Zobacz temat
Trojan na serwerze
|
|
qwertyuiop |
Dodany dnia 23.12.2012 02:36:07
|
Początkujący Postów: 120 Data rejestracji: 24.08.2006 20:15 |
Witam pomimo późnej pory. Pokrótce przedstawię problem. Wszystko było pięknie ładnie zima, przeżyliśmy koniec świata i takie tam, ale to co się wydarzyło przyprawiło mnie o prawie zawał. Kilka dni temu strona, którą się zajmuję została uznana za stronę stwarzającą zagrożenie. Po celnych uwagach @jantoma poszedłem po rozum do głowy wyczyściłem stronę z dodatkowych kodów w niektórych plikach, pozmieniałem hasła, wywaliłem wszystkich użytkowników i oczywiście zaktualizowałem PF do najnowszej wersji 7.02.05 , zwróciłem się do szanownych googli o sprawdzenie strony i wszystko zakończyło się przepięknie. Dziś dzwoni do mnie kumpel i mówi, że biel tylko widzi. No to zalogowałem się gdzie trzeba i co? .... Wchodzę na pozostałe moje strony (a zrobiłem 3) wszystkie szlag trafił. Na serwerze w 2-ch przypadkach pozapisywane dziwne pliki gif, oraz obrzydliwe jakieś trojan shell, na katalogu głównym typu, god.php, php.php i net.php. Wszystko pięknie ładnie, ale jednej z tych stron nie zdążyłem zrobić kopii (wiadomo święta idą - trochę głupia wymówka, bo kopia "prawie" sama się robi, ale zawsze to jakaś wymówka, która i tak nie zmienia faktu, że mam problem). Zalogowałem się do phpmyadmin i widzę, że metoda porównywania napisów na ustawiona na szwedzki. Zacząłem to zmieniać począwszy od pierwszej tabeli, ale stwierdziłem, że może kogoś się zapytam czy to w ogóle ma sens, żebym tu nie siedział do rana (a pewnie będę siedział). Sprawa dziwna, bo to najnowsza wersja PF. Pozdrawiam i przy okazji życzę wszystkim Wesołych Świąt i przede wszystkim spokojnych w tym niespokojnym gospodarczo i politycznie kraju. Jarek PW od moderatora:
Edytowane przez qwertyuiop dnia 23.12.2012 12:25:46 |
|
|
Wścibski Gość |
Dodany dnia 22.12.2024 03:26:05
|
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze |
|
IP: localhost | |
Pieka |
Dodany dnia 23.12.2012 08:59:06
|
Postów: 19885 Pomógł: 767 v7.02.03 Data rejestracji: 23.02.2005 18:12 |
Skoro dotyczy to kilku stron to masz zainfekowany serwer, a nie PHP-Fusiona, który jeśli nie był w tym czasie w wersji 6.xx nie ma tu nic do rzeczy. Czy zainfekowano maszynę, czy też Twój komputer to już możesz stwierdzić tylko Ty. Jestem jaki jestem
|
|
|
Apis |
Dodany dnia 23.12.2012 11:02:00
|
Bywalec Postów: 433 Pomógł: 58 Ostrzeżeń: 1 v9.03.80 Data rejestracji: 20.12.2005 22:26 |
Nieśmiało dodam, że istnieje wredna odmiana trojana, który infekuje program do FTP i wykorzystując każdą sesję zaraża pliki na wszystkich serwerach, do których adresy i hasła wpisane są w tym programie. Infekuje zwykle pliki z nazwą "index.php" dodając do nich kod IFRAME, który zaraża (nie chronione dobrze) komputery innych użytkowników internetu gdy tylko otworzą stronę z tym kodem. Sam padłem jego ofiarą kilka lat temu. Przyniósł mi go koleś na penie z projektem strony. Ja zaraziłem kilkanaście własnych serwisów na serwerze (zwykłych HTML i tych opartych na PHP) zaraz po pierwszej sesji klienta FTP. Walka była bardzo trudna: wymieniałem pliki na serwerze a one wciąż odnawiały dodane przez wirus łańcuszki kodu. Wiadomo ile plików "index" jest w jednej instalacji PHP Fusion - wystarczyło przegapić jeden i nie usunąć złośliwego kodu a w kilka godzin znów zarażone były wszystkie "index-y" ale nie tylko bo potem i inne pliki zawierały (zwykle na końcu) dopisany kod. Trzeba było nadpisać wszystkie pliki nowymi tracąc wszystkie modyfikacje - nie było innego wyjścia. Oczywiście trzeba też dokładnie przeskanować własny komputer, znaleźć i zabić trojana choć to też nie była łatwa walka. Wprawdzie jego aktywność w sieci zmalała a wiele hostingów zabezpieczyło pliki na serwerach przed tym niepożądanym gościem - nie jest wykluczone, że jeszcze istnieje lub krąży jakaś jego zmutowana wersja. http://www.mojito...commander/ http://forum.ovh....hp?t=15512 Edytowane przez Apis dnia 23.12.2012 11:14:31 |
|
|
qwertyuiop |
Dodany dnia 23.12.2012 12:22:24
|
Początkujący Postów: 120 Data rejestracji: 24.08.2006 20:15 |
Witam. Sprawa chyba na chwile wyjaśniona, jedną stronę odtworzyłem. Atak po zanalizowaniu logów nastąpił z Portugalii i Słowenii. Zaatakował na serwerze tylko strony z PF. Poczekał spokojnie aż zaktualizuje go na serwerze i ściągnął całą stronę do siebie wyczyścił index.php i dorzucił gratisy w postaci ww. plików. |
|
|
Pieka |
Dodany dnia 23.12.2012 12:41:09
|
Postów: 19885 Pomógł: 767 v7.02.03 Data rejestracji: 23.02.2005 18:12 |
No jak mu dane podałeś to ściągnął, proste. To nie jest wina skryptu wersji 7.
Jestem jaki jestem
|
|
|
krystian1988 |
Dodany dnia 23.12.2012 13:05:03
|
Zaawansowany Postów: 1187 Pomógł: 100 v7.02.07 Data rejestracji: 07.05.2009 17:37 |
Wcześniej to była wina używania Total Commandera. Temat na supporcie oczywiście też był: http://www.php-fu...d_id=25135 |
|
|
qwertyuiop |
Dodany dnia 23.12.2012 14:00:15
|
Początkujący Postów: 120 Data rejestracji: 24.08.2006 20:15 |
Przemku źle mnie zrozumiałeś, nie obwiniam wcale v7 tylko byłem po prostu zdziwiony, że po aktualizacji takie rzeczy się dzieją, teraz już wiem, że po prostu miał dostęp do FTP i robił co chciał. Poruszyłem temat, bo chciałem się czegoś jeszcze dowiedzieć i być po prostu mądrzejszy na przyszłość. Nie używam TC. (ale temat czytałem) W każdym razie dziękuje za wszelakie uwagi i pozdrawiam. |
|
|
Pieka |
Dodany dnia 23.12.2012 14:08:20
|
Postów: 19885 Pomógł: 767 v7.02.03 Data rejestracji: 23.02.2005 18:12 |
Rozumiem, ale nie zmienia to faktu, że winę za ten stan ponosisz Ty. Poza tym, nie napisałeś czego używasz do FTP, jakie wersje PHP-Fusion znajdowały się na serwerze/rach (ilość serwerów również jest tu istotna) w czasie ataku etc. W zasadzie poza informacją, że było włamanie w efekcie którego w końcu zaktualizowałeś strony nic nie napisałeś. Pomarudziłeś troszkę i to wszystko...
Jestem jaki jestem
|
|
|
qwertyuiop |
Dodany dnia 23.12.2012 14:20:57
|
Początkujący Postów: 120 Data rejestracji: 24.08.2006 20:15 |
Nie można się z Tobą nie zgodzić. Wszystkie trzy strony znajdują się na tym samym serwerze. Dwie strony mają wersję 7.02.04 i jedna 7.02.05 (od niej wszystko się zaczęło bo była do niedawna w wersji 7.00.07). Tą ostatnią wyczyściłem, pozmieniałem hasła, jak pisałem wcześniej i zaktualizowałem, ale po tej czynności nie zmieniłem hasła do FTP i to mnie zgubiło. Co do transferu pliku to używam FileZilla. EDIT: No i jednak walka trwa nadal. Po tym jak przywróciłem wszystko, hulało do teraz. Popatrzcie: 1) wchodzę na stronę www.zszniepolomic... - widnieje komunikat: 2) wchodzę do PA zerkam na wtyczki i mam zaistalowany Shoutbox, którego tutaj nigdy nie używałem 3) Po usunięciu wtyczki na głównej wywaliło komunikat: Oprócz mnie jako głównego admina, było jeszcze jedno konto - też moje testowe z prawami użytkownika, teraz je wywaliłem, ale być może przez nie jakoś wlazł z buciorami ! Co wy na to ? Edytowane przez qwertyuiop dnia 23.12.2012 17:25:22 |
|
|
Pieka |
Dodany dnia 24.12.2012 15:40:19
|
Postów: 19885 Pomógł: 767 v7.02.03 Data rejestracji: 23.02.2005 18:12 |
Mały pikuś zapomniałbym odpisać Komunikaty mówią, że częściowo padła baza, zapewne z powodu wyczerpania zasobów w kwestii pojemności. O tym stricte mówi błąd numer dwa.
Jestem jaki jestem
|
|
Przejdź do forum: |