-
Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
From: crazy bejbi <t...@n...ma>
Newsgroups: pl.internet.polip
Subject: Re: [ mallware doklejajacy zdalnie kod do stron ]
Date: Fri, 13 Feb 2009 18:29:54 +0100
Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
Lines: 44
Message-ID: <gn4an8$rgc$1@inews.gazeta.pl>
References: <8...@4...googlegroups.com>
<s...@g...intertele.pl> <gmssjp$2aj$1@news.onet.pl>
<gmtst6$h0o$1@node2.news.atman.pl> <gmv0ds$hsv$1@news.onet.pl>
<s...@t...ceti.pl>
<8...@m...googlegroups.com>
NNTP-Posting-Host: nat-91-153.trustnet.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: inews.gazeta.pl 1234546216 28172 193.93.91.153 (13 Feb 2009 17:30:16 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Fri, 13 Feb 2009 17:30:16 +0000 (UTC)
X-User: wojciech.babicz
In-Reply-To: <8...@m...googlegroups.com>
User-Agent: Thunderbird 2.0.0.19 (Windows/20081209)
Xref: news-archive.icm.edu.pl pl.internet.polip:88958
[ ukryj nagłówki ]a...@g...com pisze:
> On Feb 11, 3:30 pm, Jacek Osiecki <j...@c...pl> wrote:
>> Dnia Wed, 11 Feb 2009 18:02:09 +0100, Spamcop napisał(a):
>>
>>>>> Dlatego wlasnie nalezy uid serwera ustawiac inny jak uid ftp, i ustawic
>>>>> wlasciwe prawa.
>>>> Co tym chcesz osiągnąć? I tak musisz dać prawa do odczytu do plików
>>>> wrzuconych przez usera dla serwera www. Bo inaczej żadnej strony nie
>>>> nagra.
>>> skoro www NIE bedzie mialo prawa do zapisu to jak ci ktos zrobi injecta?
>> Gdzieś będzie musiało mieć, chyba że zrezygnujesz ze smarty ;)
>> A na dziadostwa doklejające kod przez FTP i tak nic to nie da...
>>
>> Pozdrawiam,
>> --
>> Jacek Osiecki j...@c...pl GG:3828944
>> I don't want something I need. I want something I want.
>
> Mam identyczny problem - wczoraj to coś podoklejało mi właśnie taki
> kod, jaki podany został w pierwszym mailu.
>
> Dodam, że kod ten zostaje doklejany zaraz za znacznikiem <body>,
> jeżeli taki istnieje - w przeciwnym wypadku wrzuca go na końcu
> dokumentu.
> Mi dokleiło to ten kod do plików nazwanych index.html, index.php,
> main.html i home.html (więc zapewne do home.php też by dokleiło).
> Wczoraj to coś zaatakowało około południa, po tym jak wyrzuciłem ten
> kod - za jakąś godzine znowu się pojawił. Znowu usunąłem - za pół
> godziny znowu... Usunąłem - za kilka minut znowu, i w końcu
> zainstalowałem taki prototypowy wyłapywacz zawartości tablicy $_SERVER
> wszystkich, którzy wchodzą na stronę, i wtedy ataki ustały. Ale
> dzisiaj o 11:32 (taką mam datę ostatniej modyfikacji przy
> zaatakowanych plikach). Ten wyłapywacz $_SEVER'a jednak nic nie
> wykrył, czyli to coś musi chyba przez FTP edytować te pliki. Szukałem
> w logach apacha, ale nic niezwykłego tam nie znalazłem.
są klasyczne połączenia ftp
najpierw pobranie pliku np. index.php a potem wgranie go znowu.
czyli jak ci sie dokleja, to znaczy, że masz syfa na kompie, który
wykrada loginy i hasła do ftp (np. z totalcommandera)
najprościej zmienić hasło do ftp
Wojtek
Następne wpisy z tego wątku
- 13.02.09 17:36 a...@g...com
- 13.02.09 20:34 crazy bejbi
- 14.02.09 09:45 a...@g...com
- 14.02.09 10:11 crazy bejbi
- 14.02.09 12:19 Matt Rutkowski
- 14.02.09 12:35 Krzysztof Oledzki
- 14.02.09 12:43 crazy bejbi
- 14.02.09 14:27 b...@g...com
- 14.02.09 14:45 Michal Podsiadly
- 14.02.09 19:04 b...@g...com
- 15.02.09 11:10 a...@g...com
- 15.02.09 14:02 b...@g...com
- 15.02.09 14:10 Daniel
- 18.02.09 10:29 Matt Rutkowski
- 18.02.09 15:00 a...@g...com
Najnowsze wątki z tej grupy
- Jest tutaj kto? Halo, Darius Expert?
- Czy to konieczne? ATMAN - 30.06.2019 - Wyłączenie news.atman.pl
- pl.internet.polip - is DEAD?
- ovh
- INEA
- Prośba o traceroute z Vectry
- BGP - wszyscy wkładają głowę w piasek.
- http://pl
- Re: Czemu jest wylaczany serwer w3cache.icm.edu.pl ?
- Taaaka integracaj na rynku, a tu nikt, nic..
- Alternatywna sieć dla internetu kiedyś w Polsce
- ooerator gsm + stały ip z revdns
- Dostęp do ip nostrady
- narzędzia do weryfikacji poprawności bazy WHOIS
- T-mobile bawi się w MITM....
Najnowsze wątki
- 2024-05-18 Warszawa => Mid PHP Developer (Laravel) <=
- 2024-05-18 Warszawa => Software .Net Developer <=
- 2024-05-18 Warszawa => Mid/Senior QA Engineer <=
- 2024-05-18 Ulm => Solution Architect (sichere Kommunikation und IoT-Loesungen <=
- 2024-05-18 Katowice => Head of Virtualization Platform Management and Operating S
- 2024-05-18 Warszawa => SAP WM Consultant / Execution <=
- 2024-05-18 Wrocław => Consultant/Implementer Comarch ERP XL <=
- 2024-05-18 Gdańsk => Head of International Freight Forwarding Department <=
- 2024-05-18 Warszawa => Account Manager (Recruitment Services) <=
- 2024-05-18 Łódź => Salesperson - CRM Systems <=
- 2024-05-18 Łódź => Handlowiec - Systemy CRM <=
- 2024-05-17 ZŁOMNIK o pracy w TVN TURBO, nowych przepisach i współczesnej motoryzacji. Turbo Taryfa!
- 2024-05-17 Białystok => DevOps Engineer Conexa First (Contractor) <=
- 2024-05-17 Warszawa => Starszy inżynier oprogramowania (Rust) <=
- 2024-05-17 Zabrze => Junior HelpDesk <=