Skocz do zawartości
Syndrom

wzmożona aktywność trojanów

Polecane posty

Witam,

Zauważyliście może ostatnio wzmożoną aktywność różnego rodzaju ataków na hostingi (WP, Joomla), są to praktycznie ataki tego samego typu, korzystają z tego samego silnika (jeszcze nie wiem jakiego?), a interfejsy różne: http://www.zone-h.org/archive/special=1

 

Ktoś coś się zgłębiał w temacie ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Masz na liście IP jednego z moich Klientów. Widocznie też miał jakiś syf na serwerze, który skanował inne maszyny. Z jakiego okresu nazbierałeś tą listę?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

U mnie postanowiły poharcować webmeup-crawler - to dość łatwo się da wyciąć 108.178.0.0/16 i 198.143.0.0/16

oraz MJ12bot i AhrefsBot

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Pokuć

Wczoraj strona jednego z moich użytkowników została zaatakowana. Do istniejących plików podpiął się złośliwy kod oraz pojawiły się nowe pliki z tym samym. Strona oparta na silniku PHP-Fusion. Trzymam u siebie jeszcze kilka innych stron opartych na tym samym silniku i jak z każdą mam mieć to samo to słabo to widzę. Mam nadzieje że wczorajszy atak nie był preludium do kolejnej zmasowanej serii ataków. Było spokojnie przez 3 miesiące i teraz znów...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wczoraj strona jednego z moich użytkowników została zaatakowana. Do istniejących plików podpiął się złośliwy kod oraz pojawiły się nowe pliki z tym samym. Strona oparta na silniku PHP-Fusion. Trzymam u siebie jeszcze kilka innych stron opartych na tym samym silniku i jak z każdą mam mieć to samo to słabo to widzę. Mam nadzieje że wczorajszy atak nie był preludium do kolejnej zmasowanej serii ataków. Było spokojnie przez 3 miesiące i teraz znów...

 

@Paweł, z informacji, które podajesz, to problem może być w dziurawym skrypcie za pomocą którego można zrobić upload skryptów na serwer. Jednak obstawiałbym że hasło do konta ftp wyciekło z komputera na którym było ono zapamiętane (np. developer lub grafik).

W pierwszej kolejności proponuję zmienić hasło do kont ftp (wszystkich kont) w drugiej kolejności usunąć złośliwy kod.

 

Co ważne możesz zapamiętać godziny zmian plików i na ich podstawie przeprowadzić analizę logów żeby dojść źródła ataków.

 

Jeżeli będziesz miał jakieś pytania lub problemy z dalszymi "procedurami" daj znać i na pewno da się sytuację opanować.

Masz na liście IP jednego z moich Klientów. Widocznie też miał jakiś syf na serwerze, który skanował inne maszyny. Z jakiego okresu nazbierałeś tą listę?

 

@Miłosz, lista jest z przełomu lipca/sierpnia. Wtedy to też szedł atak na wp. Wklej mi na priv adres IP, to zaktualizuję acl i jeśli znajdę w logach info to postaram się podesłać coś więcej, abyś przejrzał u Klienta skrypty.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×