Na sajtu od jednog klijenta nam se nekako stalno ubacuje neka maliciozna skripta. U pitanju je neki js code koji sadrži svašta i spominje se neki funky-soft.org .... koji se stalno pojavljuje na kraju stranice iznad zatvarajućeg body taga. Ja uploadujem normalne fajlove, posle par dana opet oni overwrite-ovani.

Pre mesec dana sajt je bio najsuvlji html bez baze podataka, znači totalno jednostavni sadržaj, i imali smo taj problem, sada imamo pored toga neki custom cms + mysql i opet isti problem - znači ne mogu da utvrdim neku rupu na našoj strani. Šta bi moglo da bude u pitanju? Menjali smo ftp passworde, isto .... Možda nešto prepravlja fajlove po shared hosting serveru? Da li da gledam log fajlove i šta uopšte da tražim?

Neko od ljudi koji pristupaju serveru (FTP vjerovatno) ima zarazen racunar. Neka svi ociste racunare, potom promijenite FTP lozinke i bicete mirni. Koliko znam :)

najverovatnije je ovo sto Zira kaze, ima tih virusa koji pokradu FTP, pa onda uvaljuju iframe-ove u html i php strane

http://pedja.supurovic.net/nece-mene-trojanci-malo-sutra

Trazi takodje od admina servera da instalira Clam AV pa skeniraj sajtove i preko njega, meni je pomoglo dosta puta kada google blacklistuje sajt zbog spambotova koji postuju linkove ka phishing sajtovima...

Koristis Total Commander kao FTP klijent ?

Ne, FileZilla koristim.

U zadnje vreme je dosta njih zakacilo neki TC virus koji je kupio FTP passworde. U novoj verziji TCa postoji "master password" kojim se enkriptuju svi podaci.

FileZilla ne enkriptuje login podatke vec ih cuva u XML-ovima kao cist text, tako da je moguce da si pokupio neki virus koji je procitao te podatke.

Gde je ta opcija "master password"? Nisam uspeo da nađem, a pretražio sam i help - nema ništa o tome.

FZ enkriptuje sifre u xml fajlu...

@bluesman

TC 7.50 RC1 je verzija, nju si probao ?

@Dusan Filiferovic

U kojoj verziji ? Ja nisam primetio da su sifre enkriptovane ...

kod mene jesu... 2.2.32

ivane, nisam ni video to, ne gledam obično te RC verzije, imam 7.0.4. Sad ću da skinem pa da probam. Tnx.

@mangia

Upravo sam skinuo FileZilla 3.2.7.1 i koliko vidim jos uvek nema enkripcije.
Fajl koji ja gledam se nalazi ovde: C:\Documents and Settings\*username*\Application Data\FileZilla\sitemanager.xml

Koliko vidim nema ni opcije da se izabere enkripcija ? Mozes da nas uputis kako da ukljucimo tu opciju ?

@bluesman

Ne gledam ni ja, ali je ova verzija zahvalna ;)

@mangia

Upravo sam skinuo FileZilla 3.2.7.1 i koliko vidim jos uvek nema enkripcije.
............


Koristim stariju verziju i po defaultu smjesta sve u XML fajl

C:\Program Files\FileZilla\FileZilla.xml

Evo jedan red iz fajla

<Site Name="test-sajt" Host="test.test.com" Port="21" User="test" Account="" RemoteDir="" LocalDir="" Pass="046044063056" Logontype="1" FWBypass="0" DontSavePass="0" ServerType="0" PasvMode="0" TimeZoneOffset="0" TimeZoneOffsetMinutes="0" Comments="" UTF8="0" DefaultSite="0"/>

Username i password su test a koliko vidim pass je preveden u 046044063056

Ako se ne varam radi se o XOR enkripciji i tako sam nešto i našao na netu.



FileZilla version 2 and FileZilla version 3 use different menthods and formats to store ftp account data. This program can be very useful when you need to migrate your FTP passwords and account data from FileZilla version 2 to version 3 and above.

XOR encryption is used to encode passwords. The same cypher key is always used:
FILEZILLA1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ

The encrypted password is stored in the registry or in the .xml file.
Authors of FileZilla are considering to remove encryption, but for now you have to use decoder to find your FTP account passwords.

U novoj verziji sifre su bez enkripcije a i ta stara izgleda da nije previse sigurna ...

dokle god je negdje na disku ili zapisana na papiru, lozinka nije sigurna :)...

dovoljno je da ti neko ukrade taj xml fajl i ne mora ni znati lozinke..

Ja u FZ 2.2.24b (instalirao je ne secam se kada sad je koristim kao portabilnu) imam sve podatke normalno za citanje u xml-u koje mozes da procitas i preko programa ali su sifre samo brojevi u xmlu-u

Na sajtu od jednog klijenta nam se nekako stalno ubacuje neka maliciozna skripta....

Ne znam da li ce ti ovo pomoci ali ja sam muku resio, Da ne zalazim puno u istoriju problema bicu kratak. Pre mesec dana sam imao taj problem sa iframe virusom ili ne znam ni ja vise sta je bilo u pitanju. U svakom slucaju promenio sam tada Kaspersky AV u koji sam se zaklinjao u Kaspersky IS i odmah sam video da sam pun svega i svacega. Pokusavao sam sve i svasta. Trazio skripte po netu koje uklanjaju taj iframe, na kraju i pisao sam medjutim ludi iframe se vracao. Onda sam uzeo pa lepo ceo sajt prelistao i ubio svaki iframe link. Jurcao sam i neke js fajlove koji su (po mnogima) leglo tog malog "skota". Nakon toga dosao sam do informacije da neki virus (zaboravio sam ime pa mi ne zameri/te) izvlaci user i pass sa ftp klijenta pa sam uporedio koje sajtove sam imao i ukapirao da je to zapravo problem. Izbrisao sam tadasnju verziju SmartFTP, skinuo drugu i neko vreme se nije pojavljivalo. Medjutim opet se vratilo i u krug.

Na kraju sam reinstalirao operativni sistem (u mom slucaju Windows XP), nakon instalacije promenio sifre na svim sajtovima (cak i onim koji nisu bili zarazeni), lupio permisije na vitalne dokumente na hostinzima, poceo da koristim program koji cuva sifre (sa enkripcijom naravno) i problem je iscezao.

Da napomenem da sam namerno ostavio jedan sajt koji je bio u fazi izrade zarazenim da bi posmatrao razvoj malog iframe "stvora". Da bi na kraju utvrdio da je ta promena sifre i reinstaliranje sistema (koji se definitivno ne da ocistiti kada se zarazi gore ne-pomenutim virusom) definitivno pomoglo.

Ljudi, jel reaguje nekome AV kad otvori http://e-stav.rs ?
Meni ne, ali mi je jedan posetilac sajta javio da mu kasperky pišti.

Samo da dodam, često mi stižu poruke na mail (radi se o wordpressu) tipa: A user tried to go to http://www.e-stav.rs/feed/atom/Demons and received a 404 ili http://www.e-stav.rs/feed/atom/Julia%20movie

AVG ne prijavljuje opasnost. A ko (koji skript i sta je njegova uloga) salje te email poruke ?

Pa ne znam tačno koja scripta, ima valjda wp scriptu za to... evo šta dobijam na mail:
"from E - stav <noreply@http://www.e-stav.rs>
sender-time Sent at 10:25 PM (GMT+01:00). Current time there: 10:30 PM. ✆
to raindog.bor@gmail.com
date Wed, Dec 2, 2009 at 10:25 PM
subject Bad Link To /feed/atom/Julia%20movie

hide details 10:25 PM (5 minutes ago)

A user tried to go to http://www.e-stav.rs/feed/atom/Julia%20movie and received a 404 (page not found) error. It wasn't their fault, so try fixing it.
They came from http://www.devprotalk.com/showthread.php?t=7818&page=3"

Izgleda da ovo "tera" AV da pisti:
<Script> link - http://www.e-stav.rs/wp-content/themes/e-stav/js/domtab.js
<Script> link - http://www.e-stav.rs/wp-content/themes/e-stav/js/swfobject.js
<Script> link - http://www.e-stav.rs/wp-content/themes/e-stav/js/jquery-1.2.6.min.js
<Script> link - http://www.e-stav.rs/wp-content/themes/e-stav/js/superfish.js
<Script> link - http://www.e-stav.rs/wp-content/themes/e-stav/js/slide.js

Proveri na:

http://unmaskparasites.com/security-report/?page=http%3A//e-stav.rs

inace to sto dobijas na email ne salje wp po "defaultu" nisam siguran za plugine....

E, pa ovome smeta sve što je .js, hebiga. :)
Biće da je ipak problem kod korisnika.

U novoj verziji sifre su bez enkripcije a i ta stara izgleda da nije previse sigurna ...

A, koja je sigurna?
Pa sve one moraju da imaju key za dekripciju negde na mašini, eh?
Koliko može biti teško naći ih?! Obično ih stave u registry ili u nekom fajlu ... ili je hard-coded.

Ili ti ukucas svaki put kada treba da otkljucas ...

Ovaj problem je vrlo cest u poslednje vreme, i ja sam imao slican.Resenje je uplodovati stari fajl preko novog i preispitati gde si "busan".Jer ukoliko je uspeo da ubaci jednom opet ce uspeti.Proveri skripte...takodje vodi racuna da nema ubacenog iframa jer ga je tesko videti.Imas sajt koji se zove nesto unmaskparasite gde cekira svaki link koji mu zadas.

Google ima alatku koja ti kaze gde je problem u kodu stranice ako je problem iframe, samo sam zaboravio kako se zove a inace ti kaze url tog sajta koji ti pravi problem (phishing)

Da ne otvaram novu temu...ova je sasvim udobna za sledece:

Na shared hostingu hakovani su gotovo svi sajtovi uglavnom WP i Joomla, na nacin da je prepisan index.php fajl.
Podrska kaze da je haker upao preko jednog sajta pa sredio i sve ostale.
Zanima me da li je verovatnije hakovan server negde na njegovoj administraciji ili root-u ili je ovo sto kazu?
Moze li neko objasniti kako hakovanjem jednog sajta moze da pridje svim ostalim i promeni svima index fajlove?

Ako server nije pravilno konfigurisan ovo je veoma jednostvano izvesti. Dovoljno je da bilo ko potera neku od poznatih php shell (c99) scripti i to je to ...

Sretao sam se vise puta sa ovim situacijama i obicno je kompromitovan ftp password kod nekog korisnika na masini sa koje administrira web sajt (virus pokupi iz TC-a ili sl). Posle toga ide upload neke shell skripte itd ...

Znaci ako udje kod jednog putem kompromitovanog passa usao je kod svih izvrsenjem shell scripte...znaci da ostalima ne pomaze promena passworda za njihove sajtove?

Da, on zakaci php shell skriptu na neki od sajtova, pristupi joj preko browsera i onda pravi stetu.

Opet da pitam...postoji li neko resenje da se u ovakvom slucaju zastite ostali nalozi na shared serveru?

http://www.suphp.org

suPHP is a tool for executing PHP scripts with the permissions of their owners. It consists of an Apache module (mod_suphp) and a setuid root binary (suphp) that is called by the Apache module to change the uid of the process executing the PHP interpreter.

Drugim rečima, služi baš za to da kad jedan sajt bude kompromitovan, ne može da ugrozi druge. Od kad ga imam na serveru nemam problema sa hakovanim sajtovima, a čak i da neki bude hakovan, znam da neće preći na druge sajtove i znam na kom sajtu treba da tražim uzrok hack-a :)

Takodje mozes da probas i Suhosin: http://www.hardened-php.net/suhosin/index.html

mod_fcgid takođe

Sve fajlove možeš staviti na chmod 600 i da budu u vlasništvu user-a. Sve će raditi uredno.