Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Closed TopicStart new topic
> Gumblar - wirus serwerowy
AboutMe
post
Post #1





Grupa: Zarejestrowani
Postów: 261
Pomógł: 0
Dołączył: 24.02.2008

Ostrzeżenie: (0%)
-----

Ktoś miał do czynienia z tym wirusem? Dodaje on do plików zawierających nazwę index, db, config kod php, natomiast do plików html (wszystkich) dodaje kod javascript. Ja niedawno musiałem usuwać to gówno m.in. z forum phpBB2. Mam nadzieję że mnie znowu nie zaatakuje, zmieniłem hasło. Podejrzewam 2 drogi włamania: luki w phpBB2 lub przez klienta ftp (total commander) - błąd że zapisywałem hasło w programie.

Z tego co widzę to takich wirusów jest masa, widzę że to forum też zaatakował podobny więc skrypt invisionboard nie jest bezpieczniejszy. Trzeba będzie chyba postawić coś autorskiego.
Go to the top of the page
+Quote Post
l0ud
post
Post #2





Grupa: Zarejestrowani
Postów: 1 387
Pomógł: 273
Dołączył: 18.02.2008

Ostrzeżenie: (0%)
-----

Autorski skrypt też nie będzie bezpieczny, jeżeli Twój komputer taki nie jest - a najwidoczniej masz wirusa.
Go to the top of the page
+Quote Post
sowiq
post
Post #3





Grupa: Zarejestrowani
Postów: 1 890
Pomógł: 339
Dołączył: 14.12.2006
Skąd: Warszawa

Ostrzeżenie: (0%)
-----

Właśnie dzisiaj walczę z tym. To nie wina skryptu czy serwera, tylko zapisywania haseł w klientach FTP.

Nawet jeśli podmienisz pliki na swoje, to w większości katalogów o nazwie images tworzone są pliki image.php, które są furtką do wykonywania dowolnego kodu PHP. Dlatego nie wystarczy tylko zmiana hasła do serwera i podmiana plików. Najlepiej wyrzucić wszystko z serwera i skopiować 'czyste' pliki.

Co ciekawe - jeżeli używasz Smarty, robot podczas wejścia na FTP zmienia prawa do katalogu $compile_dir i plików podrzędnych na 755. Dzięki temu nawet upload nowej templatki nic nie daje, bo wczytywane są stare, skompilowane już pliki.

Do tego oczywiście zainfekowane wszystkie pliki .js, większość PHP i HTML.

Muszę przyznać, że jestem pod wrażeniem pomysłowości programisty.

Ten post edytował sowiq 13.05.2009, 15:12:10
Go to the top of the page
+Quote Post
AboutMe
post
Post #4





Grupa: Zarejestrowani
Postów: 261
Pomógł: 0
Dołączył: 24.02.2008

Ostrzeżenie: (0%)
-----

A no tak, image.php wywaliłem też, pliki .js też wyszyściłem, puki co w źródle strony nie ma już żadnych podejrzanych kodów więc serwer jest chyba czysty.

Najlepiej patrzeć na datę ost. modyfikacji pliku, jak był ost. modyfikowany to na 100% jest zainfekowany.

Więcej http://blog.unmaskparasites.com/2009/05/07...njected-script/

Ten post edytował AboutMe 13.05.2009, 15:22:31
Go to the top of the page
+Quote Post
batman
post
Post #5





Grupa: Moderatorzy
Postów: 2 921
Pomógł: 269
Dołączył: 11.08.2005
Skąd: 127.0.0.1
Zacznijcie w końcu używać wyszukiwarki. Tematów o wirusach jest cała masa.
Zamykam.
Go to the top of the page
+Quote Post
« Następny starszy · Hydepark · Następny nowszy »
 

Closed TopicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 7.10.2025 - 15:58
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn