-
Data: 2009-02-13 17:21:10
Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
Od: a...@g...com szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On Feb 11, 3:30 pm, Jacek Osiecki <j...@c...pl> wrote:
> Dnia Wed, 11 Feb 2009 18:02:09 +0100, Spamcop napisał(a):
>
> >>> Dlatego wlasnie nalezy uid serwera ustawiac inny jak uid ftp, i ustawic
> >>> wlasciwe prawa.
> >> Co tym chcesz osiągnąć? I tak musisz dać prawa do odczytu do plików
> >> wrzuconych przez usera dla serwera www. Bo inaczej żadnej strony nie
> >> nagra.
> > skoro www NIE bedzie mialo prawa do zapisu to jak ci ktos zrobi injecta?
>
> Gdzieś będzie musiało mieć, chyba że zrezygnujesz ze smarty ;)
> A na dziadostwa doklejające kod przez FTP i tak nic to nie da...
>
> Pozdrawiam,
> --
> Jacek Osiecki j...@c...pl GG:3828944
> I don't want something I need. I want something I want.
Mam identyczny problem - wczoraj to coś podoklejało mi właśnie taki
kod, jaki podany został w pierwszym mailu.
Dodam, że kod ten zostaje doklejany zaraz za znacznikiem <body>,
jeżeli taki istnieje - w przeciwnym wypadku wrzuca go na końcu
dokumentu.
Mi dokleiło to ten kod do plików nazwanych index.html, index.php,
main.html i home.html (więc zapewne do home.php też by dokleiło).
Wczoraj to coś zaatakowało około południa, po tym jak wyrzuciłem ten
kod - za jakąś godzine znowu się pojawił. Znowu usunąłem - za pół
godziny znowu... Usunąłem - za kilka minut znowu, i w końcu
zainstalowałem taki prototypowy wyłapywacz zawartości tablicy $_SERVER
wszystkich, którzy wchodzą na stronę, i wtedy ataki ustały. Ale
dzisiaj o 11:32 (taką mam datę ostatniej modyfikacji przy
zaatakowanych plikach). Ten wyłapywacz $_SEVER'a jednak nic nie
wykrył, czyli to coś musi chyba przez FTP edytować te pliki. Szukałem
w logach apacha, ale nic niezwykłego tam nie znalazłem.
Dodam że używam PHPTAL'a (system szablonów).
Jeżeli będziecie wiedzieli coś więcej na ten temat, piszcie. Razem to
coś pokonamy ;-)
Następne wpisy z tego wątku
- 13.02.09 17:29 crazy bejbi
- 13.02.09 17:36 a...@g...com
- 13.02.09 20:34 crazy bejbi
- 14.02.09 09:45 a...@g...com
- 14.02.09 10:11 crazy bejbi
- 14.02.09 12:19 Matt Rutkowski
- 14.02.09 12:35 Krzysztof Oledzki
- 14.02.09 12:43 crazy bejbi
- 14.02.09 14:27 b...@g...com
- 14.02.09 14:45 Michal Podsiadly
- 14.02.09 19:04 b...@g...com
- 15.02.09 11:10 a...@g...com
- 15.02.09 14:02 b...@g...com
- 15.02.09 14:10 Daniel
- 18.02.09 10:29 Matt Rutkowski
Najnowsze wątki z tej grupy
- Jest tutaj kto? Halo, Darius Expert?
- Czy to konieczne? ATMAN - 30.06.2019 - Wyłączenie news.atman.pl
- pl.internet.polip - is DEAD?
- ovh
- INEA
- Prośba o traceroute z Vectry
- BGP - wszyscy wkładają głowę w piasek.
- http://pl
- Re: Czemu jest wylaczany serwer w3cache.icm.edu.pl ?
- Taaaka integracaj na rynku, a tu nikt, nic..
- Alternatywna sieć dla internetu kiedyś w Polsce
- ooerator gsm + stały ip z revdns
- Dostęp do ip nostrady
- narzędzia do weryfikacji poprawności bazy WHOIS
- T-mobile bawi się w MITM....
Najnowsze wątki
- 2024-05-26 O co chodzi?
- 2024-05-26 PJ autobus-tramwaj
- 2024-05-26 Renault Trafic i lampka z czerwonym STOP
- 2024-05-26 cena pięciocyfrowa
- 2024-05-26 Re: Jak dobra KE "okrada" złą Rosję "dla Ukrainy"
- 2024-05-25 supercap
- 2024-05-25 Sulzbach => Technischer Rollouter (d/m/w) <=
- 2024-05-25 Warszawa => Senior Account Manager <=
- 2024-05-25 Warszawa => Mid PHP Developer (Laravel) <=
- 2024-05-25 Warszawa => Mid PHP Developer (Laravel) <=
- 2024-05-25 Warszawa => Interactive/Experience Designer <=
- 2024-05-25 Warszawa => Key Account Manager <=
- 2024-05-25 Warszawa => SAP WM Consultant / Execution <=
- 2024-05-25 Warszawa => Key Account Manager <=
- 2024-05-25 Re: znów ten wrocław