Duży problem z phishingiem Opcje

[erbosss]

Witam,

Od kilku dni mam duże problemy z phishingiem. Wygląda to tak jakby ktoś włamywał się na moje konto hostingowe (myślę, że raczej chodzi tu o roboty) i kopiuje na nie w różnych folderach pliki index.php z fałszywymi stronami banku axisbank. Kilka razy miałem już zawieszone konto przez hostingodawcę, w końcu wypowiedzieli mi umowę. Zakupiłem amerykański serwer, ale sytuacja znowu się powtarza.

Co jakiś czas mogę tylko sobie poczytać mniej więcej to w logach:

213.255.255.236 - - [07/Jun/2008:01:21:55 -0500] "POST /img/index.php?bank=www.axisbank.com/BankAway/dJSESSION2973743u383h3bjhffufDHJUGHSbwayparam=dabCcRhcJfLjtYCXCZuARrnhMYei0G7D&type=personal&stge=3&id=fyjdL1LXSFkUnut HTTP/1.1" 200 2769 "http://www.----------.pl/img/index.php?bank=www.axisbank.com/BankAway/dJSESSION2973743u383h3bjhffufDHJUGHSbwayparam=dabCcRhcJfLjtYCXCZuARrnhMYei0G7D&type=personal&stge=2&id=fyjdL1LXSFkUnut" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"


Mam następujące pytanie: czy jest możliwość takiego zablokowania serwera, żeby nie można było na niego wrzucać żadnych nowych plików "index.php"? Albo może coś takiego, dzięki czemu jakby "banowane" byłyby pliki z danym wyrażeniem w środku - w moim przypadku axisbank?

Proszę o pomoc!

[ShadowD]

Po prostu w panelu zbanuj ip "213.255.255.236" wtedy ten "Bot" nie wejdzie ani na ftp ani do panelu...

Ps Poczytaj TU twój "Bot" to taki spamer... ;p

Ten post edytował ShadowD 11.06.2008, 21:53:55

[erbosss]

Nie ma tak dobrze - adresy IP się niestety zmieniają z każdą próbą włamania :/

[ShadowD]

To jest nie możliwe, spróbuj zbanować wszystkie które są na tej liście.

Możesz napisać skrypt który np co 1 godz będzie sprawdzał cały server i usuwał te pliki jednak to głupie rozwiązanie...

Zadzwoń do Hostingu oni Ci na pewno pomogą w logiczny sposób...

Ps Może to taki typ reklamy Hostingu??

Ten post edytował ShadowD 11.06.2008, 22:02:17

[erbosss]

Chce sie zabezpieczyc tak żeby po kliknięciu tego linku index.php?$#5345345..... nigdy nie dało sie wejsc na tą strone (nie interresowalbym sie wtedy ze ten plik tam jest lub nie - na razie chcę się zabezpieczyć przynajmniej tak połowicznie, żeby znowu nie zablokowali mi serwera :/) Czy mozna to jakoś zalatwic htaccessem?

Aha, a przykładowe IPki to:
59.92.49.115
213.255.255.236
59.182.97.42
122.168.14.238
61.16.250.30
a jest tego wiecej. Wiec jak widać są różne.

Ten post edytował erbosss 11.06.2008, 22:22:23

[ShadowD]

Jasne tworzysz regułę jeśli to jest w różnych katalogach:

[PHP] pobierz, plaintext 
<?php
RewriteEngine On
RewriteRule ^.*index.php?$#5345345$ blad.php
?>
[PHP] pobierz, plaintext 

Tylko w głównym:

[PHP] pobierz, plaintext 
<?php
RewriteEngine On
RewriteRule ^index.php?$#5345345$ blad.php
?>
[PHP] pobierz, plaintext 

I wszystko będzie OK...

Ten post edytował ShadowD 11.06.2008, 22:32:00

[erbosss]

Mam 500 internal. w moim htacces jest jescze modrevrite. Podany kod wstawic nad RewriteEngine on?

index.php?$#5345345 - to tylko kawalek linka, te parametry sie zmeiniaja, czasami z logow wynika ze wchodza na taki link: index.php?bank=www.axisbank.com/BankAway/dJSESSION2973743u383h3bjhffufDHJUGHSbwayparam=dabCcRhcJfLjtYCX CZuARrnhMYei0G7D&type=personal&stge=3&id=fyjdL1LXSFkUnut

wiec to co teraz napisałes nie wystarczy :/

Ten post edytował erbosss 11.06.2008, 22:31:47

[ShadowD]

Napisz:

[PHP] pobierz, plaintext 
<?php
RewriteEngine On
RewriteRule ^.*index.php.*$ blad.php
?>
[PHP] pobierz, plaintext 

I ustaw sobie, tam gdzie kożystasz z index.php normalnie bez tego "bot'a":

[PHP] pobierz, plaintext 
<?php
RewriteEngine On
RewriteRule ^.*index.php.*$ index.php
?>
[PHP] pobierz, plaintext 

Ten post edytował ShadowD 11.06.2008, 22:39:53

[erbosss]

Tzn że powinienem wsadzić plik hta do każdego folderu a bez bota hta tam, gdzie mam główny plik index.php?

[ShadowD]

Pamiętaj, że wszystkie podkatalogi dziedziczą ten plik.

Więc jeśli w głównym go dasz to tylko w podkatalogach dajesz ten "Bez Bot'a" (drugi).

[.radex]

Skoro problemy są po przeniesieniu na inny serwer to możliwe, że są jakieś dziury/złośliwy kod w plikach skryptu.

[LonelyKnight]

Skoro problemy są po przeniesieniu na inny serwer to możliwe, że są jakieś dziury/złośliwy kod w plikach skryptu.

Też mi się tak wydaje.

@erbosss

Nie masz tam czasami jakiegoś uploadu obrazków lub czegoś w ten deseń? Jeśli tak to pokaż formularz i kod, który go obsługuje.

Kod

/img/index.php?bank=www.axisbank.com/BankAway/dJSESSION2973743u383h3bjhffufDHJUGHSbwayparam=dabCcRhcJfLjtYCXCZuARrnhMYei0G7D&type=personal&stge=3&id=fyjdL1LXSFkUnut HTTP/1.1" 200 2769 "http://www.----------.pl/img/index.php?bank=www.axisbank.com/BankAway/dJSESSION2973743u383h3bjhffufDHJUGHSbwayparam=dabCcRhcJfLjtYCXCZuARrnhMYei0G7D&type=personal&stge=2&id=fyjdL1LXSFkUnut" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

...wygląda jakby Ci ktoś *.php na serwer wysyłał.

Ten post edytował LonelyKnight 12.06.2008, 09:59:58

[erbosss]

Witaj,
Tak, jest upload obrazków, ale w panelu admina. Wszystko zarządzalne z dużego CMS. Skrypty nie pozwalają na przesłanie plików php na serwer. Sprawdzane jest rozszerzenie, generowana jest nazwa plikow:/

PS. Zgadza się, ktoś jakoś to musi wysyłać, ale nie wydaje mi się że to własnie przez tego cms idzie.

1) Orientuje się ktoś, czy przez zadania CRON można ustalić kod, któy będzie usuwał każdy plik index.php w wybranych folderach co jakiś czas?

2) Czy można zablokować na serwerze linki z zewnątrz zawierające jakąś konkretną nazwę? Czy przez htaccess można też tak zrobić?

Ten post edytował erbosss 13.06.2008, 10:30:28

[kallosz]

tak mozesz zrobic corn kasujacy pliki z konkretnej lokalizacji

[coolart]

ja bym zablokował w skrypcie nazwe "bank" i ewentualnie by skrypt nie akceptował w adresie adresów typu "www.axisbank.com" albo wszystkich zaczynających sie od www. kończących sie na com albo i inne jeszcze.
to tylko teza jak to wykonać to na pewno przez rewrite

Ten post edytował coolart 24.06.2008, 11:47:40