s19.station.cz hacknut, napaden iframe virem

Zdravím,Dnes jsem pracoval na webu (překvapivě jako každý jiný den), ale při kontrole zdrojového kódu přes google chrom jsem nalezl:Zkoumám dále, co se děje... Mrknu se na ostatní weby hostované na stationu a všude stejné, takže už mi to bylo z části jasnéServer napadl HTML iframe vir, o který se postarali hoši z TheWayEndPokud nevíte jestli byl Váš web napaden, stačí zadat do prohlížeče název vaší domény a za ní "twe.html", např. "domena.cz/twe.html", buď vám vyběhne černá obrazovka nebo Vaše 404 a jste v pohodě :)Popř. můžete zjistit zde:http://ranky.cz/sousede/77.78.126.29s22.station.cz - čistýs19.station.cz - napaden -77.78.126.29s16.station.cz - čistýs16.station.cz - čistýs14.station.cz - čistýs09.station.cz - čistýs07.station.cz - čistýs05.station.cz - čistýs04.station.cz - čistýNávod jak zprovoznit webStáhnout celý obsah ftp: (smazat soubor twe.html z rootu domény + odstranit z každého souboru na ftp který se jmenuje index.php, iframe se nachází většinou na konci dokumentu) Poté nahrát web zpět, změnit hesla k ftp, ikdyž je vidět že za to nemůže zákazník ale pracovník hostingu.Proč to vlastně píši sem? Ono kdyby někdo zvedal na podpoře telefon :(. Tímto nechci dělat negativní reklamu firmě station.cz, ale upozornit majitele webů aby si zkontrolovali svůj web, popř. ho uvedli do provozu, aby nepřišly o zisk, přeji Vám hodně štěstí :)rep+ () hvězdička vlevo dole potěší :)

Zdravim,skutecne se to netyka(lo) jen vasich domen, ale vice, nicmene zatim (dle ftplogu) vse naznacuje tomu, ze slo o pomerne rozsahly utok se znezitymi udaji k ftp zcizenymi z totalcommanderu atd. - a netykal se pouze s19, ale radu podobnych pristupu a defektnich webu jsem nasel i na s04 a s22. Pomerne zajimava je intenzita toho utoku a ze sel z nekolik set zcela ruznych IP, pusobi to dojmem nejakeho botnetu co najednou projizdi tuny webu postupne z jednotlivych serveru, ke kterym sebral udaje (soude dle toho, ze na 22 jsou ty konexe zasadne pozdeji nez na s04, kde jsou naopak mnohem drive nez na s19). Tolik k pricine.Problem se tyka(l) celkem cca 270 domen (celkem ze vsech tri jmenovnych serveru, u nekterych ale nevylucuji ze byly hackle uz drive apod). Kazdopadne, vzhledem k neobvyklemu rozsahu jsem skriptem co pouzivame na preventivni informovani o podobnych problemech opravil vsem dotcenym indexy i pomazal twe.html (resp. to jeste nejakou delsi chvili pobezi, neb tim stejnym skriptem provadim pro jistotu kontrolu webu na nejake dalsi neobvykle skripty). Dale jsem preventivne provedl blokaci nekterych vetsich rozsahu ze kterych bylo alespon nekolik vice IP, i kdyz nepredpokladam valny vyznam... Behem tydne kontaktuje nase podpora dotcene s doporucenim zmeny hesla k FTP (pro uplnost uvadim, ze jinde nez od zakaznika ty hesla moc nemaji jak uniknout, protoze rozlomit salted sha2 kterym prakticky vsechna hesla sifrujeme prakticky nelze). Kazdopadne se ohrazuji proti "server hacknut a napaden iframe virem", to opravdu ne (tim spis ze vlastnikem nahraneho souboru twe je id prislusneho ftp uzivatele).V kazdem pripade dekuji za upozorneni jak tobe, tak jeste jednomu ktery se mi ozval, coz doufam usetrilo, zrovna v tomto case, nemalo lidem neprijemne starosti. Pro uplnost jeste uvadim, ze ma-li nekdo nejaky problem s behem webu, muze se samozrejme obratit na nasi podporu a pozadat o obnovu z prislusne zalohy.

Hostuji u Stationu a mám FileZillu, můj web byl též hacknut.

Pokud používáte pouze obyčejné FTP, tak stačí pouze poslouchat komunikaci a sbírat hesla.Proč matete lidem hlavy s TotalCommanderem apod.

Kohy: muzete nam poslat na mail podpory, o jakou domenu se jedna, abychom pripadne proverili primo tu konkretne a mohli presne definovat, kudy se tam co dostalo. Za nas v tuto chvili muzu potvrdit vyse recene, opravdu nekolik nahodne vybranych domen ktere jsme overili z logu byly prepisovany skrz ftp patrici k prislusne domene.vdusek: jak rikate, dovolim si ale tu mnozinu mozne priciny rozsirit o nejcastejsi - a to proste spatne nastavena prava a derave skripty apod - denne bohuzel narazim na takove, ketri si na web daji joomlu a rekurzivne chmod na 777 protoze "je to nejrychlejsi"... a pak se za rok divi.

Ještě včera pozdě večer jsem to opravoval, jedná se o e-play.cz, budu ale stejně potřebovat se vrátit o pár dní zpět, kam mám v tomto případě napsat? Děkuji

Jasně, těch cest průniku může být více, ale v případě FTP je mnohem snazší poslouchat komunikaci na server a sbírat hesla, než získávat lokální hesla z TotalCommanderu.

Kahy: podpora@station.czvdusek: jeste doplnuji, ze ftps mame jiz nejakou (pomerne dlouhou) pristoupne na vsech serverech - a zrovna ve filezille je skoro hrich ho nepouzivat. V kombinaci neukladani hesel, samozrejme.

To je tak, když se používá neaktualizovaný software. Nebo jde o lokální chybu na Stationu.Email odeslán.

Technici stationu problém vyřešili okamžitě :) Vlákno zavírám, děkuji