Gość Filip Nowacki Zgłoś post Napisano Maj 4, 2014 (edytowany) Witam! Chciałbym poruszyć temat i zapytać się Was czy macie podobne przypadki na serwerach home.pl. Otóż robiłem ostatnio dla klienta stronę(zsp1malbork.pl), po ok. tygodniu dostaję komunikat od home.pl iż na serwerze znajduje się oprogramowanie phishingowe bla, bla bla... Nie powiem zdziwiłem się i to bardzo ze względu na nowo kupiony pod ten cel hosting - oprogramowanie strony to czysty WordPress, do tego autorski szablon robiony u mnie na PC z antywirusem więc mowy nie ma o infekcji z mojego PC. http://www.phishtank.com/phish_detail.php?phish_id=2321191 Sprawa jakoś ucichła mimo braku reakcji ze strony home.pl Dziś dostaję kolejnego maila od RSA o phishingu na kolejnej stronie dla klienta tym razem skraynet.com sytuacja podobna, nowy hosting, nowe pliki wszystko musiało być czyste. http://skraynet.com/wp-content/themes/Nova/cache/rest/index.html Wszystkie inne strony, które wykonywałem są czyste, 0 wiadomości od zewnętrznych firm, brak negatywnych wyników na virustotal. Co najciekawsze wszystkie NIE zarażone strony są na hostingach innych niż home.pl Pozdrawiam! @edit: Podsyłam w zipie paczkę z plikami, które pojawiły się z zewnątrz na hostingu home.pl. Wydaje mi się, że to jakiś panel sterowania tym ścierwem ale ręki sobie nie dam uciąć. DL: http://dl.filipnowacki.net/phishing.zip @edit2: Znalazłem nawet listę zarażonych stron: http://support.clean-mx.de/clean-mx/phishing.php?response=alive&email=abuse@home.pl Wszystkie podpięte do home.pl... Edytowano Maj 4, 2014 przez Filipsiu (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
PapaSmerf 497 Zgłoś post Napisano Maj 4, 2014 Paczka zasyfiona: Żądany adres nie może zostać pobranyŻądany obiekt pod adresem:http://dl.filipnowacki.net/phishing.zipWykryto:obiekt jest zainfekowany przez Backdoor.PHP.PhpShell.dg Ja tam stawiam, że od Ciebie się coś podpięło. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Filip Nowacki Zgłoś post Napisano Maj 4, 2014 Nie ma szans żeby coś ode mnie wyszło. Pierwsza strona robiona z Win7 było wszystko ok, pisane od 0. Druga strona tworzona i wrzucana na ftp poprzez Ubuntu 13 więc raczej byłby to dziwny przypadek skoro moje 2 komputery nie miały ze sobą nigdy nic wspólnego... nawet IDE inne. Paczke zrobiłem zgrywając zawartość tego zasyfionego folderu z ftpa skraynet.com. Przeglądałem kod ale strasznie zamaskowany. Udostępnij ten post Link to postu Udostępnij na innych stronach
PapaSmerf 497 Zgłoś post Napisano Maj 4, 2014 A jesteś pewien, że po drodze nic nie wskoczyło? Chociaż z Ubuntu chyba mało prawdopodobne. Ktoś z FTPkiem łączył się jeszcze? Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Filip Nowacki Zgłoś post Napisano Maj 4, 2014 Nikt poza mną się nie logował. Na Win7 używałem Filezilli a na Ubuntu GNOME Commandera. Nie miało by nawet jak wskoczyć, na PC przechowywałem tylko szablon resztę instalowałem w sposób unzip Wordpress>upload>install. Udostępnij ten post Link to postu Udostępnij na innych stronach
tym 205 Zgłoś post Napisano Maj 4, 2014 Na 100% dziurawy plugin w WP... poaktualizuj wszystko i wycziść syf. To nie ma nic wspólnego z home.pl a z twoimi skryptami. Udostępnij ten post Link to postu Udostępnij na innych stronach
Misiek08 285 Zgłoś post Napisano Maj 4, 2014 WordPress. Nie wiem dokładnie jaką podatność wykorzystują nowe ataki, jednak ja ostatnio w ciągu 3 dni "dostałem" 30 plików, które zawierały w sobie shella. Mój serwer wysłał w ciągu doby 90k e-maili po czym dostałem kilka ciekawych maili i dopiero zareagowałem. Co najciekawsze atak uderzył w prywatnego bloga, którego aktualizowałem, ale praktycznie nikt na niego nie wchodził. Sprawdź pliki .htaccess, dopisz wszelkie regułki, które w internecie znajdziesz, a szczególnie te, które blokują wykonywanie PHPa z katalogów wtyczek JS. U mnie najwięcej syfu było w podkatalogach TinyMCE. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Filip Nowacki Zgłoś post Napisano Maj 4, 2014 Na 100% dziurawy plugin w WP... poaktualizuj wszystko i wycziść syf. To nie ma nic wspólnego z home.pl a z twoimi skryptami. Nie ma żadnych pluginów poza domyślnym Akismetem. WordPress. Nie wiem dokładnie jaką podatność wykorzystują nowe ataki, jednak ja ostatnio w ciągu 3 dni "dostałem" 30 plików, które zawierały w sobie shella. Mój serwer wysłał w ciągu doby 90k e-maili po czym dostałem kilka ciekawych maili i dopiero zareagowałem. Co najciekawsze atak uderzył w prywatnego bloga, którego aktualizowałem, ale praktycznie nikt na niego nie wchodził. Sprawdź pliki .htaccess, dopisz wszelkie regułki, które w internecie znajdziesz, a szczególnie te, które blokują wykonywanie PHPa z katalogów wtyczek JS. U mnie najwięcej syfu było w podkatalogach TinyMCE. Wszystko czyste, robiłem kilka testów. Udostępnij ten post Link to postu Udostępnij na innych stronach
Misiek08 285 Zgłoś post Napisano Maj 4, 2014 Jest możliwość, że shell się instaluje, wykonuje i usuwa. Też tak miałem niestety. Dodatkowo sam znalazłeś te dodatki, więc wiesz, że się coś doinstalowuje. WP to po prostu za duża krowa, żeby była czysta, bo niestety od jakiegoś czasu zamiast robić rozsądnie i bezpiecznie to po prostu pakują funkcjonalność. Udostępnij ten post Link to postu Udostępnij na innych stronach
PapaSmerf 497 Zgłoś post Napisano Maj 4, 2014 WP to po prostu za duża krowa, żeby była czysta WP nie jest po prostu rozsądnie prowadzony jako projekt, a nie duża krowa. Poza tym, to od zawsze był dziurdamer. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Filip Nowacki Zgłoś post Napisano Maj 5, 2014 Fakt, ale dziwi mnie 1 rzecz. Otóż dlaczego dostaję wiadomości czy to od RSA czy to od home o phishingu na stronach klientów TYLKO z hostingiem home.pl? Stworzyłem zbyt wiele stron w podobnym czasie na różnych hostingach i problemy są tylko z home.pl. Udostępnij ten post Link to postu Udostępnij na innych stronach
alien 345 Zgłoś post Napisano Maj 5, 2014 (edytowany) Nadinterpretujesz. Problemy z Wordpressami są wszędzie. Niektóre hostingi stosują dodatkowe zabezpieczenia przed robotami i to jest in plus, ale generalnie roboty atakujące Wodpressy i Joomle to codzienność internetu. Może na home.pl instalowałeś wersje WP jakoś szczególnie podatne na modne obecnie błędy? Tak czy siak, stosując Open Source trzeba akutalizować. Edytowano Maj 5, 2014 przez alien (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Maj 5, 2014 Otóż dlaczego dostaję wiadomości czy to od RSA czy to od home o phishingu na stronach klientów TYLKO z hostingiem home.pl? Może dlatego, że home traktuje kwestię abuse tyci poważniej, niż ci inni hostingodawcy którzy często mają w dupie abuse dotyczące treści stron (często abuse dotyczące wysyłanych przez ich infrastrukturę spam-maili też). Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Filip Nowacki Zgłoś post Napisano Maj 5, 2014 Może dlatego, że home traktuje kwestię abuse tyci poważniej, niż ci inni hostingodawcy którzy często mają w dupie abuse dotyczące treści stron (często abuse dotyczące wysyłanych przez ich infrastrukturę spam-maili też). Może i tak ale czy aby na pewno zenbox, netdc, ovh, futurehost miały by to gdzieś? Instaluję wszędzie tą samą wersję WP. Więc może przyczyna leży w zabezpieczeniach home? Udostępnij ten post Link to postu Udostępnij na innych stronach
Prohost 345 Zgłoś post Napisano Maj 5, 2014 Po co to zgadywanie jak w logach www wszystko widać (luki w skryptach), a jak nie w logach www to w logach ftp (wirusy na komuterze klienta). Mało albo nawet bardzo mało prawdopodobne jest iż to problem po stronie home. Udostępnij ten post Link to postu Udostępnij na innych stronach
valcoonetti13 0 Zgłoś post Napisano Maj 8, 2014 A zgłosiłeś w ogóle taką kwestię u źródła? Udostępnij ten post Link to postu Udostępnij na innych stronach
home.pl 10 Zgłoś post Napisano Maj 9, 2014 Zgłoś proszę sprawę przez formularz kontaktowy @ www.home.pl/kontakt ze wskazaniem nazwy konta i domeny, na której sytuacja miała miejsce. Udostępnij ten post Link to postu Udostępnij na innych stronach
