-
Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!opal.futuro.pl!news.internetia.pl!ne
ws.nask.pl!news.nask.org.pl!news.germany.com!postnews.google.com!l39g2000yqn.go
oglegroups.com!not-for-mail
From: a...@g...com
Newsgroups: pl.internet.polip
Subject: Re: [ mallware doklejajacy zdalnie kod do stron ]
Date: Fri, 13 Feb 2009 09:36:01 -0800 (PST)
Organization: http://groups.google.com
Lines: 68
Message-ID: <d...@l...googlegroups.com>
References: <8...@4...googlegroups.com>
<s...@g...intertele.pl> <gmssjp$2aj$1@news.onet.pl>
<gmtst6$h0o$1@node2.news.atman.pl> <gmv0ds$hsv$1@news.onet.pl>
<s...@t...ceti.pl>
<8...@m...googlegroups.com>
<gn4an8$rgc$1@inews.gazeta.pl>
NNTP-Posting-Host: 83.10.18.204
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: quoted-printable
X-Trace: posting.google.com 1234546561 18204 127.0.0.1 (13 Feb 2009 17:36:01 GMT)
X-Complaints-To: g...@g...com
NNTP-Posting-Date: Fri, 13 Feb 2009 17:36:01 +0000 (UTC)
Complaints-To: g...@g...com
Injection-Info: l39g2000yqn.googlegroups.com; posting-host=83.10.18.204;
posting-account=uVpAMAoAAADSwapcwKJodUR4CZtA2CTl
User-Agent: G2/1.0
X-HTTP-UserAgent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.4pre)
Gecko/2008101118 Firefox/3.0.4pre (Swiftfox),gzip(gfe),gzip(gfe)
Xref: news-archive.icm.edu.pl pl.internet.polip:88959
[ ukryj nagłówki ]On Feb 13, 6:29 pm, crazy bejbi <t...@n...ma> wrote:
> a...@g...com pisze:
>
>
>
> > On Feb 11, 3:30 pm, Jacek Osiecki <j...@c...pl> wrote:
> >> Dnia Wed, 11 Feb 2009 18:02:09 +0100, Spamcop napisał(a):
>
> >>>>> Dlatego wlasnie nalezy uid serwera ustawiac inny jak uid ftp, i ustawic
> >>>>> wlasciwe prawa.
> >>>> Co tym chcesz osiągnąć? I tak musisz dać prawa do odczytu do plików
> >>>> wrzuconych przez usera dla serwera www. Bo inaczej żadnej strony nie
> >>>> nagra.
> >>> skoro www NIE bedzie mialo prawa do zapisu to jak ci ktos zrobi injecta?
> >> Gdzieś będzie musiało mieć, chyba że zrezygnujesz ze smarty ;)
> >> A na dziadostwa doklejające kod przez FTP i tak nic to nie da...
>
> >> Pozdrawiam,
> >> --
> >> Jacek Osiecki j...@c...pl GG:3828944
> >> I don't want something I need. I want something I want.
>
> > Mam identyczny problem - wczoraj to coś podoklejało mi właśnie taki
> > kod, jaki podany został w pierwszym mailu.
>
> > Dodam, że kod ten zostaje doklejany zaraz za znacznikiem <body>,
> > jeżeli taki istnieje - w przeciwnym wypadku wrzuca go na końcu
> > dokumentu.
> > Mi dokleiło to ten kod do plików nazwanych index.html, index.php,
> > main.html i home.html (więc zapewne do home.php też by dokleiło).
> > Wczoraj to coś zaatakowało około południa, po tym jak wyrzuciłem ten
> > kod - za jakąś godzine znowu się pojawił. Znowu usunąłem - za pół
> > godziny znowu... Usunąłem - za kilka minut znowu, i w końcu
> > zainstalowałem taki prototypowy wyłapywacz zawartości tablicy $_SERVER
> > wszystkich, którzy wchodzą na stronę, i wtedy ataki ustały. Ale
> > dzisiaj o 11:32 (taką mam datę ostatniej modyfikacji przy
> > zaatakowanych plikach). Ten wyłapywacz $_SEVER'a jednak nic nie
> > wykrył, czyli to coś musi chyba przez FTP edytować te pliki. Szukałem
> > w logach apacha, ale nic niezwykłego tam nie znalazłem.
>
> są klasyczne połączenia ftp
> najpierw pobranie pliku np. index.php a potem wgranie go znowu.
> czyli jak ci sie dokleja, to znaczy, że masz syfa na kompie, który
> wykrada loginy i hasła do ftp (np. z totalcommandera)
>
> najprościej zmienić hasło do ftp
>
> Wojtek
Hm, no jakby ktoś zdobył dostęp do ftp, to by się chyba nie bawił w
jakieś tam doklejanie kodu? :-) Ale faktycznie wszystkie hasła mam
zapisane na kompie - używam linuksa, i tu normalnie edytor tekstu
łączy mi się z serwerem, jeżeli chcę przeedytować jakiś plik :-) Ale w
jakiś sposób to coś mogłoby wykraść hasła? Musiałoby się chyba z moim
kompem połączyć?
Następne wpisy z tego wątku
- 13.02.09 20:34 crazy bejbi
- 14.02.09 09:45 a...@g...com
- 14.02.09 10:11 crazy bejbi
- 14.02.09 12:19 Matt Rutkowski
- 14.02.09 12:35 Krzysztof Oledzki
- 14.02.09 12:43 crazy bejbi
- 14.02.09 14:27 b...@g...com
- 14.02.09 14:45 Michal Podsiadly
- 14.02.09 19:04 b...@g...com
- 15.02.09 11:10 a...@g...com
- 15.02.09 14:02 b...@g...com
- 15.02.09 14:10 Daniel
- 18.02.09 10:29 Matt Rutkowski
- 18.02.09 15:00 a...@g...com
- 19.02.09 10:57 b...@n...pl
Najnowsze wątki z tej grupy
- Jest tutaj kto? Halo, Darius Expert?
- Czy to konieczne? ATMAN - 30.06.2019 - Wyłączenie news.atman.pl
- pl.internet.polip - is DEAD?
- ovh
- INEA
- Prośba o traceroute z Vectry
- BGP - wszyscy wkładają głowę w piasek.
- http://pl
- Re: Czemu jest wylaczany serwer w3cache.icm.edu.pl ?
- Taaaka integracaj na rynku, a tu nikt, nic..
- Alternatywna sieć dla internetu kiedyś w Polsce
- ooerator gsm + stały ip z revdns
- Dostęp do ip nostrady
- narzędzia do weryfikacji poprawności bazy WHOIS
- T-mobile bawi się w MITM....
Najnowsze wątki
- 2025-02-14 Zdalne załączanie grzałki bojlera elektrycznego
- 2025-02-14 Warszawa => Kierownik ds. kluczowych Klientów <=
- 2025-02-14 Częstochowa => Product Manager - Systemy infrastruktury teleinformaty
- 2025-02-14 Warszawa => Senior Frontend Developer (React + React Native) <=
- 2025-02-14 Warszawa => Data Engineer (Tech Leader) <=
- 2025-02-14 Czy ma sens grupa news:pl.soc.polityka-prawna ? :-)
- 2025-02-14 e-paper
- 2025-02-14 Gliwice => Business Development Manager - Network and Network Security
- 2025-02-14 Warszawa => System Architect (Java background) <=
- 2025-02-14 Katowice => Senior Field Sales (system ERP) <=
- 2025-02-14 Wrocław => Specjalista ds. Sprzedaży (transport drogowy) <=
- 2025-02-14 Re: Dlaczego nie było (pełzającego) zamachu stanu? Bo minister Bodnar już "zawiesił" prokuratora Ostrowskiego
- 2025-02-14 e-paper
- 2025-02-14 Warszawa => Architekt rozwiązań (doświadczenie w obszarze Java, AWS
- 2025-02-14 Warszawa => International Freight Forwarder <=