Witam,

Mam od kilku dni problem.
Moja stronka (własna, nie jest postawiona na żadnym CMSie) została zainfekowana i w jakiś sposób tworzone jest na niej mnóstwo folderów z podfolderami i plikami w losowych nazwach.

Zastanawiałem się w czym szukać przyczyny i gdzie może być ewentualna dziura w kodzie...
Hasło do FTP zmieniałem już kilkukrotnie i nic nie chce pomóc.

Byłbym wdzięczny za jakąś sugestię na co zwrócić szczególną uwagę.

jeśli znałbym odpowiedź na to pytanie, dzisiaj byłbym cholernie bogaty. Skoro Ty nie wiesz znając swój kod, to kto ma niby wiedzieć ? ;p Zacznij od logów, szukaj dziwnych wpisów - zwłaszcza takich co powtarzają się cyklicznie. sprawdź czy nie masz podejrzanych procesów (z miejsca kill), cronjobow... musisz przeszukać wszystkie foldery i usunąć każdy złośliwy plik (zwróć uwagę na ukryte), nie zapomnij o folderze tmp. Najlepiej to w ogóle zrób kwarantanne, zablokuj dostępy i sprawdzaj wszystko po kolei. Po tych pierwszych najprostszych czynnościach, pozostaje Ci sprawdzenie kodu i jego luk, przez które zdalnie ktoś Ci może tworzyć ten syf. Sporo pracy przed Tobą, tak się właśnie może kończyć pisanie formularzy na odpierdziel, zapytania do bazy beż żadnej walidacji (poczytaj np o eskalacji uprawnień, gość potrafi Ci przez bazę przejąć całą kontrole nad serwerem, tak więc musisz jeszcze posprawdzać użytkowników baz jak i samego systemu, wszędzie pozmieniać hasła). Jesteś trochę w d*** : )



nie ma to znaczenia czy to cms czy nie, chociaż dla cms'a łatwiej i szybciej byłoby Ci wykonać działania, zazwyczaj wystarczy wszystko zaktualizować i usunąć syf z folderów.

1. masz czysty backup?
Jak nie to lipa, wtedy mógłbyś sprawdzić 1:1 co się w plikach zmieniło. Chodzi czy nie masz dodanego kodu który się wykonuje.

2. Tak jak powiedział przedmówca... LOGI

3. Przedstaw może informację o tym co to za serwer, czy zwykły hosting.

Bardzo często zainfekowanie to wina komputera twojego z którego się łączysz a niekoniecznie serwera docelowego.