wander |
Dodany dnia 13.06.2009 15:28:19
|
Przedszkolak Postów: 41 Ostrzeżeń: 3 Data rejestracji: 07.05.2009 23:10 |
Ja mialem to samo a nawet zmienilem fusiona na 7 i tez to mam! |
|
|
krystian1988 |
Dodany dnia 13.06.2009 15:35:11
|
Zaawansowany Postów: 1187 Pomógł: 100 v7.02.07 Data rejestracji: 07.05.2009 17:37 |
werian jeśli nie będziesz używać TC to zniknie ten problem kolega wander też powinien zmienić program FTP
|
|
|
Pieka |
Dodany dnia 13.06.2009 19:07:50
|
Postów: 19882 Pomógł: 767 v7.02.03 Data rejestracji: 23.02.2005 18:12 |
Trzymacie sie kurczowo TC, ktory jest platny, a co za tym wiekszosc posiada wersje pirackie. Pomijam fakt, ze program w wersji dla PC dla mnie osobiscie jest nie do przyjecia. Zaden tego typu program tak wspaniale nie zrywa polaczen jak wlasnie w/w. Owocem tego sa braki w plikach oraz niepelne ich wersje na serwerze. Polecalem Wam wiele razy wspanialy i do tego bezplatny WinSCP. Kto raz zaczal z niego korzystac, raczej juz na nim zostanie. Przez kilka miesiecy pracy na Viscie sprawdzil sie u mnie jak zaden inny. Poza tym, wszystkim radze przeskanowac komputery na obecnosc trojanow i wirusow, bez tego to nie ma sensu. Edytowane przez Pieka dnia 13.06.2009 19:10:37 Jestem jaki jestem
|
|
|
wander |
Dodany dnia 15.06.2009 08:57:31
|
Przedszkolak Postów: 41 Ostrzeżeń: 3 Data rejestracji: 07.05.2009 23:10 |
Witam to znow ja. Wiec(?) mialem PHP-Fusiona v6 no i pokazywalo: Wiec(?) wchodzilem na serwer kasowalem jakis link iframe i bylo dobrze. Wirus ten umieszcza glownie linki w maincore.php index.php. Wiec(?): - wyczyscilem serwer, - wyczyscilem mysql, - zmeinilem hasla, - zmienilem program an filezilla(nie zapisuje w nim hasla), - nie zapisuje nigdzie hasla nawet w przegladarce, - wgralem PHP-Fusiona v7. Wszystko bylo pieknie ale po dniu to samo :( Gdy wchodze we forum pokazuje: Na koncu pliku index.php w pliku forum jakis wirus dopisal takie cos: Co teraz zrobic? Przeciez probowalem juz wszystkiego! Również skanowalem swoj komputer na obecnosc wirusów. Edytowane przez Pieka dnia 19.06.2009 21:42:53 |
|
|
krystian1988 |
Dodany dnia 15.06.2009 16:11:39
|
Zaawansowany Postów: 1187 Pomógł: 100 v7.02.07 Data rejestracji: 07.05.2009 17:37 |
Kasujesz tą linię i nie przesyłaj nic przez TC zmień przed usunięciem TC hasło w nim i go usuń i inny FTP sobie ściągnij. Edytowane przez Pieka dnia 19.06.2009 21:39:15 |
|
|
wander |
Dodany dnia 15.06.2009 16:42:14
|
Przedszkolak Postów: 41 Ostrzeżeń: 3 Data rejestracji: 07.05.2009 23:10 |
Nie umiesz czytac? Nie widzisz ze juz tak zrobilem? I nadal to samo. Wiec jakie moga byc inne przyczyny?
Edytowane przez hoopak dnia 15.06.2009 19:00:45 |
|
|
werian |
Dodany dnia 19.06.2009 21:21:58
|
Przedszkolak Postów: 12 Data rejestracji: 23.06.2008 07:27 |
A hasło konta FTP zmieniłeś? |
|
|
maciejcz |
Dodany dnia 25.06.2009 09:40:18
|
Przedszkolak Postów: 1 Data rejestracji: 25.06.2009 09:29 |
Panie krystian1988, zgodnie z zasadami netykiety, jeśli kogoś się cytuje, należy podać linka do cytowanego artykułu. Tak się składa, że jestem autorem artykułu na temat wirusa iframe http://www.mojito...commander/ i nie pozwalam na cytowanie moich artykułów bez podawania źródła - artykuł jest objęty prawem autorskim. Pozdrawiam Edytowane przez ICEK dnia 25.06.2009 09:45:37 |
|
|
waski |
Dodany dnia 01.09.2009 00:11:33
|
Przedszkolak Postów: 37 Ostrzeżeń: 2 Data rejestracji: 19.02.2007 01:44 |
A ja mam pytanko, a co zrobic jesli pojawil mi sie na serwerze katalog z plikami html, ktorego nie moglem wykasowac [pomogla dopiero intwerwencja admina serwera]. Problem tylko taki, ze u mnie nie ma zadnego katalogu TMP. Oczywiscie naleze do tych osob, ktore wykorzystywaly do polaczen TC. Czy moze to byc robota wlasnie tego iFrame'a? |
|
|
mat89 |
Dodany dnia 02.08.2010 09:40:25
|
Przedszkolak Postów: 2 Data rejestracji: 02.08.2010 00:21 |
Mam podobny problem, w Firefoxie wyświetla mi się: Strona zgłoszona jako dokonująca ataków! W ie jest ok. Wiem ze o tym było parę razy na forum, korzystałem z szukajki i według zaleceń aktualizowałem do wyższej wersji oraz podmieninilem index.php i news.php, ale dalej nic. W zrodle news.php jest kod z długim scriptem, jednak gdy edytuje tę stronę to go nie ma. W dodatku awg wykrył ze przekierowuje na inną stronę. Edytowane przez Pieka dnia 02.08.2010 10:31:50 |
|
Przejdź do forum: |