On Feb 13, 9:34 pm, crazy bejbi <t...@n...ma> wrote:
> a...@g...com pisze:
>
> > Hm, no jakby ktoś zdobył dostęp do ftp, to by się chyba nie bawił w
> > jakieś tam doklejanie kodu? :-) Ale faktycznie wszystkie hasła mam
> > zapisane na kompie - używam linuksa, i tu normalnie edytor tekstu
> > łączy mi się z serwerem, jeżeli chcę przeedytować jakiś plik :-) Ale w
> > jakiś sposób to coś mogłoby wykraść hasła? Musiałoby się chyba z moim
> > kompem połączyć?
>
> to nie robi człowiek, tylko bot. niemniej poszukaj w logach serwera ftp.
> ja 100% masz połączenia, ze user sie zalogował, potem pobrał plik
> index.php i od razu go wgrał znowu. po czym się rozłączył :)
>
> Wojtek

Wczoraj, po ataku, zapisałem dokładną godzinę tegoż ataku (data
ostatniej modyfikacji zaatakowanych plików). Dzisiaj zajrzałem we
wczorajsze logi, i około tej godziny nikt nie wchodził na stronę.
Czyli to coś musi się przez FTP łączyć? Można gdzieś sprawdzić
historię logowań na FTP? W DirectAdminie mam tylko historię logowań na
DirectAdmina i logi. Są gdzieś w ogóle zapisywane IPy kompów (i
godziny) łączących się z FTP?

do góry

a...@g...com pisze:

> historię logowań na FTP? W DirectAdminie mam tylko historię logowań na
> DirectAdmina i logi. Są gdzieś w ogóle zapisywane IPy kompów (i
> godziny) łączących się z FTP?

no taaaaak, DirectAdmin ...

logujesz się przez ssh na roota albo na usera i przechodzisz na roota
przez komendę sudo -s
i oglądasz plik /var/log/syslog albo /var/log/pure-ftpd/transfer.log
albo /var/log/xferlog
zależnie od dystrybucji i serwera ftp mogą być inne ...

Wojtek

do góry

Generalnie ujmujac sprawe to lekarstwem 'na szybko' przeciwko
problemowi moze byc:

1) jesli ktos ma niewieli ruch do serwera (rzedu kilku Mb/s) i uzywa
linux'a z kernelem z rodziny 2.6 mozna zastanowic sie nad taka regolka
w iptables:

iptables -A INPUT -p tcp -m string --string "rkfg(jflq)" --algo bm -j
DROP

choc z doswiadczenia powiem, ze inspekcja pakietow w > 3 warstwie ISO/
OSI ma drastyczny wplyw na wydajnosc systemu

jesli ktos ma czas i ochote polecam poprobowac z wyborem wlasciwego
(lepszego?) algorytmu (opcja: --algo bm)

2) drugie rozwiazanie, nie zawsze do wprowadzenia - ograniczyc dostep
do ftp tylko dla klientow z wybranych sieci (np. 83.0.0.0/11,
79.184.0.0/13 czy pula przewidziana dla firmy). Wirus laczy sie z
zagranicznych systemow.

--
Matt Rutkowski

do góry

Matt Rutkowski <m...@g...com> wrote:
> Generalnie ujmujac sprawe to lekarstwem 'na szybko' przeciwko
> problemowi moze byc:
>
> 1) jesli ktos ma niewieli ruch do serwera (rzedu kilku Mb/s) i uzywa
> linux'a z kernelem z rodziny 2.6 mozna zastanowic sie nad taka regolka
> w iptables:
>
> iptables -A INPUT -p tcp -m string --string "rkfg(jflq)" --algo bm -j
> DROP

To jest zły, a nawet bardzo zły pomysł. Taki ciąg może trafić
się we wszystkim, zaczynając od sesji ssh, a kończąc na sesji
nntp do serwera news i próbie pobrania tego posta. ;)

Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO581 (Network Solutions)

do góry

Krzysztof Oledzki pisze:

> To jest zły, a nawet bardzo zły pomysł. Taki ciąg może trafić
> się we wszystkim, zaczynając od sesji ssh, a kończąc na sesji
> nntp do serwera news i próbie pobrania tego posta. ;)

poza tym blokujesz tylko wyjście wirusa na zewnątrz. A problem jest,
żeby go nie dopuścić ...

na pewno można poszukać wpisów wirusa na całym serwerze:
wejść do katalogu se stronami (np. /home) i komenda:
grep -r -l ohhe *

oczywiście ciąg może się znaleźć w wielu plikach, to bierzemy pod uwagę
tylko .html, .htm, .php
Wszystkie konta, na których są zmienione pliki najlepiej zacząć od
zmiany hasła do ftp i czyścić pliki ...

Wojtek

do góry

On Feb 14, 1:43 pm, crazy bejbi <t...@n...ma> wrote:
> Krzysztof Oledzki pisze:
>
> > To jest zły, a nawet bardzo zły pomysł. Taki ciąg może trafić
> > się we wszystkim, zaczynając od sesji ssh, a kończąc na sesji
> > nntp do serwera news i próbie pobrania tego posta. ;)
>
> poza tym blokujesz tylko wyjście wirusa na zewnątrz. A problem jest,
> żeby go nie dopuścić ...
>
> na pewno można poszukać wpisów wirusa na całym serwerze:
> wejść do katalogu se stronami (np. /home) i komenda:
> grep -r -l ohhe *
>
> oczywiście ciąg może się znaleźć w wielu plikach, to bierzemy pod uwagę
> tylko .html, .htm, .php
> Wszystkie konta, na których są zmienione pliki najlepiej zacząć od
> zmiany hasła do ftp i czyścić pliki ...
>
> Wojtek

Jk usuniesz ten kod z plików i zmienisz hasło do FTP, to już więcej to
gówno się nie doklei. Ale jak tylko znowu sie połączysz z FTP
(używajac nowego hasła), wirus znowu przechwyci twoje hasło i zabawa
zaczyna się od początku.

Czy komuś udało się usunąć tego wirusa z komputera? Norton Internet
Security nic mi nie wykrywa =(

do góry

> Czy komuś udało się usunąć tego wirusa z komputera?

Moze wystarczy odinstalowac pirackiego Total Commandera z "niespodzianka" w
srodku? ;)

pzdr.

do góry

On Feb 14, 3:45 pm, "Michal Podsiadly" <p...@n...grupy.com> wrote:
> > Czy komuś udało się usunąć tego wirusa z komputera?
>
> Moze wystarczy odinstalowac pirackiego Total Commandera z "niespodzianka" w
> srodku? ;)
>
> pzdr.

Co masz na mysli?

do góry

On Feb 14, 8:04 pm, "b...@g...com" <b...@g...com> wrote:
> On Feb 14, 3:45 pm, "Michal Podsiadly" <p...@n...grupy.com> wrote:
>
> > > Czy komuś udało się usunąć tego wirusa z komputera?
>
> > Moze wystarczy odinstalowac pirackiego Total Commandera z "niespodzianka" w
> > srodku? ;)
>
> > pzdr.
>
> Co masz na mysli?

Doszedłem do tego, że to coś jakoś wykrada hasła. Po zmienieniu hasła
i nie zapisaniu go u siebie w menegerze haseł, atak został
przeprowadzony na inne strony (do których hasło mam zapisane na
kompie), a na tą, gdzie zmieniłem hasło - nie. Siedzę na linuksie, a
na linuksa wirusów podobno nie ma... Te hasła zapisane też ma kumpel,
który siedzi na winxp, jak robił skan kompa, wykryło mu niby jakieś
trojany, może to u niego wykradało te hasła.

do góry

On Feb 14, 3:45 pm, "Michal Podsiadly" <p...@n...grupy.com> wrote:
> > Czy komuś udało się usunąć tego wirusa z komputera?
>
> Moze wystarczy odinstalowac pirackiego Total Commandera z "niespodzianka" w
> srodku? ;)
>
> pzdr.

Rzeczywiście problem był z Total Commanderem, używałem starej wersji,
zainstalowałem najnowszą i na razie jest ok
Dzięki

do góry