DevProTalk - Virus na sajtu

DevProTalk

DevProTalk (http://www.devprotalk.com/index.php)

- Web Hosting, web serveri i operativni sistemi (http://www.devprotalk.com/forumdisplay.php?f=11)

- - Virus na sajtu (http://www.devprotalk.com/showthread.php?t=7818)

Gargoyle

29. 08. 2009. 19:01

Virus na sajtu

Na sajtu od jednog klijenta nam se nekako stalno ubacuje neka maliciozna skripta. U pitanju je neki js code koji sadrži svašta i spominje se neki funky-soft.org .... koji se stalno pojavljuje na kraju stranice iznad zatvarajućeg body taga. Ja uploadujem normalne fajlove, posle par dana opet oni overwrite-ovani.

Pre mesec dana sajt je bio najsuvlji html bez baze podataka, znači totalno jednostavni sadržaj, i imali smo taj problem, sada imamo pored toga neki custom cms + mysql i opet isti problem - znači ne mogu da utvrdim neku rupu na našoj strani. Šta bi moglo da bude u pitanju? Menjali smo ftp passworde, isto .... Možda nešto prepravlja fajlove po shared hosting serveru? Da li da gledam log fajlove i šta uopšte da tražim?

zira	29. 08. 2009. 20:13

Neko od ljudi koji pristupaju serveru (FTP vjerovatno) ima zarazen racunar. Neka svi ociste racunare, potom promijenite FTP lozinke i bicete mirni. Koliko znam :)

ivanhoe

29. 08. 2009. 20:45

najverovatnije je ovo sto Zira kaze, ima tih virusa koji pokradu FTP, pa onda uvaljuju iframe-ove u html i php strane

bOkIcA

29. 08. 2009. 21:33

http://pedja.supurovic.net/nece-mene...nci-malo-sutra

Dusan Filiferovic

30. 08. 2009. 10:26

Trazi takodje od admina servera da instalira Clam AV pa skeniraj sajtove i preko njega, meni je pomoglo dosta puta kada google blacklistuje sajt zbog spambotova koji postuju linkove ka phishing sajtovima...

Ivan	30. 08. 2009. 13:06

Koristis Total Commander kao FTP klijent ?

Gargoyle

30. 08. 2009. 13:27

Ne, FileZilla koristim.

Ivan	30. 08. 2009. 15:49

U zadnje vreme je dosta njih zakacilo neki TC virus koji je kupio FTP passworde. U novoj verziji TCa postoji "master password" kojim se enkriptuju svi podaci.

FileZilla ne enkriptuje login podatke vec ih cuva u XML-ovima kao cist text, tako da je moguce da si pokupio neki virus koji je procitao te podatke.

bluesman

30. 08. 2009. 17:53

Gde je ta opcija "master password"? Nisam uspeo da nađem, a pretražio sam i help - nema ništa o tome.

Dusan Filiferovic

30. 08. 2009. 17:55

FZ enkriptuje sifre u xml fajlu...

Ivan	30. 08. 2009. 18:07

@bluesman

TC 7.50 RC1 je verzija, nju si probao ?

@Dusan Filiferovic

U kojoj verziji ? Ja nisam primetio da su sifre enkriptovane ...

mangia

30. 08. 2009. 18:59

kod mene jesu... 2.2.32

bluesman

30. 08. 2009. 21:46

ivane, nisam ni video to, ne gledam obično te RC verzije, imam 7.0.4. Sad ću da skinem pa da probam. Tnx.

Ivan	30. 08. 2009. 23:52

@mangia

Upravo sam skinuo FileZilla 3.2.7.1 i koliko vidim jos uvek nema enkripcije.
Fajl koji ja gledam se nalazi ovde: C:\Documents and Settings\*username*\Application Data\FileZilla\sitemanager.xml

Koliko vidim nema ni opcije da se izabere enkripcija ? Mozes da nas uputis kako da ukljucimo tu opciju ?

@bluesman

Ne gledam ni ja, ali je ova verzija zahvalna ;)

mangia

31. 08. 2009. 00:41

Citat:

Originalno napisao Ivan (Napišite 72832)

@mangia

Upravo sam skinuo FileZilla 3.2.7.1 i koliko vidim jos uvek nema enkripcije.
............

Koristim stariju verziju i po defaultu smjesta sve u XML fajl

C:\Program Files\FileZilla\FileZilla.xml

Evo jedan red iz fajla

<Site Name="test-sajt" Host="test.test.com" Port="21" User="test" Account="" RemoteDir="" LocalDir="" Pass="046044063056" Logontype="1" FWBypass="0" DontSavePass="0" ServerType="0" PasvMode="0" TimeZoneOffset="0" TimeZoneOffsetMinutes="0" Comments="" UTF8="0" DefaultSite="0"/>

Username i password su test a koliko vidim pass je preveden u 046044063056

Ako se ne varam radi se o XOR enkripciji i tako sam nešto i našao na netu.

Kôd:

FileZilla version 2 and FileZilla version 3 use different menthods and formats to store ftp account data. This program can be very useful when you need to migrate your FTP passwords and account data from FileZilla version 2 to version 3 and above.



XOR encryption is used to encode passwords. The same cypher key is always used:

FILEZILLA1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ



The encrypted password is stored in the registry or in the .xml file.

Authors of FileZilla are considering to remove encryption, but for now you have to use decoder to find your FTP account passwords.

Ivan	31. 08. 2009. 00:48

U novoj verziji sifre su bez enkripcije a i ta stara izgleda da nije previse sigurna ...

mangia

31. 08. 2009. 01:34

dokle god je negdje na disku ili zapisana na papiru, lozinka nije sigurna :)...

dovoljno je da ti neko ukrade taj xml fajl i ne mora ni znati lozinke..

Dusan Filiferovic

31. 08. 2009. 10:24

Ja u FZ 2.2.24b (instalirao je ne secam se kada sad je koristim kao portabilnu) imam sve podatke normalno za citanje u xml-u koje mozes da procitas i preko programa ali su sifre samo brojevi u xmlu-u

rakche

23. 09. 2009. 20:04

Citat:

Originalno napisao Gargoyle (Napišite 72793)

Na sajtu od jednog klijenta nam se nekako stalno ubacuje neka maliciozna skripta....

Ne znam da li ce ti ovo pomoci ali ja sam muku resio, Da ne zalazim puno u istoriju problema bicu kratak. Pre mesec dana sam imao taj problem sa iframe virusom ili ne znam ni ja vise sta je bilo u pitanju. U svakom slucaju promenio sam tada Kaspersky AV u koji sam se zaklinjao u Kaspersky IS i odmah sam video da sam pun svega i svacega. Pokusavao sam sve i svasta. Trazio skripte po netu koje uklanjaju taj iframe, na kraju i pisao sam medjutim ludi iframe se vracao. Onda sam uzeo pa lepo ceo sajt prelistao i ubio svaki iframe link. Jurcao sam i neke js fajlove koji su (po mnogima) leglo tog malog "skota". Nakon toga dosao sam do informacije da neki virus (zaboravio sam ime pa mi ne zameri/te) izvlaci user i pass sa ftp klijenta pa sam uporedio koje sajtove sam imao i ukapirao da je to zapravo problem. Izbrisao sam tadasnju verziju SmartFTP, skinuo drugu i neko vreme se nije pojavljivalo. Medjutim opet se vratilo i u krug.

Na kraju sam reinstalirao operativni sistem (u mom slucaju Windows XP), nakon instalacije promenio sifre na svim sajtovima (cak i onim koji nisu bili zarazeni), lupio permisije na vitalne dokumente na hostinzima, poceo da koristim program koji cuva sifre (sa enkripcijom naravno) i problem je iscezao.

Da napomenem da sam namerno ostavio jedan sajt koji je bio u fazi izrade zarazenim da bi posmatrao razvoj malog iframe "stvora". Da bi na kraju utvrdio da je ta promena sifre i reinstaliranje sistema (koji se definitivno ne da ocistiti kada se zarazi gore ne-pomenutim virusom) definitivno pomoglo.

borstale

02. 12. 2009. 21:15

Ljudi, jel reaguje nekome AV kad otvori http://e-stav.rs ?
Meni ne, ali mi je jedan posetilac sajta javio da mu kasperky pišti.

borstale

02. 12. 2009. 21:20

Samo da dodam, često mi stižu poruke na mail (radi se o wordpressu) tipa: A user tried to go to http://www.e-stav.rs/feed/atom/Demons and received a 404 ili http://www.e-stav.rs/feed/atom/Julia%20movie

Ivan	02. 12. 2009. 22:29

AVG ne prijavljuje opasnost. A ko (koji skript i sta je njegova uloga) salje te email poruke ?

borstale

02. 12. 2009. 22:34

Pa ne znam tačno koja scripta, ima valjda wp scriptu za to... evo šta dobijam na mail:
"from E - stav <noreply@http://www.e-stav.rs>
sender-time Sent at 10:25 PM (GMT+01:00). Current time there: 10:30 PM. ✆
to raindog.bor@gmail.com
date Wed, Dec 2, 2009 at 10:25 PM
subject Bad Link To /feed/atom/Julia%20movie

hide details 10:25 PM (5 minutes ago)

A user tried to go to http://www.e-stav.rs/feed/atom/Julia%20movie and received a 404 (page not found) error. It wasn't their fault, so try fixing it.
They came from http://www.devprotalk.com/showthread.php?t=7818&page=3"

lurker

03. 12. 2009. 02:37

Izgleda da ovo "tera" AV da pisti:
<Script> link - http://www.e-stav.rs/wp-content/them...v/js/domtab.js
<Script> link - http://www.e-stav.rs/wp-content/them...s/swfobject.js
<Script> link - http://www.e-stav.rs/wp-content/them...y-1.2.6.min.js
<Script> link - http://www.e-stav.rs/wp-content/them...s/superfish.js
<Script> link - http://www.e-stav.rs/wp-content/them...av/js/slide.js

Proveri na:

http://unmaskparasites.com/security-...%3A//e-stav.rs

inace to sto dobijas na email ne salje wp po "defaultu" nisam siguran za plugine....

borstale

03. 12. 2009. 08:33

E, pa ovome smeta sve što je .js, hebiga. :)
Biće da je ipak problem kod korisnika.

AnonymousCoward

03. 12. 2009. 22:30

Citat:

Originalno napisao Ivan (Napišite 72835)

U novoj verziji sifre su bez enkripcije a i ta stara izgleda da nije previse sigurna ...

A, koja je sigurna?
Pa sve one moraju da imaju key za dekripciju negde na mašini, eh?
Koliko može biti teško naći ih?! Obično ih stave u registry ili u nekom fajlu ... ili je hard-coded.

Ivan	04. 12. 2009. 01:40

Ili ti ukucas svaki put kada treba da otkljucas ...

Livigno

06. 12. 2009. 22:03

Ovaj problem je vrlo cest u poslednje vreme, i ja sam imao slican.Resenje je uplodovati stari fajl preko novog i preispitati gde si "busan".Jer ukoliko je uspeo da ubaci jednom opet ce uspeti.Proveri skripte...takodje vodi racuna da nema ubacenog iframa jer ga je tesko videti.Imas sajt koji se zove nesto unmaskparasite gde cekira svaki link koji mu zadas.

Dusan Filiferovic

08. 12. 2009. 19:02

Google ima alatku koja ti kaze gde je problem u kodu stranice ako je problem iframe, samo sam zaboravio kako se zove a inace ti kaze url tog sajta koji ti pravi problem (phishing)

3banchi

03. 10. 2010. 17:19

Da ne otvaram novu temu...ova je sasvim udobna za sledece:

Na shared hostingu hakovani su gotovo svi sajtovi uglavnom WP i Joomla, na nacin da je prepisan index.php fajl.
Podrska kaze da je haker upao preko jednog sajta pa sredio i sve ostale.
Zanima me da li je verovatnije hakovan server negde na njegovoj administraciji ili root-u ili je ovo sto kazu?
Moze li neko objasniti kako hakovanjem jednog sajta moze da pridje svim ostalim i promeni svima index fajlove?

Ivan	03. 10. 2010. 17:27

Ako server nije pravilno konfigurisan ovo je veoma jednostvano izvesti. Dovoljno je da bilo ko potera neku od poznatih php shell (c99) scripti i to je to ...

Sretao sam se vise puta sa ovim situacijama i obicno je kompromitovan ftp password kod nekog korisnika na masini sa koje administrira web sajt (virus pokupi iz TC-a ili sl). Posle toga ide upload neke shell skripte itd ...

3banchi

03. 10. 2010. 17:35

Znaci ako udje kod jednog putem kompromitovanog passa usao je kod svih izvrsenjem shell scripte...znaci da ostalima ne pomaze promena passworda za njihove sajtove?

Dusan Filiferovic

03. 10. 2010. 20:59

Da, on zakaci php shell skriptu na neki od sajtova, pristupi joj preko browsera i onda pravi stetu.

3banchi

03. 10. 2010. 21:12

Opet da pitam...postoji li neko resenje da se u ovakvom slucaju zastite ostali nalozi na shared serveru?

Nemanja Avramović

03. 10. 2010. 21:31

http://www.suphp.org

Citat:

suPHP is a tool for executing PHP scripts with the permissions of their owners. It consists of an Apache module (mod_suphp) and a setuid root binary (suphp) that is called by the Apache module to change the uid of the process executing the PHP interpreter.

Drugim rečima, služi baš za to da kad jedan sajt bude kompromitovan, ne može da ugrozi druge. Od kad ga imam na serveru nemam problema sa hakovanim sajtovima, a čak i da neki bude hakovan, znam da neće preći na druge sajtove i znam na kom sajtu treba da tražim uzrok hack-a :)

Ivan	03. 10. 2010. 21:47

Takodje mozes da probas i Suhosin: http://www.hardened-php.net/suhosin/index.html

mangia

03. 10. 2010. 22:37

mod_fcgid takođe

Sve fajlove možeš staviti na chmod 600 i da budu u vlasništvu user-a. Sve će raditi uredno.

Vreme je GMT +2. Trenutno vreme je 15:35.

Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.

Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.
Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.