Zobacz temat
 Atak iframe na v6.01.18
|
|
| werian |
Dodany dnia 13.06.2009 14:01:42
|
 Przedszkolak  Postów: 12 Data rejestracji: 23.06.2008 07:27 |
Dzisiaj rano po wej?ciu na mojego fusiona http://www.wesnot...l/news.php dosta?em komunikat ju? na g?ównej ?e co? jest nie tak z "maincore.php" okaza?o si? ?e kto? jakim? sposobem zmodyfikowa? pliki maincore.php, index.php w katalogu g?ównym oraz index forum i administracji. Mam najnowsz? ?atk? (i prze?ywa?em ataki sprzed wersji 6.01.18) a mimo to kto? i tak w?ama? mi si? na CMS'a. "Zainfekowane" pliki zamieni?em na pliki z backupu, wszystko by?o okej, po 3 godzinach niestety zasta?em t? sam? sytuacj?. Do plików które wymieni?em powy?ej dopisuje si? kod iframe z linkiem na jak?? stron? o adresie http://greatmixlot.cn (chyba z mp3). Nie wiem jak to naprawi?, w panelach nie mam ?adnych obcych pól, to samo tyczy si? stron informacyjnych (odno?nie wcze?niejszego tematu w tym dziale forum). Po raz drugi wymieni?em zainfekowane poliki, do tego zmieni?em moje has?o do konta. Co mog? wi?cej powiedzie?? Pomocy! Edytowane przez Pieka dnia 13.06.2009 19:12:41 |
|
|
|
| W?cibski Go?? |
Dodany dnia 06.09.2025 00:20:12
|
|
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze |
|
| IP: localhost | |
| krystian1988 |
Dodany dnia 13.06.2009 14:07:39
|
 Zaawansowany  Postów: 1187 Pomógł: 100  v7.02.07Data rejestracji: 07.05.2009 17:37 |
Pytanie moje dla Ciebie przez co przesy?asz pliki? Przez Total Commander?
|
|
|
|
| werian |
Dodany dnia 13.06.2009 14:08:44
|
|
Przedszkolak Postów: 12 Data rejestracji: 23.06.2008 07:27 |
Tak. |
|
|
|
| krystian1988 |
Dodany dnia 13.06.2009 14:09:59
|
|
Zaawansowany Postów: 1187 Pomógł: 100 v7.02.07Data rejestracji: 07.05.2009 17:37 |
To ma?o czytasz, prosz?: Wirus iFrame - Total Commander? Od kilku tygodni niezwykle z?o?liwy wirus atakuje strony internetowe. Do plików index.php i index.html dodaje m.in. ukryte ramki iFrame, ale tak?e wiele innych z?o?liwych modyfikacji (np. przekierowania na strony porno przy próbie wej?cia na stron? z wyszukiwarki google itp. w pliku .htaccess). W kilku ?ród?ach pojawi?y si? informacje o tym, ?e wirus atakuje wykradaj?c has?a z programu Total Commander. Z naszych osobistych przygód z tym wirusem wynika?oby jednak zupe?nie co innego. Kiedy wirus zaatakowa? niektóre z naszych stron wystraszyli?my si?, ?e faktycznie na któr?? z maszyn dosta? si? wirus pozwalaj?cy na wykradni?cie hase?. Pierwszym krokiem by?a zatem zmiana hase? do serwera FTP i usuni?cie szkodliwych wpisów przy u?yciu "czystego" komputera. Zadzia?a?o na kilka godzin. Powtórzyli?my operacj? dwukrotnie, za ka?dym razem sytuacja powtarza?a si?. W mi?dzyczasie przeskanowali?my komputery z zainstalowanym Total Commanderem 5 ró?nymi narz?dziami (Symantec, MKS_VIR online, Avast, Combo Fix, Spybot) - nic nie znalaz?y. Zauwa?yli?my natomiast nast?puj?c? prawid?owo?? - je?li wirus faktycznie wykrad?by has?a z Total Commandera zaatakowa?by wszystkie strony, jednak?e ofiarami ataku pad?y tylko te, które by?y: a) dynamiczne b) hostowane w podkatalogach na home.pl. Rozwi?zanie W katalogu g?ównym przestrzeni serwerowej udost?pnianej u?ytkownikom home.pl tworzy domy?lnie katalog TMP, chc?c "postawi?" dynamiczny serwis, w podfolderze musimy stworzy? identyczny katalog, dzi?ki któremu b?dziemy mogli u?ywa? sesji (czytaj wi?cej tutaj). Domy?lne uprawnienia, z którymi tworzone s? katalogi to 755, home.pl nadaje swoim katalogom jednak?e uprawnienia 711. Wirus najprawdopodobniej przeszukiwa? sie? (tak jak paj?czki google) w poszukiwaniu prawid?owo?ci - niezabezpieczonych folderów TMP. W jaki sposób dodawa? wpisy do plików? No co?... nie jeste?my hakerami, nie znamy odpowiedzi na to pytanie. W naszym wypadku ataki faktycznie usta?y po zmianie uprawnie? do folderów TMP na 711. Jak to zrobi? przy u?yciu Total Commandera? Po??cz si? FTP-a zaznacz katalog TMP, z menu Pliki wybierz Zmie? atrybuty i ustaw uprawnienia na 711 (w?a?ciciel: czytaj, zapisz, wykonaj; grupa: wykonaj; ?wiat: wykonaj). Zród?o: http://www.mojito...commander/ Poprawilem bledy kodowania oraz dodalem zrodlo. Prosze nastepnym razem pamietac zarowno o jednym jak i drugim. Cytowanie tresci postow, artykulow, czy newsow z innych stron wymaga zgody autora i/lub podania zrodla/Pieka Edytowane przez Pieka dnia 25.06.2009 11:09:00 |
|
|
|
| Gander |
Dodany dnia 13.06.2009 14:16:59
|
 Bywalec  Postów: 720 Pomógł: 37 Data rejestracji: 22.05.2005 23:17 |
Czyli to mo?e nie by? Gumblar? Total Commander jest do ****, polecam: File Zilla. |
 |
|
| krystian1988 |
Dodany dnia 13.06.2009 14:19:08
|
|
Zaawansowany Postów: 1187 Pomógł: 100 v7.02.07Data rejestracji: 07.05.2009 17:37 |
Zgadzam si? z koleg? Gander
|
|
|
|
| werian |
Dodany dnia 13.06.2009 14:19:09
|
|
Przedszkolak Postów: 12 Data rejestracji: 23.06.2008 07:27 |
U?aa, pomocne. Nie mam co prawda hostingu na home.pl ale zmieni?em atrybuty katalogu TMP na swoim (o dziwo by?) i.. no w?a?nie. Jakby problem pojawi? si? po raz kolejny to b?d? pisa?. Wielkie dzi?ki Krystian! |
|
|
|
| krystian1988 |
Dodany dnia 13.06.2009 14:20:22
|
|
Zaawansowany Postów: 1187 Pomógł: 100 v7.02.07Data rejestracji: 07.05.2009 17:37 |
Mia?em ten sam problem dlatego powiedzia?em  do?? ci??ko by?o mi samemu z tego si? wybroni? ale jednak wujek google mi wtedy pomóg?.
|
|
|
|
| Gander |
Dodany dnia 13.06.2009 14:26:26
|
|
Bywalec Postów: 720 Pomógł: 37 Data rejestracji: 22.05.2005 23:17 |
Wed?ug mnie: 1. Prawa 777 na TMP mog? umo?liwi? w?am na stron?, ale nie wyobra?am sobie doklejania kodu do plików, nie b?d?cych w katalogach z uprawnieniami 777. Bo niby jak? Po to s? prawa ?eby mo?na by?o zapisywa? albo nie. 2. Doklejanie kodu do plików nie b?d?cych w katalogach z uprawnieniami 777 i to w tym samym momencie (ten sam czas modyfikacji na kilkunastu plikach) wskazuje na Gumblar-a, gdy? haker wykorzystuje do tego skrypt ??czeniowy FTP, który modyfikuje kilkana?cie plików na raz. Mój klient najpewniej mia? tego typu atak przeprowadzony a ja zdiagnozowa?em metod? nim jeszcze dowiedzia?em si? o Gumblarze... Edytowane przez Gander dnia 13.06.2009 14:28:40 |
|
|
|
| werian |
Dodany dnia 13.06.2009 14:46:06
|
|
Przedszkolak Postów: 12 Data rejestracji: 23.06.2008 07:27 |
Ehh, life is brutal, kolejny problem to (prawdopodobny) brak mo?liwo?ci zmiany has?a konta g?ównego FTP w moim hostingu na gtmhosting.net  Niech to szlag, egzaminy na widnokr?gu a ja musz? si? z tym bawi? ;| Raz jeszcze dzi?kuj? za pomoc. Werian |
|
|
|
| wander |
Dodany dnia 13.06.2009 15:28:19
|
|
Przedszkolak Postów: 41 Ostrzeżeń: 3 Data rejestracji: 07.05.2009 23:10 |
Ja mialem to samo a nawet zmienilem fusiona na 7 i tez to mam! |
|
|
|
| krystian1988 |
Dodany dnia 13.06.2009 15:35:11
|
|
Zaawansowany Postów: 1187 Pomógł: 100 v7.02.07Data rejestracji: 07.05.2009 17:37 |
werian je?li nie b?dziesz u?ywa? TC to zniknie ten problem kolega wander te? powinien zmieni? program FTP
|
|
|
|
| Pieka |
Dodany dnia 13.06.2009 19:07:50
|
  Postów: 19887 Pomógł: 767 v7.02.03Data rejestracji: 23.02.2005 18:12 |
Trzymacie sie kurczowo TC, ktory jest platny, a co za tym wiekszosc posiada wersje pirackie. Pomijam fakt, ze program w wersji dla PC dla mnie osobiscie jest nie do przyjecia. Zaden tego typu program tak wspaniale nie zrywa polaczen jak wlasnie w/w. Owocem tego sa braki w plikach oraz niepelne ich wersje na serwerze. Polecalem Wam wiele razy wspanialy i do tego bezplatny WinSCP. Kto raz zaczal z niego korzystac, raczej juz na nim zostanie. Przez kilka miesiecy pracy na Viscie sprawdzil sie u mnie jak zaden inny. Poza tym, wszystkim radze przeskanowac komputery na obecnosc trojanow i wirusow, bez tego to nie ma sensu. Edytowane przez Pieka dnia 13.06.2009 19:10:37 Jestem jaki jestem
|
 
|
|
| wander |
Dodany dnia 15.06.2009 08:57:31
|
|
Przedszkolak Postów: 41 Ostrzeżeń: 3 Data rejestracji: 07.05.2009 23:10 |
Witam to znow ja. Wiec(?) mialem PHP-Fusiona v6 no i pokazywalo: Wiec(?) wchodzilem na serwer kasowalem jakis link iframe i bylo dobrze. Wirus ten umieszcza glownie linki w maincore.php index.php. Wiec(?): - wyczyscilem serwer, - wyczyscilem mysql, - zmeinilem hasla, - zmienilem program an filezilla(nie zapisuje w nim hasla), - nie zapisuje nigdzie hasla nawet w przegladarce, - wgralem PHP-Fusiona v7. Wszystko bylo pieknie ale po dniu to samo :( Gdy wchodze we forum pokazuje: Na koncu pliku index.php w pliku forum jakis wirus dopisal takie cos: Co teraz zrobic? Przeciez probowalem juz wszystkiego! Równie? skanowalem swoj komputer na obecnosc wirusów. Edytowane przez Pieka dnia 19.06.2009 21:42:53 |
|
|
|
| krystian1988 |
Dodany dnia 15.06.2009 16:11:39
|
|
Zaawansowany Postów: 1187 Pomógł: 100 v7.02.07Data rejestracji: 07.05.2009 17:37 |
Kasujesz t? lini? i nie przesy?aj nic przez TC zmie? przed usuni?ciem TC has?o w nim i go usu? i inny FTP sobie ?ci?gnij. Edytowane przez Pieka dnia 19.06.2009 21:39:15 |
|
|
|
| wander |
Dodany dnia 15.06.2009 16:42:14
|
|
Przedszkolak Postów: 41 Ostrzeżeń: 3 Data rejestracji: 07.05.2009 23:10 |
Nie umiesz czytac? Nie widzisz ze juz tak zrobilem? I nadal to samo. Wiec jakie moga byc inne przyczyny?
Edytowane przez hoopak dnia 15.06.2009 19:00:45 |
|
|
|
| werian |
Dodany dnia 19.06.2009 21:21:58
|
|
Przedszkolak Postów: 12 Data rejestracji: 23.06.2008 07:27 |
A has?o konta FTP zmieni?e?? |
|
|
|
| maciejcz |
Dodany dnia 25.06.2009 09:40:18
|
|
Przedszkolak Postów: 1 Data rejestracji: 25.06.2009 09:29 |
Panie krystian1988, zgodnie z zasadami netykiety, je?li kogo? si? cytuje, nale?y poda? linka do cytowanego artyku?u. Tak si? sk?ada, ?e jestem autorem artyku?u na temat wirusa iframe http://www.mojito...commander/ i nie pozwalam na cytowanie moich artyku?ów bez podawania ?ród?a - artyku? jest obj?ty prawem autorskim. Pozdrawiam Edytowane przez ICEK dnia 25.06.2009 09:45:37 |
|
|
|
| waski |
Dodany dnia 01.09.2009 00:11:33
|
 Przedszkolak Postów: 37 Ostrzeżeń: 2 Data rejestracji: 19.02.2007 01:44 |
A ja mam pytanko, a co zrobic jesli pojawil mi sie na serwerze katalog z plikami html, ktorego nie moglem wykasowac [pomogla dopiero intwerwencja admina serwera]. Problem tylko taki, ze u mnie nie ma zadnego katalogu TMP. Oczywiscie naleze do tych osob, ktore wykorzystywaly do polaczen TC. Czy moze to byc robota wlasnie tego iFrame'a? |
|
|
|
| mat89 |
Dodany dnia 02.08.2010 09:40:25
|
|
Przedszkolak Postów: 2 Data rejestracji: 02.08.2010 00:21 |
Mam podobny problem, w Firefoxie wy?wietla mi si?: Strona zg?oszona jako dokonuj?ca ataków! W ie jest ok. Wiem ze o tym by?o par? razy na forum, korzysta?em z szukajki i wed?ug zalece? aktualizowa?em do wy?szej wersji oraz podmieninilem index.php i news.php, ale dalej nic. W zrodle news.php jest kod z d?ugim scriptem, jednak gdy edytuje t? stron? to go nie ma. W dodatku awg wykry? ze przekierowuje na inn? stron?. Edytowane przez Pieka dnia 02.08.2010 10:31:50 |
|
|
|
| Przejdź do forum: |