itravispl
10-01-2013, 14:31
Witam,
moja witryna została zaatakowana. Kaspersky wykrył: http://www.securelist.com/en/descriptions/HEUR:Trojan.Script.Generic
U osób bez zabezpieczonego systemu pojawiała się fałszywa informacja Policji namawiająca do zapłacenia kary.
Zapoznałem się z listą kroków po włamaniu. Skrypt pokazał, że dwóch dni były modyfikowane praktycznie cały czas pliki *.jpg. Sam zauważyłem, że jeden z folderów po prostu zniknął.
Z plików php zauważyłem, że modyfikowane były wyłącznie indexy katalogów z layoutami. Został do nich wstrzyknięty dziwny kod, zawierający bardzo dużo jakiś liczb, zaczynający się i kończący tagami
<?#336988#
echo " <script type=\"text/javascript\" language=\"javascript\" >
[tutaj cała reszta, nie wklejam celowo, bo kaspersky traktuje to od razu jako wirus]
</script>";
#/336988#
?>
Do pliku .htaccess wstrzyknięto coś takiego:
#336988#<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(
[tu jakieś dziwne tagi]
RewriteRule ^(.*)$ http://mamazwiara.home.pl/clik.php [R=301,L]
</IfModule>
#/336988#
Ponieważ miałem kopię bezpieczeństwa, którą wykonuję regularnie - otworzenie witryny nie powinno stanowić problemu.
Piszę tutaj ponieważ nie bardzo mam pomysł w jaki sposób dojść do pliku/plików przez które nastąpił atak. Czy ma ktoś jakiś pomysł jak zabezpieczyć się przed kolejnymi?
Kolejną sprawą jest jakie jest prawdopodobieństwo, że osoba dokonująca ataku jest w posiadaniu jakichkolwiek haseł?
Mam słabe pojęcie o tym, mam nadzieję, że podałem wystarczająco informacji, by cokolwiek stwierdzić lub pomóc uchronić się od następnych ataków.
moja witryna została zaatakowana. Kaspersky wykrył: http://www.securelist.com/en/descriptions/HEUR:Trojan.Script.Generic
U osób bez zabezpieczonego systemu pojawiała się fałszywa informacja Policji namawiająca do zapłacenia kary.
Zapoznałem się z listą kroków po włamaniu. Skrypt pokazał, że dwóch dni były modyfikowane praktycznie cały czas pliki *.jpg. Sam zauważyłem, że jeden z folderów po prostu zniknął.
Z plików php zauważyłem, że modyfikowane były wyłącznie indexy katalogów z layoutami. Został do nich wstrzyknięty dziwny kod, zawierający bardzo dużo jakiś liczb, zaczynający się i kończący tagami
<?#336988#
echo " <script type=\"text/javascript\" language=\"javascript\" >
[tutaj cała reszta, nie wklejam celowo, bo kaspersky traktuje to od razu jako wirus]
</script>";
#/336988#
?>
Do pliku .htaccess wstrzyknięto coś takiego:
#336988#<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(
[tu jakieś dziwne tagi]
RewriteRule ^(.*)$ http://mamazwiara.home.pl/clik.php [R=301,L]
</IfModule>
#/336988#
Ponieważ miałem kopię bezpieczeństwa, którą wykonuję regularnie - otworzenie witryny nie powinno stanowić problemu.
Piszę tutaj ponieważ nie bardzo mam pomysł w jaki sposób dojść do pliku/plików przez które nastąpił atak. Czy ma ktoś jakiś pomysł jak zabezpieczyć się przed kolejnymi?
Kolejną sprawą jest jakie jest prawdopodobieństwo, że osoba dokonująca ataku jest w posiadaniu jakichkolwiek haseł?
Mam słabe pojęcie o tym, mam nadzieję, że podałem wystarczająco informacji, by cokolwiek stwierdzić lub pomóc uchronić się od następnych ataków.