GoldenLine
Zaloguj się
Michał Stanowski

Michał Stanowski magik od php i
wordpress

Temat: Jakiś dziwny złodziej lub inny szkodnik

Piotr Likus:
Zadziwiające są niektóre odpowiedzi w tym wątku :)
Cache, total commander, zmiana haseł, chmod...


Chyba napisałem w miarę na początku:

" Generalnie prosta sprawa gdy skrypt jest wadliwy (tym bardziej gdy używa się jakiś ogólnie dostępnych narzędzi).".

I podejrzewam że właśnie autor używa jakiegoś znanego skryptu forum czy CMS (bo tym co kolega wyżej odszyfrował to chyba jednak o forum chodzi [nazwa cookie]) i odpowiedni skrypt/virus krąży i skanuje w poszukiwaniu for które potem infekuje i rozsiewa się dalej.
Link do wypowiedziLink

konto usunięte

Temat: Jakiś dziwny złodziej lub inny szkodnik

Piotr Likus:
Zadziwiające są niektóre odpowiedzi w tym wątku :)
Cache, total commander, zmiana haseł, chmod...
moze nie czytales wszystkich?
Zabrakło tylko "przeinstaluj windows, może pomoże" :)
na pewno nie czytales.
sorry, ale to wszystko nie tak...
taaa?
a jaka Ty rade dales? :)
zrobic backup, naprawic skrypt.
tyle umie byle debil. a za tydzien ma kolejna wklejke do index.php.
Dlaczego wydaje mi się że wiem co mówię?
13560 ataków na jeden z moich serwisów do dnia dzisiejszego.
chwalipieta! ;-)
Link do wypowiedziLink

konto usunięte

Temat: Jakiś dziwny złodziej lub inny szkodnik

Wojciech Zbigniew Piotrowicz:
Piotr Likus:
Zadziwiające są niektóre odpowiedzi w tym wątku :)
Cache, total commander, zmiana haseł, chmod...
moze nie czytales wszystkich?
Zabrakło tylko "przeinstaluj windows, może pomoże" :)
na pewno nie czytales.

Nie mów że ktoś tak napisał... lol.
Nie, nie czytałem wszystkich.
I napisałem że chodzi tylko o niektóre wypowiedzi.

@Michał Stanowski: zgadza się, popularne skrypty są najczęstszym celem. Tylko że chyba nie ma skryptów bez wad...
Są tylko takie, które mają ich więcej lub mniej ukrytych.
Link do wypowiedziLink
Waldemar Jonik

Waldemar Jonik właściciel,
webmaster,
programista, JW Web
Development

Temat: Jakiś dziwny złodziej lub inny szkodnik

Może na jakieś wybrane przypadki to zadziała.
Ale 99% włamów na sieci generowanych jest przez -sieciowe- skrypty atakujące z losowo wybranego hosta.

wiekszosc tego typu wlaman to jedno beposrednie logowanie sie automatu na ftp - nawet otrzymywalem logi od klientow majacych serwery na home.pl gdzie bylo widac ze cos sie zalogowalo na ftp i robilo update plikow index.php.

wlamania tego typu dotycza tez stron bez cms i tych opartych na autorskich cms. jedno z wlaman bylo nawwt na pusty hosting - autumat wrzucil tam swoj plik index.php i nie bylo tam nic wiecej. praktycznie za kazdym, przypadkiem znalazlem u klienta kogos kto mial jakies trojany na kompie laczacym sie z ftp.

zmian hasla ftp i usuniecie wirusow /trojanow z komputera laczacego sei z ftp pomoglo za kazdym razem.
Link do wypowiedziLink
Marcin Ziemian

Marcin Ziemian Administrator
systemów, Raton
Systemy
Informatyczne

Temat: Jakiś dziwny złodziej lub inny szkodnik

Jakub Korupczyński:
A może jakieś sql injection czy coś? Co np łazi po stronach i próbuje się wkleić gdzie się da ?
Jakie SQL Injection? Co to ma do wklejenia obcego kodu do kodu PHP? Jeśli już, to PHP injection ;) To, że coś się komuś wkleja w kod, to tylko złe zabezpieczenia plików serwera www i koniec. Ten kod nie ma nic do SQL-a.
Pliki typu index.php nie są w żaden sposób generowane przez skrypty oparte o bazę danych. Działa to odwrotnie - to index.php generuje wynik html-owy dla przeglądarki ;)
Pozdro :)
Link do wypowiedziLink

konto usunięte

Temat: Jakiś dziwny złodziej lub inny szkodnik

Domena jest na tej: http://www.malwaredomainlist.com/hostslist/hosts.txt i kilku innych listach.
Link do wypowiedziLink

konto usunięte

Temat: Jakiś dziwny złodziej lub inny szkodnik

Waldemar Jonik:
wlamania tego typu dotycza tez stron bez cms i tych opartych na autorskich cms.

dokladnie tak.

a zawodzi po prostu czynnik ludzki.
Link do wypowiedziLink

konto usunięte

Temat: Jakiś dziwny złodziej lub inny szkodnik

Waldemar Jonik:
Może na jakieś wybrane przypadki to zadziała.
Ale 99% włamów na sieci generowanych jest przez -sieciowe- skrypty atakujące z losowo wybranego hosta.

zmian hasla ftp i usuniecie wirusow /trojanow z komputera laczacego sei z ftp pomoglo za kazdym razem.

No widzisz, ja akurat włamów przez FTP-a nie miałem. Ale pewnie we wszystkim można znaleźć dziurę.

CHMOD, zmiana hasła wydaje się dobrym rozwiązaniem, ale nie gdy masz już włam. Wtedy prawdopodobnie masz już coś zainstalowane na hoście. I trzeba przeanalizować gdzie to jest zanim się cokolwiek dalej z tym zrobi. Bo doklejka w stronie znikąd się nie pojawiła.
Link do wypowiedziLink
Waldemar Jonik

Waldemar Jonik właściciel,
webmaster,
programista, JW Web
Development

Temat: Jakiś dziwny złodziej lub inny szkodnik

CHMOD, zmiana hasła wydaje się dobrym rozwiązaniem, ale nie gdy masz już włam. Wtedy prawdopodobnie masz już coś zainstalowane na hoście. I trzeba przeanalizować gdzie to jest zanim się cokolwiek dalej z tym zrobi. Bo doklejka w stronie znikąd się nie pojawiła.


jedyne co sie instaluje to ten kod, to automat dokleja na koniec plikow index.php inne pliki php nawet nie sa ruszone bo sam kod www czy baza danych nie ma znaczenia dla tego robaka. atakujacy automat interesuja klienci odwiedzajcy www i mozliwosc zarazenia ich trojanami wykradajacymi hasla czy wirusami. jak ktos ma dostep do logow ftp to moze zobaczc ze w ciagu kilkudziesieciu sekund nastapilo - zalogowanie na ftp z nieznanego IP, skopiowanie pliku index.php , wgranie pliku ftp na nowo.

wiadomo ze trzeba przywrocic kopie plikow ale tak nic innego tam mnie ma. u mnie od razu program antiwirusowy odzywa sie gdy widzi taki kod w tresci www, nawet tu na goldenline mam problem z czytaniem tego tematu bo antywirus rozpoznaje niebezpieczny kod w tresci postow.

2 razy spotkalem sie z tym ze w podobny sposob zostal zaatakowany caly serwer ftp a nie tylko pojedynyczy hosting na serwerze wspoldzielonym ale wtedy inaczej to wygladalo bo wiazalo sie to tez ze zmiana wygladu www, np wywieszeniem tureckiej flagi zamiast tresci www.

wlamanie opisane w tym watku zwykle nie pozostawia widocznych sladow, jesli ktos nie ma antywirusa albo nie zagada w kod www to moze wogole tego nie zauwazyc.
Link do wypowiedziLink

konto usunięte

Temat: Jakiś dziwny złodziej lub inny szkodnik

Waldemar Jonik:
CHMOD, zmiana hasła wydaje się dobrym rozwiązaniem, ale nie gdy masz już włam. Wtedy prawdopodobnie masz już coś zainstalowane na hoście. I trzeba przeanalizować gdzie to jest zanim się cokolwiek dalej z tym zrobi. Bo doklejka w stronie znikąd się nie pojawiła.


jedyne co sie instaluje to ten kod, to automat dokleja na koniec plikow index.php inne pliki php nawet nie sa ruszone bo sam kod www czy baza danych nie ma znaczenia dla tego robaka. atakujacy automat interesuja (ciach)

Tego akurat w tym przypadku nie wiesz.
U mnie oprócz takiej doklejki znalazłem np. bramkę do rozsyłania maili i wolnodostępnego shella. I włam nie miał nic wspólnego z FTP. I też był to tzw. defacement.

...i oczywiście bramka nie leżała w index.php...Piotr Likus edytował(a) ten post dnia 07.10.08 o godzinie 11:38
Link do wypowiedziLink
Waldemar Jonik

Waldemar Jonik właściciel,
webmaster,
programista, JW Web
Development

Temat: Jakiś dziwny złodziej lub inny szkodnik

Tego akurat w tym przypadku nie wiesz.
U mnie oprócz takiej doklejki znalazłem np. bramkę do rozsyłania maili i wolnodostępnego shella. I włam nie miał nic wspólnego z FTP. I też był to tzw. defacement.


wiadomo ze moze byc cos innego rowniez ale te wlamy najczesciej tak wygladaj ze tylko podmiana index.php tylko w przypadku wlamania na caly serwer widzialem jeszcze cos dorzucone. oczywiscie nie zaszkodzi sprwdzic czy cos jeszcze siedzi na www.
Link do wypowiedziLink

konto usunięte

Temat: Jakiś dziwny złodziej lub inny szkodnik

Piotr Likus:
Waldemar Jonik:
CHMOD, zmiana hasła wydaje się dobrym rozwiązaniem, ale nie gdy masz już włam. Wtedy prawdopodobnie masz już coś zainstalowane na hoście. I trzeba przeanalizować gdzie to jest zanim się cokolwiek dalej z tym zrobi. Bo doklejka w stronie znikąd się nie pojawiła.


jedyne co sie instaluje to ten kod, to automat dokleja na koniec plikow index.php inne pliki php nawet nie sa ruszone bo sam kod www czy baza danych nie ma znaczenia dla tego robaka. atakujacy automat interesuja (ciach)

Tego akurat w tym przypadku nie wiesz.
U mnie oprócz takiej doklejki znalazłem np. bramkę do rozsyłania maili i wolnodostępnego shella. I włam nie miał nic wspólnego z FTP. I też był to tzw. defacement.

...i oczywiście bramka nie leżała w index.php...Piotr Likus edytował(a) ten post dnia 07.10.08 o godzinie 11:38

tez tak niedawno miałem na swoim serwerze... doklejało mi jakieś cuda do index.php, dodatkowo jakieś inne śmieci do pliku header.php w katalogu ze skórka do WP... pomogło usunięcie wszystkiego i zmiana hasła FTP...
Link do wypowiedziLink

konto usunięte

Temat: Jakiś dziwny złodziej lub inny szkodnik

Piotr Lewandowski:
tez tak niedawno miałem na swoim serwerze... doklejało mi jakieś cuda do index.php, dodatkowo jakieś inne śmieci do pliku header.php w katalogu ze skórka do WP... pomogło usunięcie wszystkiego i zmiana hasła FTP...

Z "ich" strony to taka walka partyzancka. Naprawiłeś sprawę, ale być może nadal masz dziurę w skrypcie, którą sobie kiedyś tam wykorzystają. Mam wrażenie, że atakują losowe strony w sieci. Jak przejechałeś walcem po stronie to już raczej nie dojdziesz, chyba, że wystarczą logi.
Link do wypowiedziLink
Waldemar Jonik

Waldemar Jonik właściciel,
webmaster,
programista, JW Web
Development

Temat: Jakiś dziwny złodziej lub inny szkodnik

kiedyś tam wykorzystają. Mam wrażenie, że atakują losowe strony w sieci. Jak przejechałeś walcem po stronie to już raczej nie dojdziesz, chyba, że wystarczą logi.


to nie musi byc robione losowo, wystarczy jeden trojan na kompie
http://hack.pl/aktualnosci/nowe_narzedzie_dla_cyberprz...

komputerow z trojanami sa miliony
wystarczy poczytac jakie to ilosci:
http://www.pctips.pl/news/156383/100.htmlWaldemar Jonik edytował(a) ten post dnia 07.10.08 o godzinie 12:56
Link do wypowiedziLink

konto usunięte

Temat: Jakiś dziwny złodziej lub inny szkodnik

http://hacking.pl/pl/news-15030-Odnaleziono_serwer_cyb...
Link do wypowiedziLink

konto usunięte

Temat: Jakiś dziwny złodziej lub inny szkodnik

Waldemar Jonik:
kiedyś tam wykorzystają. Mam wrażenie, że atakują losowe strony w sieci. Jak przejechałeś walcem po stronie to już raczej nie dojdziesz, chyba, że wystarczą logi.


to nie musi byc robione losowo, wystarczy jeden trojan na kompie
http://hack.pl/aktualnosci/nowe_narzedzie_dla_cyberprz...

Albo dziurawy jak ser phpBB lub też Wordpress...
Link do wypowiedziLink
Jakub Korupczyński

Jakub Korupczyński Software Developer

Temat: Jakiś dziwny złodziej lub inny szkodnik

Marcin Ziemian:
Jakub Korupczyński:
A może jakieś sql injection czy coś? Co np łazi po stronach i próbuje się wkleić gdzie się da ?
Jakie SQL Injection? Co to ma do wklejenia obcego kodu do kodu PHP? Jeśli już, to PHP injection ;)

Oj o to mi właśnie chodziło :) Ważne że injection :)
Człowiek się nie może nawet spokojnie piwa wieczorem napić, bo jak coś napisze na forum nie do końca jak trzeba to się zaraz przyczepią pff :)Jakub Korupczyński edytował(a) ten post dnia 07.10.08 o godzinie 15:19
Link do wypowiedziLink
Jarosław Rafa

Jarosław Rafa senior software
engineer, Motorola
Solutions Systems
Polska

Temat: Jakiś dziwny złodziej lub inny szkodnik

Grzegorz Miśkiewicz:
Witajcie, mam dość ciekawy problem. Na jednej ze stron mojego klienta co jakiś czas pojawia się w index.php taki kod:
[...]

Miałem podobny przypadek, tylko że było to na stronie opartej na Wordpressie i "coś" doklejało co jakiś czas podobny kod do różnych wpisów na stronie. Okazało się, że nawet w logach edycji Wordpressa było to zarejestrowane, ze "coś" się logowało na konto admina i modyfikowało wpisy. Pomogła zwykła zmiana hasła na admina - gdzieś to hasło musiało "wyciec" (ja na tej stronie mam własne konto z uprawnieniami administratora, z konta "admin" korzysta inna osoba).
Prawdopodobnie masz podobny przypadek, tylko na innym poziomie - gdzieś "wyciekło" hasło do konta, z którego jest dostep do strony i jakiś robal co jakiś czas się tam loguje np. przez ftp i podmienia pliki. Moze nawet znajdziesz go w logu serwera ;)
Link do wypowiedziLink
Grzegorz M.

Grzegorz M. www.avatec.pl

Temat: Jakiś dziwny złodziej lub inny szkodnik

Michał Stanowski:
Piotr Likus:
Zadziwiające są niektóre odpowiedzi w tym wątku :)
Cache, total commander, zmiana haseł, chmod...


Chyba napisałem w miarę na początku:

" Generalnie prosta sprawa gdy skrypt jest wadliwy (tym bardziej gdy używa się jakiś ogólnie dostępnych narzędzi).".

I podejrzewam że właśnie autor używa jakiegoś znanego skryptu forum czy CMS (bo tym co kolega wyżej odszyfrował to chyba jednak o forum chodzi [nazwa cookie]) i odpowiedni skrypt/virus krąży i skanuje w poszukiwaniu for które potem infekuje i rozsiewa się dalej.

Witaj,

Oprogramowanie nie jest ogólnie dostępnym narzędziem, tylko moim własnym pisanym od podstaw. Sprawa na chwilę obecną rozwiązana poprzez zmiane hasła, na chwilę obecną nic się nie dodaje. Musiało to być poprzez jakiegoś robaczka, który się komuś do kompa wkradł, a hasło do serwa dowiedziałęm się ma pełno osbób, nawet takie co niezbyt się znają - dzięki czemu zainfekować sobie komputer w łatwy sposób idzie.

Pozdrawiam i dzięki za wyczerpującą wręcz dyskusje w tej sprawie.

Aby nie tworzyć nowego wątku, tutaj zadam jeszcze jedno pytanie związane z mysql injection. Zastanawiam się, czy w przypadku zapytania:

SELECT * FROM data WHERE status=1 AND id='".$_GET['id']."' ORDER BY id DESC

ktoś może zmienną $_GET['id'] przesłać mi jakieś świństwo, i wyciągnąć dane ?? Bo próbowałem na wszelkie sposoby coś zdziałać, ale nie wyszło mi, jednak osobiście nie jestem szpecem od łamania kodów - zastanawia mnie to :-)

Na wszelki wypadek pododawałem przy takich akcjach sprawdzanie, czy $_GET['id'] jest numerem, jeżeli tak, to wstawiaj.
Link do wypowiedziLink
Michał Stanowski

Michał Stanowski magik od php i
wordpress

Temat: Jakiś dziwny złodziej lub inny szkodnik

SELECT * FROM data WHERE status=1 AND id='".$_GET['id']."' ORDER BY id DESC

$_GET['id'] = "1' OR 1=1;--";

i już masz SQL Injection.

Ale skoro piszesz, że sprawdzasz czy wartość jest liczbą... to nie powinieneś mieć problemów.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Szukamy programisty php - p...




Wyślij zaproszenie do
Anuluj