Re: [ mallware doklejajacy zdalnie kod do stron ] - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.internet.polip › [ mallware doklejajacy zdalnie kod do stron ] › Re: [ mallware doklejajacy zdalnie kod do stron ]

Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!wsisiz.edu.pl!plix.pl!newsfeed1.plix
.pl!newsfeed00.sul.t-online.de!t-online.de!border2.nntp.dca.giganews.com!nntp.g
iganews.com!postnews.google.com!c12g2000yqj.googlegroups.com!not-for-mail
From: a...@g...com
Newsgroups: pl.internet.polip
Subject: Re: [ mallware doklejajacy zdalnie kod do stron ]
Date: Sat, 14 Feb 2009 01:45:35 -0800 (PST)
Organization: http://groups.google.com
Lines: 29
Message-ID: <1...@c...googlegroups.com>
References: <8...@4...googlegroups.com>
<s...@g...intertele.pl> <gmssjp$2aj$1@news.onet.pl>
<gmtst6$h0o$1@node2.news.atman.pl> <gmv0ds$hsv$1@news.onet.pl>
<s...@t...ceti.pl>
<8...@m...googlegroups.com>
<gn4an8$rgc$1@inews.gazeta.pl>
<d...@l...googlegroups.com>
<gn4li1$1ak$1@inews.gazeta.pl>
NNTP-Posting-Host: 83.10.29.116
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: quoted-printable
X-Trace: posting.google.com 1234604735 20808 127.0.0.1 (14 Feb 2009 09:45:35 GMT)
X-Complaints-To: g...@g...com
NNTP-Posting-Date: Sat, 14 Feb 2009 09:45:35 +0000 (UTC)
Complaints-To: g...@g...com
Injection-Info: c12g2000yqj.googlegroups.com; posting-host=83.10.29.116;
posting-account=uVpAMAoAAADSwapcwKJodUR4CZtA2CTl
User-Agent: G2/1.0
X-HTTP-UserAgent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.4pre)
Gecko/2008101118 Firefox/3.0.4pre (Swiftfox),gzip(gfe),gzip(gfe)
Xref: news-archive.icm.edu.pl pl.internet.polip:88963
[ ukryj nagłówki ]

On Feb 13, 9:34 pm, crazy bejbi <t...@n...ma> wrote:
> a...@g...com pisze:
>
> > Hm, no jakby ktoś zdobył dostęp do ftp, to by się chyba nie bawił w
> > jakieś tam doklejanie kodu? :-) Ale faktycznie wszystkie hasła mam
> > zapisane na kompie - używam linuksa, i tu normalnie edytor tekstu
> > łączy mi się z serwerem, jeżeli chcę przeedytować jakiś plik :-) Ale w
> > jakiś sposób to coś mogłoby wykraść hasła? Musiałoby się chyba z moim
> > kompem połączyć?
>
> to nie robi człowiek, tylko bot. niemniej poszukaj w logach serwera ftp.
> ja 100% masz połączenia, ze user sie zalogował, potem pobrał plik
> index.php i od razu go wgrał znowu. po czym się rozłączył :)
>
> Wojtek

Wczoraj, po ataku, zapisałem dokładną godzinę tegoż ataku (data
ostatniej modyfikacji zaatakowanych plików). Dzisiaj zajrzałem we
wczorajsze logi, i około tej godziny nikt nie wchodził na stronę.
Czyli to coś musi się przez FTP łączyć? Można gdzieś sprawdzić
historię logowań na FTP? W DirectAdminie mam tylko historię logowań na
DirectAdmina i logi. Są gdzieś w ogóle zapisywane IPy kompów (i
godziny) łączących się z FTP?