Virus na sajtu
Na sajtu od jednog klijenta nam se nekako stalno ubacuje neka maliciozna skripta. U pitanju je neki js code koji sadrži svašta i spominje se neki funky-soft.org .... koji se stalno pojavljuje na kraju stranice iznad zatvarajućeg body taga. Ja uploadujem normalne fajlove, posle par dana opet oni overwrite-ovani.
Pre mesec dana sajt je bio najsuvlji html bez baze podataka, znači totalno jednostavni sadržaj, i imali smo taj problem, sada imamo pored toga neki custom cms + mysql i opet isti problem - znači ne mogu da utvrdim neku rupu na našoj strani. Šta bi moglo da bude u pitanju? Menjali smo ftp passworde, isto .... Možda nešto prepravlja fajlove po shared hosting serveru? Da li da gledam log fajlove i šta uopšte da tražim? |
Neko od ljudi koji pristupaju serveru (FTP vjerovatno) ima zarazen racunar. Neka svi ociste racunare, potom promijenite FTP lozinke i bicete mirni. Koliko znam :)
|
najverovatnije je ovo sto Zira kaze, ima tih virusa koji pokradu FTP, pa onda uvaljuju iframe-ove u html i php strane
|
|
Trazi takodje od admina servera da instalira Clam AV pa skeniraj sajtove i preko njega, meni je pomoglo dosta puta kada google blacklistuje sajt zbog spambotova koji postuju linkove ka phishing sajtovima...
|
Koristis Total Commander kao FTP klijent ?
|
Ne, FileZilla koristim.
|
U zadnje vreme je dosta njih zakacilo neki TC virus koji je kupio FTP passworde. U novoj verziji TCa postoji "master password" kojim se enkriptuju svi podaci.
FileZilla ne enkriptuje login podatke vec ih cuva u XML-ovima kao cist text, tako da je moguce da si pokupio neki virus koji je procitao te podatke. |
Gde je ta opcija "master password"? Nisam uspeo da nađem, a pretražio sam i help - nema ništa o tome.
|
FZ enkriptuje sifre u xml fajlu...
|
@bluesman
TC 7.50 RC1 je verzija, nju si probao ? @Dusan Filiferovic U kojoj verziji ? Ja nisam primetio da su sifre enkriptovane ... |
kod mene jesu... 2.2.32
|
ivane, nisam ni video to, ne gledam obično te RC verzije, imam 7.0.4. Sad ću da skinem pa da probam. Tnx.
|
@mangia
Upravo sam skinuo FileZilla 3.2.7.1 i koliko vidim jos uvek nema enkripcije. Fajl koji ja gledam se nalazi ovde: C:\Documents and Settings\*username*\Application Data\FileZilla\sitemanager.xml Koliko vidim nema ni opcije da se izabere enkripcija ? Mozes da nas uputis kako da ukljucimo tu opciju ? @bluesman Ne gledam ni ja, ali je ova verzija zahvalna ;) |
Citat:
C:\Program Files\FileZilla\FileZilla.xml Evo jedan red iz fajla <Site Name="test-sajt" Host="test.test.com" Port="21" User="test" Account="" RemoteDir="" LocalDir="" Pass="046044063056" Logontype="1" FWBypass="0" DontSavePass="0" ServerType="0" PasvMode="0" TimeZoneOffset="0" TimeZoneOffsetMinutes="0" Comments="" UTF8="0" DefaultSite="0"/> Username i password su test a koliko vidim pass je preveden u 046044063056 Ako se ne varam radi se o XOR enkripciji i tako sam nešto i našao na netu. Kôd:
FileZilla version 2 and FileZilla version 3 use different menthods and formats to store ftp account data. This program can be very useful when you need to migrate your FTP passwords and account data from FileZilla version 2 to version 3 and above. |
U novoj verziji sifre su bez enkripcije a i ta stara izgleda da nije previse sigurna ...
|
dokle god je negdje na disku ili zapisana na papiru, lozinka nije sigurna :)...
dovoljno je da ti neko ukrade taj xml fajl i ne mora ni znati lozinke.. |
Ja u FZ 2.2.24b (instalirao je ne secam se kada sad je koristim kao portabilnu) imam sve podatke normalno za citanje u xml-u koje mozes da procitas i preko programa ali su sifre samo brojevi u xmlu-u
|
Citat:
Na kraju sam reinstalirao operativni sistem (u mom slucaju Windows XP), nakon instalacije promenio sifre na svim sajtovima (cak i onim koji nisu bili zarazeni), lupio permisije na vitalne dokumente na hostinzima, poceo da koristim program koji cuva sifre (sa enkripcijom naravno) i problem je iscezao. Da napomenem da sam namerno ostavio jedan sajt koji je bio u fazi izrade zarazenim da bi posmatrao razvoj malog iframe "stvora". Da bi na kraju utvrdio da je ta promena sifre i reinstaliranje sistema (koji se definitivno ne da ocistiti kada se zarazi gore ne-pomenutim virusom) definitivno pomoglo. |
Ljudi, jel reaguje nekome AV kad otvori http://e-stav.rs ?
Meni ne, ali mi je jedan posetilac sajta javio da mu kasperky pišti. |
Samo da dodam, često mi stižu poruke na mail (radi se o wordpressu) tipa: A user tried to go to http://www.e-stav.rs/feed/atom/Demons and received a 404 ili http://www.e-stav.rs/feed/atom/Julia%20movie
|
AVG ne prijavljuje opasnost. A ko (koji skript i sta je njegova uloga) salje te email poruke ?
|
Pa ne znam tačno koja scripta, ima valjda wp scriptu za to... evo šta dobijam na mail:
"from E - stav <noreply@http://www.e-stav.rs> sender-time Sent at 10:25 PM (GMT+01:00). Current time there: 10:30 PM. ✆ to raindog.bor@gmail.com date Wed, Dec 2, 2009 at 10:25 PM subject Bad Link To /feed/atom/Julia%20movie hide details 10:25 PM (5 minutes ago) A user tried to go to http://www.e-stav.rs/feed/atom/Julia%20movie and received a 404 (page not found) error. It wasn't their fault, so try fixing it. They came from http://www.devprotalk.com/showthread.php?t=7818&page=3" |
Izgleda da ovo "tera" AV da pisti:
<Script> link - http://www.e-stav.rs/wp-content/them...v/js/domtab.js <Script> link - http://www.e-stav.rs/wp-content/them...s/swfobject.js <Script> link - http://www.e-stav.rs/wp-content/them...y-1.2.6.min.js <Script> link - http://www.e-stav.rs/wp-content/them...s/superfish.js <Script> link - http://www.e-stav.rs/wp-content/them...av/js/slide.js Proveri na: http://unmaskparasites.com/security-...%3A//e-stav.rs inace to sto dobijas na email ne salje wp po "defaultu" nisam siguran za plugine.... |
E, pa ovome smeta sve što je .js, hebiga. :)
Biće da je ipak problem kod korisnika. |
Citat:
Pa sve one moraju da imaju key za dekripciju negde na mašini, eh? Koliko može biti teško naći ih?! Obično ih stave u registry ili u nekom fajlu ... ili je hard-coded. |
Ili ti ukucas svaki put kada treba da otkljucas ...
|
Ovaj problem je vrlo cest u poslednje vreme, i ja sam imao slican.Resenje je uplodovati stari fajl preko novog i preispitati gde si "busan".Jer ukoliko je uspeo da ubaci jednom opet ce uspeti.Proveri skripte...takodje vodi racuna da nema ubacenog iframa jer ga je tesko videti.Imas sajt koji se zove nesto unmaskparasite gde cekira svaki link koji mu zadas.
|
Google ima alatku koja ti kaze gde je problem u kodu stranice ako je problem iframe, samo sam zaboravio kako se zove a inace ti kaze url tog sajta koji ti pravi problem (phishing)
|
Da ne otvaram novu temu...ova je sasvim udobna za sledece:
Na shared hostingu hakovani su gotovo svi sajtovi uglavnom WP i Joomla, na nacin da je prepisan index.php fajl. Podrska kaze da je haker upao preko jednog sajta pa sredio i sve ostale. Zanima me da li je verovatnije hakovan server negde na njegovoj administraciji ili root-u ili je ovo sto kazu? Moze li neko objasniti kako hakovanjem jednog sajta moze da pridje svim ostalim i promeni svima index fajlove? |
Ako server nije pravilno konfigurisan ovo je veoma jednostvano izvesti. Dovoljno je da bilo ko potera neku od poznatih php shell (c99) scripti i to je to ...
Sretao sam se vise puta sa ovim situacijama i obicno je kompromitovan ftp password kod nekog korisnika na masini sa koje administrira web sajt (virus pokupi iz TC-a ili sl). Posle toga ide upload neke shell skripte itd ... |
Znaci ako udje kod jednog putem kompromitovanog passa usao je kod svih izvrsenjem shell scripte...znaci da ostalima ne pomaze promena passworda za njihove sajtove?
|
Da, on zakaci php shell skriptu na neki od sajtova, pristupi joj preko browsera i onda pravi stetu.
|
Opet da pitam...postoji li neko resenje da se u ovakvom slucaju zastite ostali nalozi na shared serveru?
|
http://www.suphp.org
Citat:
|
Takodje mozes da probas i Suhosin: http://www.hardened-php.net/suhosin/index.html
|
mod_fcgid takođe
Sve fajlove možeš staviti na chmod 600 i da budu u vlasništvu user-a. Sve će raditi uredno. |
Vreme je GMT +2. Trenutno vreme je 03:03. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.