PDA

Zobacz pełną wersję : index z niespodzianką


mikus1978
19-04-2009, 00:23
A mi się ktoś wbił na serwis przez FTP :D i dodał w każdym pliku index taki oto wpis xxxxxxxxxxxxxxx - usunięte/zwiastun
jestem mu bardzo wdzięczny że zrobił to teraz a nie gdy serwis ostro ruszył

Zauważyłem że jakikolwiek atak na serwis postawiony na joomli powoduje atak na to forum przez dodanie takiego oto wątku. ;)
jedyne czego nie zrobiłem przy instalacji to ustawienie zmiennych globalnych tak jak instalator przykazał

ciekawe jak można wydobyć hasło przez joomle z czyjegoś kompa,
generalnie moduły które instalowałem były ściągane od producenta oraz oznaczone najnowszą wersją.

kilka logów (mały fragment)

[18.04.2009 8:05:55 46464] FTP LOGIN FROM ppp91-76-73-67.pppoe.mtu-net.ru as mywww@home
[18.04.2009 8:30:42 48720] FTP LOGIN FROM ppp91-76-73-67.pppoe.mtu-net.ru as mywww@home
[18.04.2009 9:04:05 51867] FTP LOGIN FROM c-71-58-84-64.hsd1.pa.comcast.net as mywww@home
[18.04.2009 9:04:07 51867] mywww@home: get /index.html = 725 bytes
[18.04.2009 9:04:13 51870] FTP LOGIN FROM adsl-99-145-6-102.dsl.emhril.sbcglobal.net as mywww@home
[18.04.2009 9:04:15 51870] mywww@home: put /index.html = 829 bytes
[18.04.2009 9:04:19 51873] FTP LOGIN FROM cpe-098-026-095-163.nc.res.rr.com as mywww@home
[18.04.2009 9:04:21 51873] mywww@home: get /1/index.php = 2052 bytes
[18.04.2009 9:04:27 51880] FTP LOGIN FROM cpe-071-075-236-077.carolina.res.rr.com as mywww@home
[18.04.2009 9:04:29 51880] mywww@home: put /1/index.php = 2157 bytes
[18.04.2009 9:04:35 51883] FTP LOGIN FROM 123.199.126.218 as mywww@home
[18.04.2009 9:04:43 51883] mywww@home: get /1/index2.php = 591 bytes
[18.04.2009 9:04:46 51890] FTP LOGIN FROM bdi68-3-88-169-130-93.fbx.proxad.net as mywww@home
[18.04.2009 9:04:47 51890] mywww@home: put /1/index2.php = 696 bytes
[18.04.2009 9:04:52 51899] FTP LOGIN FROM cpe-065-188-169-057.triad.res.rr.com as mywww@home
[18.04.2009 9:04:54 51899] mywww@home: get /1/administrator/index.php = 2157 bytes
[18.04.2009 9:05:02 51925] FTP LOGIN FROM 173-80-58-42-bkly.atw.dyn.suddenlink.net as mywww@home
[18.04.2009 9:05:05 51925] mywww@home: put /1/administrator/index.php = 2262 bytes
[18.04.2009 9:05:12 52011] FTP LOGIN FROM S01060019218cdfe7.vc.shawcable.net as mywww@home
[18.04.2009 9:05:16 52011] mywww@home: get /1/administrator/index2.php = 560 bytes
[18.04.2009 9:05:23 52018] FTP LOGIN FROM 67.129.236.137 as mywww@home
[18.04.2009 9:05:26 52018] mywww@home: put /1/administrator/index2.php = 665 bytes
[18.04.2009 9:05:31 52022] FTP LOGIN FROM 123203047076.ctinets.com as mywww@home
[18.04.2009 9:05:37 52022] mywww@home: get /1/administrator/index3.php = 593 bytes
[18.04.2009 9:05:48 52045] FTP LOGIN FROM 114.74.146.142.optusnet.com.au as mywww@home
[18.04.2009 9:06:02 52045] mywww@home: put /1/administrator/index3.php = 698 bytes
[18.04.2009 9:06:09 52061] FTP LOGIN FROM 71-12-20-020.dhcp.spbg.sc.charter.com as mywww@home
[18.04.2009 9:06:12 52061] mywww@home: get /1/administrator/backups/index.html = 44 bytes
[18.04.2009 9:06:27 52065] FTP LOGIN FROM 189-25-20-190.adsl.terra.cl as mywww@home
[18.04.2009 9:06:37 52065] mywww@home: put /1/administrator/backups/index.html = 148 bytes
[18.04.2009 9:06:42 52074] FTP LOGIN FROM LUKOSER.GALLATIN.NYU.EDU as mywww@home
[18.04.2009 9:06:44 52074] mywww@home: get /1/administrator/cache/index.html = 44 bytes

Tak się też zastanawiam czy przy świeżo zainstalowanym systemie ze wszystkimi uaktualnieniami i poprawkami oraz domyślnymi ustawieniami zabezpieczeń ie i odpalonym total commanderze można wycisnąć hasło przez odwiedzenie jakiejś strony
zwiastun
19-04-2009, 00:42
Usunąłem adres zainfekowanej strony!

Masz poukładane w głowie!? Czy może Ci przygrzało dzisiaj za mocno?
Jeszcze jedno takie zachowanie i pożegnasz się z tym forum na zawsze!
rajfur
19-04-2009, 10:11
klient ma pirackiego Total Commandera z wbudowanym trojanem skanującym wszelki połączenia poprzez ftp. Stąd te kłopoty. Problem znany, wystarczy poszukać w necie a nie obwiniać cały świat o niegodne postępowanie względem jego serwisu :mad:
stasio
19-04-2009, 11:28
A mi się ktoś wbił na serwis przez FTP :D i dodał w każdym pliku index taki oto wpis xxxxxxxxxxxxxxx - usunięte/zwiastun

heheh po edycji wygląda na to ze ktoś sie wbił i dodał wpis "xxxxxxxxxxxxxx - usunięte/zwiastun" ewidentnie winowajca sie podpisał :)