Zobacz temat
 Trojan na serwerze
|
|
| qwertyuiop |
Dodany dnia 23.12.2012 02:36:07
|
 Pocz?tkuj?cy  Postów: 120 Data rejestracji: 24.08.2006 20:15 |
Witam pomimo pó?nej pory. Pokrótce przedstawi? problem. Wszystko by?o pi?knie ?adnie zima, prze?yli?my koniec ?wiata i takie tam, ale to co si? wydarzy?o przyprawi?o mnie o prawie zawa?. Kilka dni temu strona, któr? si? zajmuj? zosta?a uznana za stron? stwarzaj?c? zagro?enie. Po celnych uwagach @jantoma poszed?em po rozum do g?owy wyczy?ci?em stron? z dodatkowych kodów w niektórych plikach, pozmienia?em has?a, wywali?em wszystkich u?ytkowników i oczywi?cie zaktualizowa?em PF do najnowszej wersji 7.02.05 , zwróci?em si? do szanownych googli o sprawdzenie strony i wszystko zako?czy?o si? przepi?knie. Dzi? dzwoni do mnie kumpel i mówi, ?e biel tylko widzi. No to zalogowa?em si? gdzie trzeba i co? .... Wchodz? na pozosta?e moje strony (a zrobi?em 3) wszystkie szlag trafi?. Na serwerze w 2-ch przypadkach pozapisywane dziwne pliki gif, oraz obrzydliwe jakie? trojan shell, na katalogu g?ównym typu, god.php, php.php i net.php. Wszystko pi?knie ?adnie, ale jednej z tych stron nie zd??y?em zrobi? kopii (wiadomo ?wi?ta id? - troch? g?upia wymówka, bo kopia "prawie" sama si? robi, ale zawsze to jaka? wymówka, która i tak nie zmienia faktu, ?e mam problem). Zalogowa?em si? do phpmyadmin i widz?, ?e metoda porównywania napisów na ustawiona na szwedzki. Zacz??em to zmienia? pocz?wszy od pierwszej tabeli, ale stwierdzi?em, ?e mo?e kogo? si? zapytam czy to w ogóle ma sens, ?ebym tu nie siedzia? do rana (a pewnie b?d? siedzia?). Sprawa dziwna, bo to najnowsza wersja PF. Pozdrawiam i przy okazji ?ycz? wszystkim Weso?ych ?wi?t i przede wszystkim spokojnych w tym niespokojnym gospodarczo i politycznie kraju. Jarek PW od moderatora:
Edytowane przez qwertyuiop dnia 23.12.2012 12:25:46 |
|
|
|
| W?cibski Go?? |
Dodany dnia 06.09.2025 18:10:10
|
|
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze |
|
| IP: localhost | |
| Pieka |
Dodany dnia 23.12.2012 08:59:06
|
  Postów: 19887 Pomógł: 767  v7.02.03Data rejestracji: 23.02.2005 18:12 |
Skoro dotyczy to kilku stron to masz zainfekowany serwer, a nie PHP-Fusiona, który je?li nie by? w tym czasie w wersji 6.xx nie ma tu nic do rzeczy. Czy zainfekowano maszyn?, czy te? Twój komputer to ju? mo?esz stwierdzi? tylko Ty. Jestem jaki jestem
 |
 
 |
|
| Apis |
Dodany dnia 23.12.2012 11:02:00
|
 Bywalec  Postów: 433 Pomógł: 58 Ostrzeżeń: 1 v9.03.80Data rejestracji: 20.12.2005 22:26 |
Nie?mia?o dodam, ?e istnieje wredna odmiana trojana, który infekuje program do FTP i wykorzystuj?c ka?d? sesj? zara?a pliki na wszystkich serwerach, do których adresy i has?a wpisane s? w tym programie. Infekuje zwykle pliki z nazw? "index.php" dodaj?c do nich kod IFRAME, który zara?a (nie chronione dobrze) komputery innych u?ytkowników internetu gdy tylko otworz? stron? z tym kodem. Sam pad?em jego ofiar? kilka lat temu. Przyniós? mi go kole? na penie z projektem strony. Ja zarazi?em kilkana?cie w?asnych serwisów na serwerze (zwyk?ych HTML i tych opartych na PHP) zaraz po pierwszej sesji klienta FTP. Walka by?a bardzo trudna: wymienia?em pliki na serwerze a one wci?? odnawia?y dodane przez wirus ?a?cuszki kodu. Wiadomo ile plików "index" jest w jednej instalacji PHP Fusion - wystarczy?o przegapi? jeden i nie usun?? z?o?liwego kodu a w kilka godzin znów zara?one by?y wszystkie "index-y" ale nie tylko bo potem i inne pliki zawiera?y (zwykle na ko?cu) dopisany kod. Trzeba by?o nadpisa? wszystkie pliki nowymi trac?c wszystkie modyfikacje - nie by?o innego wyj?cia. Oczywi?cie trzeba te? dok?adnie przeskanowa? w?asny komputer, znale?? i zabi? trojana cho? to te? nie by?a ?atwa walka. Wprawdzie jego aktywno?? w sieci zmala?a a wiele hostingów zabezpieczy?o pliki na serwerach przed tym niepo??danym go?ciem - nie jest wykluczone, ?e jeszcze istnieje lub kr??y jaka? jego zmutowana wersja. http://www.mojito...commander/ http://forum.ovh....hp?t=15512 Edytowane przez Apis dnia 23.12.2012 11:14:31 |
|
|
|
| qwertyuiop |
Dodany dnia 23.12.2012 12:22:24
|
|
Pocz?tkuj?cy Postów: 120 Data rejestracji: 24.08.2006 20:15 |
Witam. Sprawa chyba na chwile wyja?niona, jedn? stron? odtworzy?em. Atak po zanalizowaniu logów nast?pi? z Portugalii i S?owenii. Zaatakowa? na serwerze tylko strony z PF. Poczeka? spokojnie a? zaktualizuje go na serwerze i ?ci?gn?? ca?? stron? do siebie wyczy?ci? index.php i dorzuci? gratisy w postaci ww. plików. |
|
|
|
| Pieka |
Dodany dnia 23.12.2012 12:41:09
|
|
Postów: 19887 Pomógł: 767 v7.02.03Data rejestracji: 23.02.2005 18:12 |
No jak mu dane poda?e? to ?ci?gn??, proste. To nie jest wina skryptu wersji 7.
Jestem jaki jestem
|
|
|
|
| krystian1988 |
Dodany dnia 23.12.2012 13:05:03
|
 Zaawansowany  Postów: 1187 Pomógł: 100 v7.02.07Data rejestracji: 07.05.2009 17:37 |
Wcze?niej to by?a wina u?ywania Total Commandera. Temat na supporcie oczywi?cie te? by?: http://www.php-fu...d_id=25135 |
|
|
|
| qwertyuiop |
Dodany dnia 23.12.2012 14:00:15
|
|
Pocz?tkuj?cy Postów: 120 Data rejestracji: 24.08.2006 20:15 |
Przemku ?le mnie zrozumia?e?, nie obwiniam wcale v7 tylko by?em po prostu zdziwiony, ?e po aktualizacji takie rzeczy si? dziej?, teraz ju? wiem, ?e po prostu mia? dost?p do FTP i robi? co chcia?. Poruszy?em temat, bo chcia?em si? czego? jeszcze dowiedzie? i by? po prostu m?drzejszy na przysz?o??. Nie u?ywam TC. (ale temat czyta?em) W ka?dym razie dzi?kuje za wszelakie uwagi i pozdrawiam. |
|
|
|
| Pieka |
Dodany dnia 23.12.2012 14:08:20
|
|
Postów: 19887 Pomógł: 767 v7.02.03Data rejestracji: 23.02.2005 18:12 |
Rozumiem, ale nie zmienia to faktu, ?e win? za ten stan ponosisz Ty. Poza tym, nie napisa?e? czego u?ywasz do FTP, jakie wersje PHP-Fusion znajdowa?y si? na serwerze/rach (ilo?? serwerów równie? jest tu istotna) w czasie ataku etc. W zasadzie poza informacj?, ?e by?o w?amanie w efekcie którego w ko?cu zaktualizowa?e? strony nic nie napisa?e?. Pomarudzi?e? troszk? i to wszystko...
Jestem jaki jestem
|
|
|
|
| qwertyuiop |
Dodany dnia 23.12.2012 14:20:57
|
|
Pocz?tkuj?cy Postów: 120 Data rejestracji: 24.08.2006 20:15 |
Nie mo?na si? z Tob? nie zgodzi?. Wszystkie trzy strony znajduj? si? na tym samym serwerze. Dwie strony maj? wersj? 7.02.04 i jedna 7.02.05 (od niej wszystko si? zacz??o bo by?a do niedawna w wersji 7.00.07). T? ostatni? wyczy?ci?em, pozmienia?em has?a, jak pisa?em wcze?niej i zaktualizowa?em, ale po tej czynno?ci nie zmieni?em has?a do FTP i to mnie zgubi?o. Co do transferu pliku to u?ywam FileZilla. EDIT: No i jednak walka trwa nadal. Po tym jak przywróci?em wszystko, hula?o do teraz. Popatrzcie: 1) wchodz? na stron? www.zszniepolomic... - widnieje komunikat:  2) wchodz? do PA zerkam na wtyczki i mam zaistalowany Shoutbox, którego tutaj nigdy nie u?ywa?em  3) Po usuni?ciu wtyczki na g?ównej wywali?o komunikat:  Oprócz mnie jako g?ównego admina, by?o jeszcze jedno konto - te? moje testowe z prawami u?ytkownika, teraz je wywali?em, ale by? mo?e przez nie jako? wlaz? z buciorami ! Co wy na to ? Edytowane przez qwertyuiop dnia 23.12.2012 17:25:22 |
|
|
|
| Pieka |
Dodany dnia 24.12.2012 15:40:19
|
|
Postów: 19887 Pomógł: 767 v7.02.03Data rejestracji: 23.02.2005 18:12 |
Ma?y piku? zapomnia?bym odpisa? Komunikaty mówi?, ?e cz??ciowo pad?a baza, zapewne z powodu wyczerpania zasobów w kwestii pojemno?ci. O tym stricte mówi b??d numer dwa.
Jestem jaki jestem
|
|
|
|
| Przejdź do forum: |