Skocz do zawartości
Zaloguj się, aby obserwować  
Obserwujący 0
josephzet

[opinia] unixstorm.org

Przez josephzet, w Informacje o firmach hostingowych

Polecane posty

josephzet    0

josephzet
Napisano

Kilka miesięcy temu szukając alternatywy dla zapchanego home.pl i zwiedziony pozytywymi opiniami o w/w firmie wykupiłem hosting wirtualny dla kilka swoich domen na 12 miesiecy. Jakiś czas potem do większości plików na serwerze notorycznie dodawany zostawał złośliwy kod co uniemożliwoało prawidłowe funkcjonowanie serwisów.

Osoba z którą sie wówczas kontaktowałem stwierdziła, że na 100% wina leży po mojej stronie tzn. mam dosyć powszechnego wirusa, który wykrada hasła z total commandera. Nie jestem administratorem ale zdziwił mnie fakt (o czym poinformowąłem miłego pana), że w swoim total commanderze trzymam kilkadziesiąt domen na róznych serwerach i nigdy nie miałem takich problemów (nadal nie mam bo problem dotyczy wyłacznie stron znajdujących się na unixstorm).

Dla wszelkiego spokoju przywróciłem backup, zmieniłem hasła i przeskanowałem system ale bez rezultatu. Nie pomógł nawet format systemu.

 

W końcu zdecydowąłem się na vps u konkurencyjnej firmy i zacząłem przekierowywać domeny i przenosić pliki. Jak na razie problem zniknął.

 

Może ktoś miał podobne doświadczenia?

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość nrm   

Gość nrm
Napisano

Ja mam takie doświadczenia kilka razy w tygodniu ;) To na 10000% Twoja wina ;)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

josephzet    0

josephzet
Napisano

Wow, jestem gotów bić się w pierś ale jakoś nie mogę zrozumieć dlaczego problem dotyczy tylko tych kilku domen na wymienionym serwerze.

Przy okazji co robisz w takiej sytuacji? Można się jakoś przed tym zabezpieczyć? Problem dotyczy stron postawionych na wordpress i joomla (oczywiście najnowsze stabine wydania i sprawdzone pluginy).

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

www.mzone.uk    1200

www.mzone.uk
Napisano (edytowany)
Wow, jestem gotów bić się w pierś ale jakoś nie mogę zrozumieć dlaczego problem dotyczy tylko tych kilku domen na wymienionym serwerze.

Może być milion powodów, a ostatni to serwer na którym stała Twoja strona.

Taki wirus/trojan może być ukryty przez kilka miesięcy na dysku i nawet o tym nie musisz wiedzieć, uaktywnia się np. tylko w niektóre dni, godziny czy np. przy konkretnym adresie.

 

 

Przy okazji co robisz w takiej sytuacji?

Nie wiem czy to zostało już naprawione w TC, ale radziłbym Ci go zmienić chociażby na bezpłatną Filezzilla.

Musisz ręcznie posprawdzać kod źródłowy wszystkich stron i podstron, często złośliwy kod jest zagnieżdżony i nie widać go od razu, ponadto potrafi się kopiować i czasami jest to robota "głupiego".

Edytowano przez www.mzone-net.eu (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

josephzet    0

josephzet
Napisano

Nie wiem czy to zostało już naprawione w TC, ale radziłbym Ci go zmienić chociażby na bezpłatną Filezzilla.

Musisz ręcznie posprawdzać kod źródłowy wszystkich stron i podstron, często złośliwy kod jest zagnieżdżony i nie widać go od razu, ponadto potrafi się kopiować i czasami jest to robota "głupiego".

Jakoś nie mogę przyzwyczaić się do filezilli a poza tym nawet trudno porównać ją do tc. Poza tym trzymam hasła także w aptanie. Generalnie pewnego razu zmieniłem hasło do ftp i directadmina i postanowiłem jego nie zapisywać przez pewien czas. Mimo tego nastepego dnia miałem pliki zainfekowane.

Ręczne usuwanie złośliwego kodu przypomina syzyfową pracę bo np. w przypadku joomla zainfekowanych zwykle jest ok 180 plików.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

www.mzone.uk    1200

www.mzone.uk
Napisano
Ręczne usuwanie złośliwego kodu przypomina syzyfową pracę bo np. w przypadku joomla zainfekowanych zwykle jest ok 180 plików.

Zawsze możesz zatrudnić administratora strony, który będzie dbał o takie rzeczy, ale samo się nie zrobi.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość xtd   

Gość xtd
Napisano

Przy okazji co robisz w takiej sytuacji? Można się jakoś przed tym zabezpieczyć? Problem dotyczy stron postawionych na wordpress i joomla (oczywiście najnowsze stabine wydania i sprawdzone pluginy).

Zazwyczaj tego typu sytuacje są spowodowane wyciekiem haseł do ftp (z nieaktualnych wersji TC) lub z dziur w szablonach do cmsów, które nie zawsze są tam przypadkowo.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość nrm   

Gość nrm
Napisano

Przy okazji co robisz w takiej sytuacji?

Odpisuje klientowi jaka jest prawda, czasami uda mi się odnaleźć logi kiedy ktoś loguje się z jakiś rosyjskich/chińskich czy pakinstańskich IP z hasłem usera wink.png więc jest jak na tacy kto to zrobił, jak i kiedy.

 

Można się jakoś przed tym zabezpieczyć? Problem dotyczy stron postawionych na wordpress i joomla (oczywiście najnowsze stabine wydania i sprawdzone pluginy).

Jest zbyt wiele możliwości zrobienia takiego syfu aby móc to zawęzić do konkretnego typu oprogramowania. Oczywiście są takie tylko z WP, są z Joomli, są (bardzo popularne) wycieki z TotalCommandera, ale ostatnio obserwuje wzmożoną aktywność jakiegoś wirusa pod Windows, który jest wyjątkowo wredny.

 

Siedzi w rejestrze, WYŁAPUJE wpisywane loginy, hasła, numery kart etc. i je gdzieś tam "na Pakistan" śle, a stamtąd już następuje normalne zalogowanie się na FTP, skan zawartości i doklejanie syfu (na ogół do wszystkiego co pasuje do schematu np. wszędzie przed wystąpienie </body>).

 

Wyjątkowo wredna rzecz, klient oczywiście nie widział winy po swojej stronie, tym bardziej, że zmieniał hasła, a 10 minut później był rzekomy WŁAM wink.png A tu potem się okazało, że już produkują takie świństwa co to nasłuchują co Wy tam na tych windowsach robicie wink.png

 

Jeżeli Ci zalezy to mogę przeszukać korespondencje jak sie nazywał ten konkretny virus, akurat udało się nam go wspólnymi siłami namierzyć, zidentyfikować, a klient zrobił klasyczną działalnośś windowsowców (format c: wink.png ).

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

josephzet    0

josephzet
Napisano

Jeżeli Ci zalezy to mogę przeszukać korespondencje jak sie nazywał ten konkretny virus, akurat udało się nam go wspólnymi siłami namierzyć, zidentyfikować, a klient zrobił klasyczną działalnośś windowsowców (format c: wink.png ).

Byłbym wdzięczny bo w sumie nie wiem co dalej z tym świństwem robić.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość Łukasz Tkacz   

Gość Łukasz Tkacz
Napisano (edytowany)

klasyczną działalnośś windowsowców (format c: wink.png ).

 

Warto dopisać aby było prawdziwe: klasyczną działalność niemyślących windowsowców.

Bo czy naprawdę problemem byłoby wrzucenie chociażby jakiegoś porządniejszego firewalla? Nawet jakby sobie COŚ siedziało, to można by to blokować aby nigdzie tych danych nie wysyłało.

Obecnie zapora jest ważniejsza niż AV, bo jakoś coraz mniej wirusów niszczących cokolwiek, a coraz więcej narzędzi do wykradania danych.

Edytowano przez lukasamd (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Zaloguj się, aby obserwować  
Obserwujący 0
Przejdź do listy tematów Informacje o firmach hostingowych
×