-
11. Data: 2009-02-14 09:45:35
Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
Od: a...@g...com
On Feb 13, 9:34 pm, crazy bejbi <t...@n...ma> wrote:
> a...@g...com pisze:
>
> > Hm, no jakby ktoś zdobył dostęp do ftp, to by się chyba nie bawił w
> > jakieś tam doklejanie kodu? :-) Ale faktycznie wszystkie hasła mam
> > zapisane na kompie - używam linuksa, i tu normalnie edytor tekstu
> > łączy mi się z serwerem, jeżeli chcę przeedytować jakiś plik :-) Ale w
> > jakiś sposób to coś mogłoby wykraść hasła? Musiałoby się chyba z moim
> > kompem połączyć?
>
> to nie robi człowiek, tylko bot. niemniej poszukaj w logach serwera ftp.
> ja 100% masz połączenia, ze user sie zalogował, potem pobrał plik
> index.php i od razu go wgrał znowu. po czym się rozłączył :)
>
> Wojtek
Wczoraj, po ataku, zapisałem dokładną godzinę tegoż ataku (data
ostatniej modyfikacji zaatakowanych plików). Dzisiaj zajrzałem we
wczorajsze logi, i około tej godziny nikt nie wchodził na stronę.
Czyli to coś musi się przez FTP łączyć? Można gdzieś sprawdzić
historię logowań na FTP? W DirectAdminie mam tylko historię logowań na
DirectAdmina i logi. Są gdzieś w ogóle zapisywane IPy kompów (i
godziny) łączących się z FTP?
-
12. Data: 2009-02-14 10:11:57
Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
Od: crazy bejbi <t...@n...ma>
a...@g...com pisze:
> historię logowań na FTP? W DirectAdminie mam tylko historię logowań na
> DirectAdmina i logi. Są gdzieś w ogóle zapisywane IPy kompów (i
> godziny) łączących się z FTP?
no taaaaak, DirectAdmin ...
logujesz się przez ssh na roota albo na usera i przechodzisz na roota
przez komendę sudo -s
i oglądasz plik /var/log/syslog albo /var/log/pure-ftpd/transfer.log
albo /var/log/xferlog
zależnie od dystrybucji i serwera ftp mogą być inne ...
Wojtek
-
13. Data: 2009-02-14 12:19:39
Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
Od: Matt Rutkowski <m...@g...com>
Generalnie ujmujac sprawe to lekarstwem 'na szybko' przeciwko
problemowi moze byc:
1) jesli ktos ma niewieli ruch do serwera (rzedu kilku Mb/s) i uzywa
linux'a z kernelem z rodziny 2.6 mozna zastanowic sie nad taka regolka
w iptables:
iptables -A INPUT -p tcp -m string --string "rkfg(jflq)" --algo bm -j
DROP
choc z doswiadczenia powiem, ze inspekcja pakietow w > 3 warstwie ISO/
OSI ma drastyczny wplyw na wydajnosc systemu
jesli ktos ma czas i ochote polecam poprobowac z wyborem wlasciwego
(lepszego?) algorytmu (opcja: --algo bm)
2) drugie rozwiazanie, nie zawsze do wprowadzenia - ograniczyc dostep
do ftp tylko dla klientow z wybranych sieci (np. 83.0.0.0/11,
79.184.0.0/13 czy pula przewidziana dla firmy). Wirus laczy sie z
zagranicznych systemow.
--
Matt Rutkowski
-
14. Data: 2009-02-14 12:35:26
Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
Od: Krzysztof Oledzki <o...@...ns.pl>
Matt Rutkowski <m...@g...com> wrote:
> Generalnie ujmujac sprawe to lekarstwem 'na szybko' przeciwko
> problemowi moze byc:
>
> 1) jesli ktos ma niewieli ruch do serwera (rzedu kilku Mb/s) i uzywa
> linux'a z kernelem z rodziny 2.6 mozna zastanowic sie nad taka regolka
> w iptables:
>
> iptables -A INPUT -p tcp -m string --string "rkfg(jflq)" --algo bm -j
> DROP
To jest zły, a nawet bardzo zły pomysł. Taki ciąg może trafić
się we wszystkim, zaczynając od sesji ssh, a kończąc na sesji
nntp do serwera news i próbie pobrania tego posta. ;)
Pozdrawiam,
Krzysztof Oledzki
--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO581 (Network Solutions)
-
15. Data: 2009-02-14 12:43:27
Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
Od: crazy bejbi <t...@n...ma>
Krzysztof Oledzki pisze:
> To jest zły, a nawet bardzo zły pomysł. Taki ciąg może trafić
> się we wszystkim, zaczynając od sesji ssh, a kończąc na sesji
> nntp do serwera news i próbie pobrania tego posta. ;)
poza tym blokujesz tylko wyjście wirusa na zewnątrz. A problem jest,
żeby go nie dopuścić ...
na pewno można poszukać wpisów wirusa na całym serwerze:
wejść do katalogu se stronami (np. /home) i komenda:
grep -r -l ohhe *
oczywiście ciąg może się znaleźć w wielu plikach, to bierzemy pod uwagę
tylko .html, .htm, .php
Wszystkie konta, na których są zmienione pliki najlepiej zacząć od
zmiany hasła do ftp i czyścić pliki ...
Wojtek
-
16. Data: 2009-02-14 14:27:12
Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
Od: "b...@g...com" <b...@g...com>
On Feb 14, 1:43 pm, crazy bejbi <t...@n...ma> wrote:
> Krzysztof Oledzki pisze:
>
> > To jest zły, a nawet bardzo zły pomysł. Taki ciąg może trafić
> > się we wszystkim, zaczynając od sesji ssh, a kończąc na sesji
> > nntp do serwera news i próbie pobrania tego posta. ;)
>
> poza tym blokujesz tylko wyjście wirusa na zewnątrz. A problem jest,
> żeby go nie dopuścić ...
>
> na pewno można poszukać wpisów wirusa na całym serwerze:
> wejść do katalogu se stronami (np. /home) i komenda:
> grep -r -l ohhe *
>
> oczywiście ciąg może się znaleźć w wielu plikach, to bierzemy pod uwagę
> tylko .html, .htm, .php
> Wszystkie konta, na których są zmienione pliki najlepiej zacząć od
> zmiany hasła do ftp i czyścić pliki ...
>
> Wojtek
Jk usuniesz ten kod z plików i zmienisz hasło do FTP, to już więcej to
gówno się nie doklei. Ale jak tylko znowu sie połączysz z FTP
(używajac nowego hasła), wirus znowu przechwyci twoje hasło i zabawa
zaczyna się od początku.
Czy komuś udało się usunąć tego wirusa z komputera? Norton Internet
Security nic mi nie wykrywa =(
-
17. Data: 2009-02-14 14:45:10
Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
Od: "Michal Podsiadly" <p...@n...grupy.com>
> Czy komuś udało się usunąć tego wirusa z komputera?
Moze wystarczy odinstalowac pirackiego Total Commandera z "niespodzianka" w
srodku? ;)
pzdr.
-
18. Data: 2009-02-14 19:04:50
Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
Od: "b...@g...com" <b...@g...com>
On Feb 14, 3:45 pm, "Michal Podsiadly" <p...@n...grupy.com> wrote:
> > Czy komuś udało się usunąć tego wirusa z komputera?
>
> Moze wystarczy odinstalowac pirackiego Total Commandera z "niespodzianka" w
> srodku? ;)
>
> pzdr.
Co masz na mysli?
-
19. Data: 2009-02-15 11:10:36
Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
Od: a...@g...com
On Feb 14, 8:04 pm, "b...@g...com" <b...@g...com> wrote:
> On Feb 14, 3:45 pm, "Michal Podsiadly" <p...@n...grupy.com> wrote:
>
> > > Czy komuś udało się usunąć tego wirusa z komputera?
>
> > Moze wystarczy odinstalowac pirackiego Total Commandera z "niespodzianka" w
> > srodku? ;)
>
> > pzdr.
>
> Co masz na mysli?
Doszedłem do tego, że to coś jakoś wykrada hasła. Po zmienieniu hasła
i nie zapisaniu go u siebie w menegerze haseł, atak został
przeprowadzony na inne strony (do których hasło mam zapisane na
kompie), a na tą, gdzie zmieniłem hasło - nie. Siedzę na linuksie, a
na linuksa wirusów podobno nie ma... Te hasła zapisane też ma kumpel,
który siedzi na winxp, jak robił skan kompa, wykryło mu niby jakieś
trojany, może to u niego wykradało te hasła.
-
20. Data: 2009-02-15 14:02:52
Temat: Re: [ mallware doklejajacy zdalnie kod do stron ]
Od: "b...@g...com" <b...@g...com>
On Feb 14, 3:45 pm, "Michal Podsiadly" <p...@n...grupy.com> wrote:
> > Czy komuś udało się usunąć tego wirusa z komputera?
>
> Moze wystarczy odinstalowac pirackiego Total Commandera z "niespodzianka" w
> srodku? ;)
>
> pzdr.
Rzeczywiście problem był z Total Commanderem, używałem starej wersji,
zainstalowałem najnowszą i na razie jest ok
Dzięki
do góry
Freelancer: jak pracuje, ile zarabia, skąd ma zlecenia?
