ForumCała strona

Nawigacja

Aktualnie online

Gości online: 8

Użytkowników online: 0

Łącznie użytkowników: 25,393
Najnowszy użytkownik: Assassin

Logowanie

Nazwa użytkownika

Hasło



Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

JazOOn
06.12.2024 23:45:46
Amen

Zbigniew@
17.11.2024 11:33:24
Nie ten grzeszy kto pije, ale ten, kto się nie upije.

JazOOn
16.11.2024 20:46:18
tja

Zbigniew@
15.11.2024 18:58:17
Kto pije, ten nie bije.

JazOOn
31.10.2024 20:49:47
Kto pije?

Pobierz nową wersję
Pobierz podręcznik
Zobacz inne oficjalne Supporty
Statystyki supportu
PHP-Fuson PL na Facebooku

RSS

Polecamy hosting SferaHost.pl

Zobacz temat

 Drukuj temat
Trojan na serwerze
qwertyuiop
Witam pomimo późnej pory.

Pokrótce przedstawię problem.
Wszystko było pięknie ładnie zima, przeżyliśmy koniec świata i takie tam, ale to co się wydarzyło przyprawiło mnie o prawie zawał.
Kilka dni temu strona, którą się zajmuję została uznana za stronę stwarzającą zagrożenie.
Po celnych uwagach @jantoma poszedłem po rozum do głowy wyczyściłem stronę z dodatkowych kodów w niektórych plikach, pozmieniałem hasła, wywaliłem wszystkich użytkowników i oczywiście zaktualizowałem PF do najnowszej wersji 7.02.05 , zwróciłem się do szanownych googli o sprawdzenie strony i wszystko zakończyło się przepięknie.
Dziś dzwoni do mnie kumpel i mówi, że biel tylko widzi. No to zalogowałem się gdzie trzeba i co? ....
Wchodzę na pozostałe moje strony (a zrobiłem 3) wszystkie szlag trafił. Na serwerze w 2-ch przypadkach pozapisywane dziwne pliki gif, oraz obrzydliwe jakieś trojan shell, na katalogu głównym typu, god.php, php.php i net.php.
Wszystko pięknie ładnie, ale jednej z tych stron nie zdążyłem zrobić kopii (wiadomo święta idą - trochę głupia wymówka, bo kopia "prawie" sama się robi, ale zawsze to jakaś wymówka, która i tak nie zmienia faktu, że mam problem).
Zalogowałem się do phpmyadmin i widzę, że metoda porównywania napisów na ustawiona na szwedzki. Zacząłem to zmieniać począwszy od pierwszej tabeli, ale stwierdziłem, że może kogoś się zapytam czy to w ogóle ma sens, żebym tu nie siedział do rana (a pewnie będę siedział).
Sprawa dziwna, bo to najnowsza wersja PF.
Pozdrawiam i przy okazji życzę wszystkim Wesołych Świąt i przede wszystkim spokojnych w tym niespokojnym gospodarczo i politycznie kraju.
Jarek


PW od moderatora:
  1. Przeniesienie tematu - Pieka 23.12.2012 08:56

Edytowane przez qwertyuiop dnia 23.12.2012 12:25:46
 
Wścibski Gość
Dodany dnia 22.12.2024 03:26:05
Pan Kontekstualny

Postów: n^x
Data rejestracji: Zawsze

Polecamy hosting SferaHost.pl
IP: localhost  
Pieka
Skoro dotyczy to kilku stron to masz zainfekowany serwer, a nie PHP-Fusiona, który jeśli nie był w tym czasie w wersji 6.xx nie ma tu nic do rzeczy.
Czy zainfekowano maszynę, czy też Twój komputer to już możesz stwierdzić tylko Ty.
Jestem jaki jestem Smile
 
www.php-fusion.pl
Apis
Nieśmiało dodam, że istnieje wredna odmiana trojana, który infekuje program do FTP i wykorzystując każdą sesję zaraża pliki na wszystkich serwerach, do których adresy i hasła wpisane są w tym programie. Infekuje zwykle pliki z nazwą "index.php" dodając do nich kod IFRAME, który zaraża (nie chronione dobrze) komputery innych użytkowników internetu gdy tylko otworzą stronę z tym kodem. Sam padłem jego ofiarą kilka lat temu. Przyniósł mi go koleś na penie z projektem strony. Ja zaraziłem kilkanaście własnych serwisów na serwerze (zwykłych HTML i tych opartych na PHP) zaraz po pierwszej sesji klienta FTP. Walka była bardzo trudna: wymieniałem pliki na serwerze a one wciąż odnawiały dodane przez wirus łańcuszki kodu. Wiadomo ile plików "index" jest w jednej instalacji PHP Fusion - wystarczyło przegapić jeden i nie usunąć złośliwego kodu a w kilka godzin znów zarażone były wszystkie "index-y" ale nie tylko bo potem i inne pliki zawierały (zwykle na końcu) dopisany kod. Trzeba było nadpisać wszystkie pliki nowymi tracąc wszystkie modyfikacje - nie było innego wyjścia. Oczywiście trzeba też dokładnie przeskanować własny komputer, znaleźć i zabić trojana choć to też nie była łatwa walka.

Wprawdzie jego aktywność w sieci zmalała a wiele hostingów zabezpieczyło pliki na serwerach przed tym niepożądanym gościem - nie jest wykluczone, że jeszcze istnieje lub krąży jakaś jego zmutowana wersja. http://www.mojito...commander/
http://forum.ovh....hp?t=15512
Edytowane przez Apis dnia 23.12.2012 11:14:31
Pozdrawiam. Pomogłem? Kliknij "Pomógł" Wink
---
Żegluga śródlądowa wczoraj, dziś, jutro
 
www.zegluga-rzeczna.pl
qwertyuiop
Witam.
Sprawa chyba na chwile wyjaśniona, jedną stronę odtworzyłem. Atak po zanalizowaniu logów nastąpił z Portugalii i Słowenii. Zaatakował na serwerze tylko strony z PF. Poczekał spokojnie aż zaktualizuje go na serwerze i ściągnął całą stronę do siebie wyczyścił index.php i dorzucił gratisy w postaci ww. plików.
 
Pieka
No jak mu dane podałeś to ściągnął, proste. To nie jest wina skryptu wersji 7.
Jestem jaki jestem Smile
 
www.php-fusion.pl
krystian1988
Wcześniej to była wina używania Total Commandera.
Temat na supporcie oczywiście też był: http://www.php-fu...d_id=25135
BRAK STOPKI = BRAK POMOCY NA SUPPORCIE.PRZECZYTAJ:
Regulamin Supportu Nie pomagam na PW!!!
 
qwertyuiop
Pieka napisał(a):

No jak mu dane podałeś to ściągnął, proste. To nie jest wina skryptu wersji 7.


Przemku źle mnie zrozumiałeś, nie obwiniam wcale v7 tylko byłem po prostu zdziwiony, że po aktualizacji takie rzeczy się dzieją, teraz już wiem, że po prostu miał dostęp do FTP i robił co chciał. Poruszyłem temat, bo chciałem się czegoś jeszcze dowiedzieć i być po prostu mądrzejszy na przyszłość.
Nie używam TC. (ale temat czytałem)
W każdym razie dziękuje za wszelakie uwagi i pozdrawiam.
 
Pieka
Rozumiem, ale nie zmienia to faktu, że winę za ten stan ponosisz Ty. Poza tym, nie napisałeś czego używasz do FTP, jakie wersje PHP-Fusion znajdowały się na serwerze/rach (ilość serwerów również jest tu istotna) w czasie ataku etc. W zasadzie poza informacją, że było włamanie w efekcie którego w końcu zaktualizowałeś strony nic nie napisałeś. Pomarudziłeś troszkę i to wszystko...
Jestem jaki jestem Smile
 
www.php-fusion.pl
qwertyuiop
Nie można się z Tobą nie zgodzić.
Wszystkie trzy strony znajdują się na tym samym serwerze.
Dwie strony mają wersję 7.02.04 i jedna 7.02.05 (od niej wszystko się zaczęło bo była do niedawna w wersji 7.00.07).
Tą ostatnią wyczyściłem, pozmieniałem hasła, jak pisałem wcześniej i zaktualizowałem, ale po tej czynności nie zmieniłem hasła do FTP i to mnie zgubiło.
Co do transferu pliku to używam FileZilla.

EDIT:
No i jednak walka trwa nadal. Po tym jak przywróciłem wszystko, hulało do teraz.
Popatrzcie:
1) wchodzę na stronę www.zszniepolomic... - widnieje komunikat:
www.img.pl/Wf.jpg
2) wchodzę do PA zerkam na wtyczki i mam zaistalowany Shoutbox, którego tutaj nigdy nie używałem
www.img.pl/Vf.jpg
3) Po usunięciu wtyczki na głównej wywaliło komunikat:
www.img.pl/Tf.jpg

Oprócz mnie jako głównego admina, było jeszcze jedno konto - też moje testowe z prawami użytkownika, teraz je wywaliłem, ale być może przez nie jakoś wlazł z buciorami !
Co wy na to ?
Edytowane przez qwertyuiop dnia 23.12.2012 17:25:22
 
Pieka
Mały pikuś zapomniałbym odpisać Smile Komunikaty mówią, że częściowo padła baza, zapewne z powodu wyczerpania zasobów w kwestii pojemności. O tym stricte mówi błąd numer dwa.
Jestem jaki jestem Smile
 
www.php-fusion.pl
Przejdź do forum:
Created by Arox Copyright (C) 2004
Copyright (C) 2004 - 2018 Ekipa PHP-Fusion.pl