Re: [ mallware doklejajacy zdalnie kod do stron ] - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.internet.polip › [ mallware doklejajacy zdalnie kod do stron ] › Re: [ mallware doklejajacy zdalnie kod do stron ]

Data: 2009-02-13 17:36:01
Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
Od: a...@g...com szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]

On Feb 13, 6:29 pm, crazy bejbi <t...@n...ma> wrote:
> a...@g...com pisze:
>
>
>
> > On Feb 11, 3:30 pm, Jacek Osiecki <j...@c...pl> wrote:
> >> Dnia Wed, 11 Feb 2009 18:02:09 +0100, Spamcop napisał(a):
>
> >>>>> Dlatego wlasnie nalezy uid serwera ustawiac inny jak uid ftp, i ustawic
> >>>>> wlasciwe prawa.
> >>>> Co tym chcesz osiągnąć? I tak musisz dać prawa do odczytu do plików
> >>>> wrzuconych przez usera dla serwera www. Bo inaczej żadnej strony nie
> >>>> nagra.
> >>> skoro www NIE bedzie mialo prawa do zapisu to jak ci ktos zrobi injecta?
> >> Gdzieś będzie musiało mieć, chyba że zrezygnujesz ze smarty ;)
> >> A na dziadostwa doklejające kod przez FTP i tak nic to nie da...
>
> >> Pozdrawiam,
> >> --
> >> Jacek Osiecki j...@c...pl GG:3828944
> >> I don't want something I need. I want something I want.
>
> > Mam identyczny problem - wczoraj to coś podoklejało mi właśnie taki
> > kod, jaki podany został w pierwszym mailu.
>
> > Dodam, że kod ten zostaje doklejany zaraz za znacznikiem <body>,
> > jeżeli taki istnieje - w przeciwnym wypadku wrzuca go na końcu
> > dokumentu.
> > Mi dokleiło to ten kod do plików nazwanych index.html, index.php,
> > main.html i home.html (więc zapewne do home.php też by dokleiło).
> > Wczoraj to coś zaatakowało około południa, po tym jak wyrzuciłem ten
> > kod - za jakąś godzine znowu się pojawił. Znowu usunąłem - za pół
> > godziny znowu... Usunąłem - za kilka minut znowu, i w końcu
> > zainstalowałem taki prototypowy wyłapywacz zawartości tablicy $_SERVER
> > wszystkich, którzy wchodzą na stronę, i wtedy ataki ustały. Ale
> > dzisiaj o 11:32 (taką mam datę ostatniej modyfikacji przy
> > zaatakowanych plikach). Ten wyłapywacz $_SEVER'a jednak nic nie
> > wykrył, czyli to coś musi chyba przez FTP edytować te pliki. Szukałem
> > w logach apacha, ale nic niezwykłego tam nie znalazłem.
>
> są klasyczne połączenia ftp
> najpierw pobranie pliku np. index.php a potem wgranie go znowu.
> czyli jak ci sie dokleja, to znaczy, że masz syfa na kompie, który
> wykrada loginy i hasła do ftp (np. z totalcommandera)
>
> najprościej zmienić hasło do ftp
>
> Wojtek

Hm, no jakby ktoś zdobył dostęp do ftp, to by się chyba nie bawił w
jakieś tam doklejanie kodu? :-) Ale faktycznie wszystkie hasła mam
zapisane na kompie - używam linuksa, i tu normalnie edytor tekstu
łączy mi się z serwerem, jeżeli chcę przeedytować jakiś plik :-) Ale w
jakiś sposób to coś mogłoby wykraść hasła? Musiałoby się chyba z moim
kompem połączyć?