Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
Reply to this topicStart new topic
> zainfekowana strona, wiele folderów i plików
Vasquez21
post 19.05.2019, 18:45:02
Post #1





Grupa: Zarejestrowani
Postów: 212
Pomógł: 0
Dołączył: 2.11.2004
Skąd: Jaworzno

Ostrzeżenie: (0%)
-----


Witam,

Mam od kilku dni problem.
Moja stronka (własna, nie jest postawiona na żadnym CMSie) została zainfekowana i w jakiś sposób tworzone jest na niej mnóstwo folderów z podfolderami i plikami w losowych nazwach.

Zastanawiałem się w czym szukać przyczyny i gdzie może być ewentualna dziura w kodzie...
Hasło do FTP zmieniałem już kilkukrotnie i nic nie chce pomóc.

Byłbym wdzięczny za jakąś sugestię na co zwrócić szczególną uwagę.

Go to the top of the page
+Quote Post
gitbejbe
post 20.05.2019, 04:45:46
Post #2





Grupa: Zarejestrowani
Postów: 458
Pomógł: 49
Dołączył: 27.08.2012

Ostrzeżenie: (0%)
-----


Cytat
Zastanawiałem się w czym szukać przyczyny i gdzie może być ewentualna dziura w kodzie...


jeśli znałbym odpowiedź na to pytanie, dzisiaj byłbym cholernie bogaty. Skoro Ty nie wiesz znając swój kod, to kto ma niby wiedzieć ? ;p Zacznij od logów, szukaj dziwnych wpisów - zwłaszcza takich co powtarzają się cyklicznie. sprawdź czy nie masz podejrzanych procesów (z miejsca kill), cronjobow... musisz przeszukać wszystkie foldery i usunąć każdy złośliwy plik (zwróć uwagę na ukryte), nie zapomnij o folderze tmp. Najlepiej to w ogóle zrób kwarantanne, zablokuj dostępy i sprawdzaj wszystko po kolei. Po tych pierwszych najprostszych czynnościach, pozostaje Ci sprawdzenie kodu i jego luk, przez które zdalnie ktoś Ci może tworzyć ten syf. Sporo pracy przed Tobą, tak się właśnie może kończyć pisanie formularzy na odpierdziel, zapytania do bazy beż żadnej walidacji (poczytaj np o eskalacji uprawnień, gość potrafi Ci przez bazę przejąć całą kontrole nad serwerem, tak więc musisz jeszcze posprawdzać użytkowników baz jak i samego systemu, wszędzie pozmieniać hasła). Jesteś trochę w d*** : )

Cytat
Moja stronka (własna, nie jest postawiona na żadnym CMSie)


nie ma to znaczenia czy to cms czy nie, chociaż dla cms'a łatwiej i szybciej byłoby Ci wykonać działania, zazwyczaj wystarczy wszystko zaktualizować i usunąć syf z folderów.

Ten post edytował gitbejbe 20.05.2019, 04:46:35
Go to the top of the page
+Quote Post
Tomplus
post 20.05.2019, 06:17:29
Post #3





Grupa: Zarejestrowani
Postów: 1 396
Pomógł: 166
Dołączył: 20.03.2005
Skąd: Będzin

Ostrzeżenie: (0%)
-----


1. masz czysty backup?
Jak nie to lipa, wtedy mógłbyś sprawdzić 1:1 co się w plikach zmieniło. Chodzi czy nie masz dodanego kodu który się wykonuje.

2. Tak jak powiedział przedmówca... LOGI

3. Przedstaw może informację o tym co to za serwer, czy zwykły hosting.
Go to the top of the page
+Quote Post
viking
post 20.05.2019, 06:40:13
Post #4





Grupa: Zarejestrowani
Postów: 5 228
Pomógł: 876
Dołączył: 30.08.2006

Ostrzeżenie: (0%)
-----


Bardzo często zainfekowanie to wina komputera twojego z którego się łączysz a niekoniecznie serwera docelowego.


--------------------
Go to the top of the page
+Quote Post

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Wersja Lo-Fi Aktualny czas: 24.06.2019 - 21:29