On Feb 11, 3:30 pm, Jacek Osiecki <j...@c...pl> wrote:
> Dnia Wed, 11 Feb 2009 18:02:09 +0100, Spamcop napisał(a):
>
> >>> Dlatego wlasnie nalezy uid serwera ustawiac inny jak uid ftp, i ustawic
> >>> wlasciwe prawa.
> >> Co tym chcesz osiągnąć? I tak musisz dać prawa do odczytu do plików
> >> wrzuconych przez usera dla serwera www. Bo inaczej żadnej strony nie
> >> nagra.
> > skoro www NIE bedzie mialo prawa do zapisu to jak ci ktos zrobi injecta?
>
> Gdzieś będzie musiało mieć, chyba że zrezygnujesz ze smarty ;)
> A na dziadostwa doklejające kod przez FTP i tak nic to nie da...
>
> Pozdrawiam,
> --
> Jacek Osiecki j...@c...pl GG:3828944
> I don't want something I need. I want something I want.

Mam identyczny problem - wczoraj to coś podoklejało mi właśnie taki
kod, jaki podany został w pierwszym mailu.

Dodam, że kod ten zostaje doklejany zaraz za znacznikiem <body>,
jeżeli taki istnieje - w przeciwnym wypadku wrzuca go na końcu
dokumentu.
Mi dokleiło to ten kod do plików nazwanych index.html, index.php,
main.html i home.html (więc zapewne do home.php też by dokleiło).
Wczoraj to coś zaatakowało około południa, po tym jak wyrzuciłem ten
kod - za jakąś godzine znowu się pojawił. Znowu usunąłem - za pół
godziny znowu... Usunąłem - za kilka minut znowu, i w końcu
zainstalowałem taki prototypowy wyłapywacz zawartości tablicy $_SERVER
wszystkich, którzy wchodzą na stronę, i wtedy ataki ustały. Ale
dzisiaj o 11:32 (taką mam datę ostatniej modyfikacji przy
zaatakowanych plikach). Ten wyłapywacz $_SEVER'a jednak nic nie
wykrył, czyli to coś musi chyba przez FTP edytować te pliki. Szukałem
w logach apacha, ale nic niezwykłego tam nie znalazłem.

Dodam że używam PHPTAL'a (system szablonów).

Jeżeli będziecie wiedzieli coś więcej na ten temat, piszcie. Razem to
coś pokonamy ;-)