Gumblar - wirus serwerowy Opcje

[AboutMe]

Ktoś miał do czynienia z tym wirusem? Dodaje on do plików zawierających nazwę index, db, config kod php, natomiast do plików html (wszystkich) dodaje kod javascript. Ja niedawno musiałem usuwać to gówno m.in. z forum phpBB2. Mam nadzieję że mnie znowu nie zaatakuje, zmieniłem hasło. Podejrzewam 2 drogi włamania: luki w phpBB2 lub przez klienta ftp (total commander) - błąd że zapisywałem hasło w programie.

Z tego co widzę to takich wirusów jest masa, widzę że to forum też zaatakował podobny więc skrypt invisionboard nie jest bezpieczniejszy. Trzeba będzie chyba postawić coś autorskiego.

[sowiq]

Właśnie dzisiaj walczę z tym. To nie wina skryptu czy serwera, tylko zapisywania haseł w klientach FTP.

Nawet jeśli podmienisz pliki na swoje, to w większości katalogów o nazwie images tworzone są pliki image.php, które są furtką do wykonywania dowolnego kodu PHP. Dlatego nie wystarczy tylko zmiana hasła do serwera i podmiana plików. Najlepiej wyrzucić wszystko z serwera i skopiować 'czyste' pliki.

Co ciekawe - jeżeli używasz Smarty, robot podczas wejścia na FTP zmienia prawa do katalogu $compile_dir i plików podrzędnych na 755. Dzięki temu nawet upload nowej templatki nic nie daje, bo wczytywane są stare, skompilowane już pliki.

Do tego oczywiście zainfekowane wszystkie pliki .js, większość PHP i HTML.

Muszę przyznać, że jestem pod wrażeniem pomysłowości programisty.

Ten post edytował sowiq 13.05.2009, 15:12:10