Skocz do zawartości
Gość Matmaxalez

Ciagle wlamania na strone

Polecane posty

Czy to włamanie jest zawsze w godzinach nocnych, czy także w dzień?

 

dostep do konta ma tylko on

Kto to jest, Twój administrator?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Matmaxalez

w godzinach nocnych

 

Dostep ma tylko wlasciciel konta, czyli admin portalradiowy.pl

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Problem leży nie tyle w hasłach co w zainstalowanym oprogramowniu na serwerze, mówię tutaj o skryptach php itd,

 

Np. Oscommerc 2.22 potrafi narobić sporo problemów...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dobrze, PRZYJMIJMY, że skrypt ma dziurę który w jakiś sposób pozwala wyświetlić te dane bazy i w taki sposób atakujący wchodzi do phpmyadmin ale cały czas nie mogę pojąć w jaki sposób był on zdolny zmienić treść plików na serwerze? W bazie danych nie są przechowywane dane kont ftp.

 

Czy skanowanie popularnymi antywirusami może pomóc wykryć ewentualnego keylogera na komputerze?

Skanowałem wiele razy, zaopatrzyłem się w dodatkowe firewale, poblokowałem numery ip, hosty lecz nic z tego ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A może ma hasło administratora DA ? o tym ktoś pomyślał ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Niczego nie można wykluczać ale stronę posiadam na serwerze wirtualnym i sam nie mam dostępu do administratora DA.

Administracja hostingu raczej nie udostępniła by hasła osobie trzeciej a jeżeli nawet to przecież zauważyła by to, że osoba korzysta z ich konta.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Skoro zalogował sie do phpmyadmin znając hasło to pewnie wyświetlił go z pliku łączącym sie z bazą (często config.php)

 

Czy po włamaniu wgrywałeś nowy czysty skrypt ?

 

widzę , że forum masz na skrypcie phpbb by przemo więc forum jest w porządku pod warunkiem ze nie ma dostępu do PA.

 

Możesz przeskanować pliki z ftp , ale nie będziesz miał 100% pewności.

Edytowano przez maminowiec (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A co jeżeli plik config znajduje sie poza katalogiem public_html i nie da się go w żaden sposób wyświetlić za pomocą przeglądarki lub pobrać? Dostęp do config jest tylko z poziomu ftp.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

1. Wez jakis inny komputer najlepiej aby byl po formacie, pozmieniaj na nim wszystkie hasla jakiekolwiek sa na twoich serwerze, ftp, panel klienta, skrypty do panelu klienta.

 

2.Wgraj np. najnowszy Cuteftp ( bez tych z sieci + witaminek bo nie massz pewnosci ze witaminka jest dobra i nie wysyla przypadkiem do potencjalnego atakujacego, osoby uprawnionej danych do kont ftp ).

 

3.Przeanalizuj dane ktore masz na kopii zapasowej czy nie jest przypadkiem juz wklejony kod iframe itp.

 

4.zrob analize logow z ftp, http, do jakich plikow mial dostep przed wlamaniem ( o ile wogle mial )

 

Zadzwon do administratora serwera ( dostawca ) i zapytaj sie w jaki spsoob mial dostep potencjalny wlamywacz o ile ci pomoze :P

Edytowano przez m4ni3k (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Witaj. Zastosowałem się do twoich rad.

5 godzin po formacie komputera atakujący zalogował się do phpmyadmin.

Administrator zupełnie nie chce współpracować od razu twierdzi, że to moja wina i mam radzić sobie sam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Administrator zupełnie nie chce współpracować od razu twierdzi, że to moja wina i mam radzić sobie sam.

To zmień go na takiego, który będzie chciał współpracować... W końcu przecież chyba za to mu płacisz?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Matmaxalez

Jezeli chodzi o mnie, to juz problem rozwiazany ;)<br>

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Cieszy nas to ale wypadało by napisać co było problemem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Matmaxalez

Problemu nie znalezlismy; ale zeskanowalismy komputery, usunelismy ciasteczka itp. zmienilismy hasla wszystkie, i teraz gdy sie logujemy to usuwamy wszystkie ciasteczka i jakos nie ma juz problemu ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tez to robiłem a ciasteczka są usuwane po każdym zamknięciu przeglądarki. Niestety on musi mieć jakiś inny sposób wyciągania haseł.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

I zapewne dalej twierdzicie, że to wina zabezpieczeń serwera a nie skryptów?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Włamanie do bazy - przechowuję na serwerze plik z danymi do bazy i w jakiś sposób atakujący być może mógł je wydobyć ale...

 

Ale włamanie do ftp wydaje się nie możliwe ponieważ żaden skrypt który posiadam nie wykorzystuje ftp a tym bardziej w żadnym pliku na serwerze nie przychowuję hasłą do ftp więc w jaki inny sposób atakujący mógł je zdobyć?

 

Miłoszu. Posiadasz własny hosting czy twoim zdaniem jest możliwe wydobycie hasła do ftp gdy żaden skrypt z niego nie korzysta?

Edytowano przez denis94 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość hdmagc

Zapoznaj się z określeniem sniffing.

 

Dla mnie to niezrozumiałe tak długo nie móc wyłapać tematu i klienta.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A masz pewność, że ten gość ma dostęp do ftp? Dziura jest bankowo w kodzie.

 

poza tym jak kolega wyżej napisał, hasła ftp sa nieszyfrowane.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Miłosz, odważne stwierdzenie.

Osobiście to bez analizy całości to nie odważył bym się na bankowe stwierdzenia...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

kafi, może i tak.. ale ;)

Różne VPSy, różne hostingi.. i ten sam problem. Więc śmiem twierdzić iż to problem z kodem. A może kolega denis94 chciałby udostępnić wgląd do kodu?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W ten weekend były kolejne 2 włamy :)

 

Po połączenie z bazą usuwam zmienne za pomocą unset. Czy można je jakoś wyświetlić skoro są usuwane odrazu po połączaniu z bazą?

 

Wgląd do kodu.. Hmm Trochę tego jest, bo w sumie to można to nazwać CMS-em.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

I co? Dalej jesteś przekonany, że skrypt jest w 100% bezpieczny?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Witam. Przeprowadziłem kolejne testy.

 

Na kilka godzin usunąłem pliki z serwera tak więc moje skryptu nie było. Zmieniłem hasła. W tym czasie było logowanie do phpmyadmin zarejestrowane w logach apache tak więc moim zdaniem wyjaśnia to, że problem leży wyżej.

 

 

Oprócz tego skontaktowałem się ze znajomym znającym się na rzeczy, wykonującym częściowe lub całkowite audyty bezpieczeństwa który zaoferował mi pomoc.

 

Po wstępnych oględzinach stwierdził, że priorytetową sprawą to zaktualizowanie oprogramowania na serwerze w tym mysql oraz apache które są nieaktualne.

Istnieje również prawdopodobieństwo podatności serwera na buffer overflow i jutro zostanie to przez niego sprawdzone.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×