Odpowiedz Odpowiedz

Non-stop zmieniają plik .htaccess. Pomocy!!.

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Szanowne Państwo!!
Bardzo proszę o radę lub o pomoc...
zauważyłem, ze nawet po zmianie hasla do ftp (nie przechowujemy hasel w
ftp manager) w katalogu glownym ciągle ktoś dodaje do pliku ".htacces" przekierowanie na niebezpieczne strony (zawsze różne). Nie wiem skąd to wszystko się bierze. Jak znaleźć te luki? Przeskanowałem komputer lokalny oraz dane znajdujące się na serwerze.

Probowałem zmienić prawa dostępowe do pliku .htaccess - ustawić je na 604. Wielokrotnie zmieniać hasło do FTP oraz do panelu administracyjnego dla sklepu. Zmiana hasła nie stanowi żadnego zabezpieczenia ponieważ przekierowanie na stronę atakującą jest już najwyraźniej zawarte w kodzie strony. Przeanalizowałem logi (nikt nie logował się!):
Jak można wykryć w jaki sposób włamywacz uzyskuje dostęp do zasobów. Jest to sklep inernetowy i firma która mnie go zrobiła za ponad 5k już nie istnieje.
Bardzo proszę o pomoc! Domeny mam na nazwa.pl.Denis Krause edytował(a) ten post dnia 01.12.10 o godzinie 01:54

Link do wypowiedzi

Marcin Huta IT Developer,
Performance Testing,
Administrator
systemów IT

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Skontaktuj się z adminami serwera, Tam gdzie fizycznie są pliki. Możliwe, że dostęp do plików jest nie od twojego FTP tylko od innej strony serwera. Admini platformy web powinni zweryfikować co dokładnie dzieje się z Twoim kontem i plikami.

Link do wypowiedzi

konto usunięte

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Ja obstawiam, że komputer lokalny ma jakiegoś wirusa/worma, który to powoduje.
Znajdź inny komputer (najlepiej ze świeżą instalacją systemu albo w 100% pewny) np. w pracy czy u znajomego (inne domowe prawdopodobnie się nie nadają, może być nowa wirtualna maszyna np.).
Zmień hasło do zasobów ftp z tej bezpiecznej maszyny i sprawdź czy sytuacja się powtarza (nie loguj się z domu !). Jeśli tak problem może być na samym serwerze, wtedy bez pomocy specjalisty raczej nic nie zdziałasz. Najlepiej zasięgnąć języka u administratorów. Można ew. wyłączyć tymczasowo obsługę .htaccess.

Edit:
Faktycznie możliwe jest też, że złośliwy kod jest w kodzie aplikacji, musisz wtedy przegrepować sobie aplikację pod tym kątem, ew. zlecić komuś naprawę tego.Oskar Wyciślak edytował(a) ten post dnia 01.12.10 o godzinie 08:01

Link do wypowiedzi

Mirosław Ratman Manager IT,
Architekt systemów
@Avast, Founder
@aSyncro ...

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Denis Krause:
Szanowne Państwo!!
Bardzo proszę o radę lub o pomoc...
Jest to sklep inernetowy i firma która mnie go zrobiła za ponad 5k już nie istnieje.

Czy jest to sklep internetowy który został oparty o jakiś standardowy engine (osCommerce, itp)? Jesli tak to na 99% ktos wykorzystał lukę w kodzie takiego systemu i nadpisał/dopisał fragment kodu, który po wywołaniu strony (lub konkretnego modułu) nadpisuje pliki (tu htaccess).

Przedewszystkim - zablokować strone!

Rozwiązań jest kilka (niektóre wymagają pewnej wiedzy z zakresu programowania czy administracji):
- przeszukać kod strony pod kątem dziwnie wyglądającego ciągu znaków w plikach strony - mozolne.
- sprawdzić z jakimi uprawnieniami wykonywane są skrypty sklepu (user,admin,root) i ustawić tak aby były wykonywane z uprawnieniami usera a plik htaccess z uprawnieniami admina. Nie dawać roota - może sie źle skończyć. Zmienić prawa zapisu do pliku htaccess - na brak zapisu (ale jako admin)
- takie rozwiązanie chwilowo "naprawi" strone ale konieczny jest powrót do pkt 1 i poszukanie przyczyny w kodzie strony.

Najczęściej złośliwy kod dopisywany jest do plików:
- index.html
- index.php
- index.htm
- config.php
- configuration.php
- login.php
- logout.php
- login.html
- login.htm

krótko mówiąc tych najbardziej popularnych.

- po znalezieniu/usunięciu problemu koniecznie wykonać upgrade systemu!Mirosław R. edytował(a) ten post dnia 01.12.10 o godzinie 08:32

Link do wypowiedzi

konto usunięte

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Jak nadal masz ten problem, napisz do mnie PW, postaram się pomóc

Link do wypowiedzi

konto usunięte

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Prawdopodobne jest również umieszczenie przez agresora PHP Shell na serwerze.

Link do wypowiedzi

Marcin Potocki CEO | Founder

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Dołączę swoje 5 groszy na temat tego problemu, mamy na serwerze kilka stronek ok 6 ciu stronek jest na silnikach open source, reszta sam html od miesiąca walczymy z tym problem srednio raz na dzień ten syf nadpisuje nam prawie wszystkie pliki htacces w katalogach przez co następują przekierowania do stron w większości z końcówką .Ru na 90% wykluczyliśmy że wirus wchodzi przez konta ftp żadnego zapisanego hasła zmieniane, silne hasła codziennie, zmiana możliwości nadpisania plików htacces tylko do odczytu nic nie dała wirus pozmieniał prawa do pliku, zgłosiłem się do admina serwera aby on na stałe zablokował pliki htaccess nic to nie pomogło;/ znowu pliki zostały nadpisane, jeżeli by ktoś dysponował czasem i chęciami aby pomóc to jestem w stanie za to zapłacić.. liczę na pomoc

Link do wypowiedzi

Adam Pawliczek Usability expert, UX
designer,
Interaction
specialist

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Sprawdzić w googlu dziury w danych wersjach gotowego oprogramowania, od phpmyadmina po wszelkie skrypty. No i wynająć programistę który przeglądnie stronę i może znajdzie dziurę - kogoś z doświadczeniem w testowaniu.

Link do wypowiedzi

konto usunięte

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

W 99% wypadkow wystarczy strzalić paroma grepami po katalogu żeby znaleźć problem, zakłądając że to nie jakiś wirus których jest masa na miłościwie nam panującym Windowsie ;)

Link do wypowiedzi

Michał Jastrzębski Django-fu, phpjutsu,
sql-do

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Wiem, że to nie jest rozwiązanie problemu, ale może pomóc. Spróbujcie może dodać do crona albo phpa kawałek skryptu, który co chwilę będzie sprawdzał sumę kontrolną dobrego htaccess. Jeśli suma będzie zła to nadpisze dobrym. Taki wirus na wirusa. Przynajmniej póki nie znajdziecie prawdziwego wirusa.

Link do wypowiedzi

« Wróć do tematów

Odpowiedz

Podobne tematy

PHP » Poszukuje pomocy -
PHP » Plik CSV czy baza danych -
PHP » .htaccess problem -
PHP » Mod_rewrite, .htaccess, struktura strony... -
PHP » znak & w adresie URL HTACCESS -
PHP » Jak załadować plik znając tylko ścieżkę -
PHP » blokada ruchu w .htaccess -
PHP » .htaccess i historia -
PHP » htaccess -
PHP » .htaccess przekierowanie stron starego sklepu -

Następna dyskusja:

PHP

Czy na pewno chcesz zrezygnować z tej grupy?

Zgłoś nieprawidłowości w wypowiedzi

Non-stop zmieniają plik .htaccess. Pomocy!!.

Non-stop zmieniają plik .htaccess. Pomocy!!.

Blokowanie użytkownika

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Temat: Non-stop zmieniają plik .htaccess. Pomocy!!.

Podobne tematy

PHP » Poszukuje pomocy -

PHP » Plik CSV czy baza danych -

PHP » .htaccess problem -

PHP » Mod_rewrite, .htaccess, struktura strony... -

PHP » znak & w adresie URL HTACCESS -

PHP » Jak załadować plik znając tylko ścieżkę -

PHP » blokada ruchu w .htaccess -

PHP » .htaccess i historia -

PHP » htaccess -

PHP » .htaccess przekierowanie stron starego sklepu -

Poszukuje pomocy

Mechanizm obsługi modułów / pluginów...

Jaka biblioteka do PDF

Oferty pracy