-
Path: news-archive.icm.edu.pl!news.gazeta.pl!newsfeed.pionier.net.pl!plix.pl!newsfeed
1.plix.pl!wsisiz.edu.pl!newsfeed.atman.pl!not-for-mail
From: "b...@n...pl" <b...@n...pl>
Newsgroups: pl.internet.polip
Subject: Re: [ mallware doklejajacy zdalnie kod do stron ]
Date: Wed, 11 Feb 2009 08:00:00 +0100
Organization: ATMAN
Lines: 29
Message-ID: <gmtst6$h0o$1@node2.news.atman.pl>
References: <8...@4...googlegroups.com>
<s...@g...intertele.pl> <gmssjp$2aj$1@news.onet.pl>
NNTP-Posting-Host: 195.78.66.5
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: node2.news.atman.pl 1234335462 17432 195.78.66.5 (11 Feb 2009 06:57:42 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Wed, 11 Feb 2009 06:57:42 +0000 (UTC)
User-Agent: Thunderbird 1.5.0.12 (X11/20070719)
In-Reply-To: <gmssjp$2aj$1@news.onet.pl>
Xref: news-archive.icm.edu.pl pl.internet.polip:88938
[ ukryj nagłówki ]Spamcop napisał(a):
> Użytkownik "Piotr Gackiewicz" <g...@i...pl> napisał w wiadomości
> news:slrngp03qk.ll7.gacek@gacek.intertele.pl...
>> Matt Rutkowski <m...@g...com> wrote:
>>> Witam,
>>>
>>> czy ktos spotkal sie z mallware ktore w nieznany mi dotad sposob
>>> dokleja zdalnie nastepujacy kod javascript do stron o nazwie
>>> index.php, index.html, main.html, main.php
>> Nie wiem, czy z tym konkretnym syfem, ale z podobnymi miałem do czynienia
>> kilkakrotnie. Zawsze doklejało się przez FTPa, inicjowanego zwykle z IP
>> spoza Polski.
>>
>> Podejrzewam, że loginy i hasła wykradane są z rejestru Windows przez inny
>> malware, podmiana plików była zawsze z innych IP niż zwykle używane do
>> tych
>> konkretnych kont FTP.
>
> Dlatego wlasnie nalezy uid serwera ustawiac inny jak uid ftp, i ustawic
> wlasciwe prawa.
>
Co tym chcesz osiągnąć? I tak musisz dać prawa do odczytu do plików
wrzuconych przez usera dla serwera www. Bo inaczej żadnej strony nie nagra.
Ja ostatnio trafiłem na podobny syf, ale zamiast doklejać się wgrywa
.htaccess z rewrite na stronkę z jakimś syfem.
wer
Następne wpisy z tego wątku
- 11.02.09 17:02 Spamcop
- 11.02.09 20:30 Jacek Osiecki
- 13.02.09 17:21 a...@g...com
- 13.02.09 17:29 crazy bejbi
- 13.02.09 17:36 a...@g...com
- 13.02.09 20:34 crazy bejbi
- 14.02.09 09:45 a...@g...com
- 14.02.09 10:11 crazy bejbi
- 14.02.09 12:19 Matt Rutkowski
- 14.02.09 12:35 Krzysztof Oledzki
- 14.02.09 12:43 crazy bejbi
- 14.02.09 14:27 b...@g...com
- 14.02.09 14:45 Michal Podsiadly
- 14.02.09 19:04 b...@g...com
- 15.02.09 11:10 a...@g...com
Najnowsze wątki z tej grupy
- Jest tutaj kto? Halo, Darius Expert?
- Czy to konieczne? ATMAN - 30.06.2019 - Wyłączenie news.atman.pl
- pl.internet.polip - is DEAD?
- ovh
- INEA
- Prośba o traceroute z Vectry
- BGP - wszyscy wkładają głowę w piasek.
- http://pl
- Re: Czemu jest wylaczany serwer w3cache.icm.edu.pl ?
- Taaaka integracaj na rynku, a tu nikt, nic..
- Alternatywna sieć dla internetu kiedyś w Polsce
- ooerator gsm + stały ip z revdns
- Dostęp do ip nostrady
- narzędzia do weryfikacji poprawności bazy WHOIS
- T-mobile bawi się w MITM....
Najnowsze wątki
- 2024-05-18 Warszawa => Mid PHP Developer (Laravel) <=
- 2024-05-18 Warszawa => Software .Net Developer <=
- 2024-05-18 Warszawa => Mid/Senior QA Engineer <=
- 2024-05-18 Ulm => Solution Architect (sichere Kommunikation und IoT-Loesungen <=
- 2024-05-18 Katowice => Head of Virtualization Platform Management and Operating S
- 2024-05-18 Warszawa => SAP WM Consultant / Execution <=
- 2024-05-18 Wrocław => Consultant/Implementer Comarch ERP XL <=
- 2024-05-18 Gdańsk => Head of International Freight Forwarding Department <=
- 2024-05-18 Warszawa => Account Manager (Recruitment Services) <=
- 2024-05-18 Łódź => Salesperson - CRM Systems <=
- 2024-05-18 Łódź => Handlowiec - Systemy CRM <=
- 2024-05-17 ZŁOMNIK o pracy w TVN TURBO, nowych przepisach i współczesnej motoryzacji. Turbo Taryfa!
- 2024-05-17 Białystok => DevOps Engineer Conexa First (Contractor) <=
- 2024-05-17 Warszawa => Starszy inżynier oprogramowania (Rust) <=
- 2024-05-17 Zabrze => Junior HelpDesk <=