ForumCała strona

Nawigacja

Aktualnie online

Gości online: 26

Użytkowników online: 0

Łącznie użytkowników: 25,400
Najnowszy użytkownik: AlojzyBartek

Logowanie

Nazwa użytkownika

Hasło



Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

Zbigniew@
17.11.2024 11:33:24
Nie ten grzeszy kto pije, ale ten, kto się nie upije.

JazOOn
16.11.2024 20:46:18
tja

Zbigniew@
15.11.2024 18:58:17
Kto pije, ten nie bije.

JazOOn
31.10.2024 20:49:47
Kto pije?

piterus
30.10.2024 19:45:48
I będziemy śpiewać: "Kiedy 20 blisko, przebadaj wszystko, przebadaj wszystko..." Pfft

Pobierz nową wersję
Pobierz podręcznik
Zobacz inne oficjalne Supporty
Statystyki supportu
PHP-Fuson PL na Facebooku

RSS

Polecamy hosting SferaHost.pl

Zobacz temat

 Drukuj temat
Atak iframe na v6.01.18
werian
Dzisiaj rano po wejściu na mojego fusiona http://www.wesnot...l/news.php dostałem komunikat już na głównej że coś jest nie tak z "maincore.php" okazało się że ktoś jakimś sposobem zmodyfikował pliki maincore.php, index.php w katalogu głównym oraz index forum i administracji. Mam najnowszą łatkę (i przeżywałem ataki sprzed wersji 6.01.18) a mimo to ktoś i tak włamał mi się na CMS'a.
"Zainfekowane" pliki zamieniłem na pliki z backupu, wszystko było okej, po 3 godzinach niestety zastałem tą samą sytuację.

Do plików które wymieniłem powyżej dopisuje się kod iframe z linkiem na jakąś stronę o adresie http://greatmixlot.cn (chyba z mp3).
Nie wiem jak to naprawić, w panelach nie mam żadnych obcych pól, to samo tyczy się stron informacyjnych (odnośnie wcześniejszego tematu w tym dziale forum). Po raz drugi wymieniłem zainfekowane poliki, do tego zmieniłem moje hasło do konta.

Co mogę więcej powiedzieć? Pomocy!
Edytowane przez Pieka dnia 13.06.2009 19:12:41
 
Wścibski Gość
Dodany dnia 24.11.2024 15:26:26
Pan Kontekstualny

Postów: n^x
Data rejestracji: Zawsze

Polecamy hosting SferaHost.pl
IP: localhost  
krystian1988
Pytanie moje dla Ciebie przez co przesyłasz pliki? Przez Total Commander?
BRAK STOPKI = BRAK POMOCY NA SUPPORCIE.PRZECZYTAJ:
Regulamin Supportu Nie pomagam na PW!!!
 
werian
Tak.
 
krystian1988
To mało czytasz, proszę:
Wirus iFrame - Total Commander?

Od kilku tygodni niezwykle złośliwy wirus atakuje strony internetowe. Do plików index.php i index.html dodaje m.in. ukryte ramki iFrame, ale także wiele innych złośliwych modyfikacji (np. przekierowania na strony porno przy próbie wejścia na stronę z wyszukiwarki google itp. w pliku .htaccess). W kilku źródłach pojawiły się informacje o tym, że wirus atakuje wykradając hasła z programu Total Commander. Z naszych osobistych przygód z tym wirusem wynikałoby jednak zupełnie co innego.

Kiedy wirus zaatakował niektóre z naszych stron wystraszyliśmy się, że faktycznie na którąś z maszyn dostał się wirus pozwalający na wykradnięcie haseł. Pierwszym krokiem była zatem zmiana haseł do serwera FTP i usunięcie szkodliwych wpisów przy użyciu "czystego" komputera. Zadziałało na kilka godzin. Powtórzyliśmy operację dwukrotnie, za każdym razem sytuacja powtarzała się. W międzyczasie przeskanowaliśmy komputery z zainstalowanym Total Commanderem 5 różnymi narzędziami (Symantec, MKS_VIR online, Avast, Combo Fix, Spybot) - nic nie znalazły.
Zauważyliśmy natomiast następującą prawidłowość - jeśli wirus faktycznie wykradłby hasła z Total Commandera zaatakowałby wszystkie strony, jednakże ofiarami ataku padły tylko te, które były:
a) dynamiczne
b) hostowane w podkatalogach na home.pl.

Rozwiązanie

W katalogu głównym przestrzeni serwerowej udostępnianej użytkownikom home.pl tworzy domyślnie katalog TMP, chcąc "postawić" dynamiczny serwis, w podfolderze musimy stworzyć identyczny katalog, dzięki któremu będziemy mogli używać sesji (czytaj więcej tutaj). Domyślne uprawnienia, z którymi tworzone są katalogi to 755, home.pl nadaje swoim katalogom jednakże uprawnienia 711. Wirus najprawdopodobniej przeszukiwał sieć (tak jak pajączki google) w poszukiwaniu prawidłowości - niezabezpieczonych folderów TMP. W jaki sposób dodawał wpisy do plików? No coż... nie jesteśmy hakerami, nie znamy odpowiedzi na to pytanie. W naszym wypadku ataki faktycznie ustały po zmianie uprawnień do folderów TMP na 711. Jak to zrobić przy użyciu Total Commandera?

Połącz się FTP-a zaznacz katalog TMP, z menu Pliki wybierz Zmień atrybuty i ustaw uprawnienia na 711 (właściciel: czytaj, zapisz, wykonaj; grupa: wykonaj; świat: wykonaj).

Zródło: http://www.mojito...commander/


Poprawilem bledy kodowania oraz dodalem zrodlo. Prosze nastepnym razem pamietac zarowno o jednym jak i drugim. Cytowanie tresci postow, artykulow, czy newsow z innych stron wymaga zgody autora i/lub podania zrodla/Pieka
Edytowane przez Pieka dnia 25.06.2009 11:09:00
BRAK STOPKI = BRAK POMOCY NA SUPPORCIE.PRZECZYTAJ:
Regulamin Supportu Nie pomagam na PW!!!
 
Gander
Czyli to może nie być Gumblar? Total Commander jest do ****, polecam: File Zilla.
 
gander.solutions
krystian1988
Zgadzam się z kolegą Gander
BRAK STOPKI = BRAK POMOCY NA SUPPORCIE.PRZECZYTAJ:
Regulamin Supportu Nie pomagam na PW!!!
 
werian
Ułaa, pomocne. Nie mam co prawda hostingu na home.pl ale zmieniłem atrybuty katalogu TMP na swoim (o dziwo był) i.. no właśnie. Jakby problem pojawił się po raz kolejny to będę pisał. Wielkie dzięki Krystian!
 
krystian1988
Miałem ten sam problem dlatego powiedziałem Smile dość ciężko było mi samemu z tego się wybronić ale jednak wujek google mi wtedy pomógł.
BRAK STOPKI = BRAK POMOCY NA SUPPORCIE.PRZECZYTAJ:
Regulamin Supportu Nie pomagam na PW!!!
 
Gander
Według mnie:

1. Prawa 777 na TMP mogą umożliwić włam na stronę, ale nie wyobrażam sobie doklejania kodu do plików, nie będących w katalogach z uprawnieniami 777. Bo niby jak? Po to są prawa żeby można było zapisywać albo nie.

2. Doklejanie kodu do plików nie będących w katalogach z uprawnieniami 777 i to w tym samym momencie (ten sam czas modyfikacji na kilkunastu plikach) wskazuje na Gumblar-a, gdyż haker wykorzystuje do tego skrypt łączeniowy FTP, który modyfikuje kilkanaście plików na raz.

Mój klient najpewniej miał tego typu atak przeprowadzony a ja zdiagnozowałem metodę nim jeszcze dowiedziałem się o Gumblarze...
Edytowane przez Gander dnia 13.06.2009 14:28:40
 
gander.solutions
werian
Ehh, life is brutal, kolejny problem to (prawdopodobny) brak możliwości zmiany hasła konta głównego FTP w moim hostingu na gtmhosting.net Frown
Niech to szlag, egzaminy na widnokręgu a ja muszę się z tym bawić ;|
Raz jeszcze dziękuję za pomoc.
Werian
 
wander
Ja mialem to samo a nawet zmienilem fusiona na 7 i tez to mam!
 
krystian1988
werian jeśli nie będziesz używać TC to zniknie ten problem kolega wander też powinien zmienić program FTP
BRAK STOPKI = BRAK POMOCY NA SUPPORCIE.PRZECZYTAJ:
Regulamin Supportu Nie pomagam na PW!!!
 
Pieka
Trzymacie sie kurczowo TC, ktory jest platny, a co za tym wiekszosc posiada wersje pirackie. Pomijam fakt, ze program w wersji dla PC dla mnie osobiscie jest nie do przyjecia. Zaden tego typu program tak wspaniale nie zrywa polaczen jak wlasnie w/w. Owocem tego sa braki w plikach oraz niepelne ich wersje na serwerze.
Polecalem Wam wiele razy wspanialy i do tego bezplatny WinSCP. Kto raz zaczal z niego korzystac, raczej juz na nim zostanie. Przez kilka miesiecy pracy na Viscie sprawdzil sie u mnie jak zaden inny.
Poza tym, wszystkim radze przeskanowac komputery na obecnosc trojanow i wirusow, bez tego to nie ma sensu.
Edytowane przez Pieka dnia 13.06.2009 19:10:37
Jestem jaki jestem Smile
 
www.php-fusion.pl
wander
Witam to znow ja. Wiec(?) mialem PHP-Fusiona v6 no i pokazywalo:
Pobierz kod źródłowy  Rozwiń Kod źródłowy

Wiec(?) wchodzilem na serwer kasowalem jakis link iframe i bylo dobrze.
Wirus ten umieszcza glownie linki w maincore.php index.php.
Wiec(?):
- wyczyscilem serwer,
- wyczyscilem mysql,
- zmeinilem hasla,
- zmienilem program an filezilla(nie zapisuje w nim hasla),
- nie zapisuje nigdzie hasla nawet w przegladarce,
- wgralem PHP-Fusiona v7.

Wszystko bylo pieknie ale po dniu to samo :(

Gdy wchodze we forum pokazuje:
Pobierz kod źródłowy  Rozwiń Kod źródłowy


Na koncu pliku index.php w pliku forum jakis wirus dopisal takie cos:
Pobierz kod źródłowy  Rozwiń Kod źródłowy


Co teraz zrobic? Przeciez probowalem juz wszystkiego!
Również skanowalem swoj komputer na obecnosc wirusów.
Edytowane przez Pieka dnia 19.06.2009 21:42:53
 
krystian1988
Pobierz kod źródłowy  Rozwiń Kod źródłowy

Kasujesz tą linię i nie przesyłaj nic przez TC zmień przed usunięciem TC hasło w nim i go usuń i inny FTP sobie ściągnij.
Edytowane przez Pieka dnia 19.06.2009 21:39:15
BRAK STOPKI = BRAK POMOCY NA SUPPORCIE.PRZECZYTAJ:
Regulamin Supportu Nie pomagam na PW!!!
 
wander
Nie umiesz czytac? Nie widzisz ze juz tak zrobilem? I nadal to samo. Wiec jakie moga byc inne przyczyny?
Edytowane przez hoopak dnia 15.06.2009 19:00:45
 
werian
A hasło konta FTP zmieniłeś?
 
maciejcz
Panie krystian1988,
zgodnie z zasadami netykiety, jeśli kogoś się cytuje, należy podać linka do cytowanego artykułu. Tak się składa, że jestem autorem artykułu na temat wirusa iframe http://www.mojito...commander/ i nie pozwalam na cytowanie moich artykułów bez podawania źródła - artykuł jest objęty prawem autorskim.
Pozdrawiam
Edytowane przez ICEK dnia 25.06.2009 09:45:37
 
waski
A ja mam pytanko, a co zrobic jesli pojawil mi sie na serwerze katalog z plikami html, ktorego nie moglem wykasowac [pomogla dopiero intwerwencja admina serwera]. Problem tylko taki, ze u mnie nie ma zadnego katalogu TMP. Oczywiscie naleze do tych osob, ktore wykorzystywaly do polaczen TC. Czy moze to byc robota wlasnie tego iFrame'a?
 
mat89
Mam podobny problem, w Firefoxie wyświetla mi się:
Strona zgłoszona jako dokonująca ataków!

W ie jest ok. Wiem ze o tym było parę razy na forum, korzystałem z szukajki i według zaleceń aktualizowałem do wyższej wersji oraz podmieninilem index.php i news.php, ale dalej nic. W zrodle news.php jest kod z długim scriptem, jednak gdy edytuje tę stronę to go nie ma. W dodatku awg wykrył ze przekierowuje na inną stronę.
Edytowane przez Pieka dnia 02.08.2010 10:31:50
 
Przejdź do forum:
Created by Arox Copyright (C) 2004
Copyright (C) 2004 - 2018 Ekipa PHP-Fusion.pl