joorvishoon Opublikowano 3 Marca 2009 Zgłoś Opublikowano 3 Marca 2009 Witam Nie mam pojęcia czy to dobry dział na taki temat, ale wydaje mi się że jak ktoś ma być oblatany w takich sprawach to znajdę go tutaj. Jeśli nie to przepraszam za pomyłkę. Sprawa wygląda tak. Mam stronę w php na serwerze zewnętrznym i ktoś mi dopisuje do skryptów php (w sensie edytuje pliki php) skrypt JS przekierowujący na strony z robakami. Na razie jest to tylko denerwujące, ale chciałbym zgadnąć jak ten ktoś to robi. Nie piszę tutaj żeby ktoś za mnie odwalał analizę bezpieczeństwa czy wertował moje logi, jedynie chciałbym się spytać o pewien szczególik. Po każdym takim pojawieniu się skryptu obok miejsca gdzie się pojawił pojawia się również obcy numer IP w komentarzach HTML. I mam pytanie: Czy jest jakiś sposób edycji plików (zdalny przez telnet, jakieś mechanizmy apache'a, jakieś protokoły, cokolwiek?) który by z automatu dodawał taki wpis z adresem IP z którego edytowano plik? Bo jeśli tak to mi rozwiąże problem skąd te ataki i jakim sposobem. Jeśli nie to będę dalej szukał na stronie dziur, chociaż nie widzę za bardzo możliwości żeby były. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 3 Marca 2009 Zgłoś Opublikowano 3 Marca 2009 Pewnie logowales sie z zainfekowanego komputera i tym sposobem ktos zdobyl haslo do konta ftp na kotrym masz strone. Druga mozliwosc to dziurawe skrypty na stronie. Ip Ci sie do niczego nie przyda. Odrobacz strone (w tym sprawdz .htaccess) w razie potrzeby zmien skrypty, odrobacz swoj komputer, zmien haslo do ftp'a. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
joorvishoon Opublikowano 3 Marca 2009 Zgłoś Opublikowano 3 Marca 2009 (edytowane) właśnie IP mi się może przydać, bo jak ustaliłem jest to IP serwera mojego usługodawcy hostingowego, ale nie tego serwera na którym leży moja strona, stąd też zastanawiam się czemu akurat ten IP się tam znalazł. Dziurawość skryptów na stronie też jest mocno wątpliwa. Bez zalogowania się jedynym formularzem jest formularz logowania, dopóki użytkownik się nie zaloguje jest odcinany od wewnętrznych skryptów strony. A strona ma charakter kameralny więc użytkownicy (przeszło 20) raczej też nie atakują strony. A formularz logowania jest raczej dobrze zabezpieczony. Zresztą atak przez formularze by wyszedł na logach, a na nich nic podejrzanego nie znalazłem. Co do zainfekowanego kompa to właśnie sprawdzam antywirusem, ale zdziwiłbym się gdyby coś było, bo na kompie mam bez przerwy odpalonego agenta antywirusowego i spybotaS&D, z innych kompów się nie loguję do ftp. Edytowane 3 Marca 2009 przez joorvishoon Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 4 Marca 2009 Zgłoś Opublikowano 4 Marca 2009 Jezeli myslisz, ze antywirus oraz spybot = brak infekcji to sie mylisz. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
joorvishoon Opublikowano 4 Marca 2009 Zgłoś Opublikowano 4 Marca 2009 wiem, po skanowaniu wynik jest nie tyle niepokojący co ciekawy - 25154 robale 8O chyba czas na linuksa. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
