Prohlížení tohoto vlákna:
2 Anonymní uživatelé
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Nováček
Členem od:
14:59 11.10.2008 Skupina:
Registrovaní uživatelé Příspěvky:
10
|
Hm, tak mně už také napadli e-shop www.rodinkov.cz - nedostanu se do něj vůbec. :o((((
A říkala jsem si, že nějak často se mi tam objevují IP adresy s konečnou .nl a .hu :o(((( Tož doufám, že se to rychle vyřeší. A důležitý poznatek večer předtím se nám také na PC objevil trojan a pak další celý den až do odpoledne, když už jsem se do adminu nedostala. Teď už vím, že to s tím má souvislost, jenže pozdě bycha honit.
Zasláno: 21:25 24.10.2009
|
|
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Expert
Členem od:
16:38 26.8.2007 Bydliště Mělník
Skupina:
Registrovaní uživatelé Příspěvky:
97
|
Doporucuji alespon toto v .htaccess
RewriteEngine on # spamrobots RewriteBase / RewriteCond %{HTTP_USER_AGENT} ^Anarchie [OR] RewriteCond %{HTTP_USER_AGENT} ^ASPSeek [OR] RewriteCond %{HTTP_USER_AGENT} ^attach [OR] RewriteCond %{HTTP_USER_AGENT} ^autoemailspider [OR] RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR] RewriteCond %{HTTP_USER_AGENT} ^Xenu [OR] RewriteCond %{HTTP_USER_AGENT} ^Zeus.*Webster [OR] RewriteCond %{HTTP_USER_AGENT} ^Zeus RewriteRule ^.* - [F,L] v adresari kde jsou obrazky take v .htaccess php_value engine off take se vyplati upravy .htaccess nejlip od korene webu v zavislosti na povaze shopu RedirectMatch (.*)\.cgi$ http://FAKE__URL__ADRESA <Limit POST PUT> order deny,allow deny from all Allow from IP_WEBOVE_ADMINISTRACE Allow from IP_ADMINA </Limit> <Files .htaccess> order allow,deny deny from all </Files> / upravy samozrejme po zaloze a pokud vite co delate / DURAZNE doporucuju take udelat bezpecnostni patche viz http://www.zen-cart.com/forum/showthread.php?t=130161 Dale si skontrolovat tabulky record_companies atd jestli se tam neukladaji nejaka nezvykla data, pripadne je rovnou smazat, pokud je nevyuzivate Samozrejmosti je pokud ste byli napadeni, proverit dukladne PC, zmenit hesla do admina, FTP a zmenu adresare minimalne pro administraci. mozna este do application_top.php pridat na zacatek $paramsToCheck = array('main_page', 'cPath', 'products_id', 'language', 'currency', 'action', 'manufacturers_id', 'pID', 'pid', 'reviews_id', 'filter_id', 'zenid', 'sort', 'number_of_uploads', 'notify', 'page_holder', 'chapter', 'alpha_filter_id', 'typefilter', 'disp_order', 'id', 'key', 'music_genre_id', 'record_company_id', 'set_session_login', 'faq_item', 'edit', 'delete', 'search_in_description', 'dfrom', 'pfrom', 'dto', 'pto', 'inc_subcat', 'payment_error', 'order', 'gv_no', 'pos', 'addr', 'error', 'count', 'error_message', 'info_message', 'cID', 'page'); $contaminated = false; foreach($paramsToCheck as $key) { if (isset($_GET[$key]) && substr($_GET[$key], 0, 4) == 'http') { $contaminated = true; break; } if (isset($_GET[$key]) && strlen($_GET[$key]) > 43) { $contaminated = true; } } if ($contaminated || isset($_GET['autoLoadConfig']) || isset($_GET['mosConfig_absolute_path']) || isset($_FILES['GLOBALS']) || isset($_REQUEST['GLOBALS']) ) { header('HTTP/1.1 406 Not Acceptable'); exit(0); }
Zasláno: 19:39 25.10.2009
|
|
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Guru
Členem od:
16:36 17.1.2009 Skupina:
Registrovaní uživatelé Příspěvky:
157
|
No dlouho jsem shop nekontroloval , tak jsem to ted cele prolizal - v images jsem nasel 2 podivne soubory .php pojmenovane jako :
img31648516.php img48926750.php Zkousel jsem je projet nodem , ale hlasi ze jsou v poradku - jsou nejake zakodovane - no poslal jsem je nodu na analyzu, sem to radsi davat nebudu jinak na shopu jsem zkousel hledat iframe , income , viagra, i+f+r+a+m, ...... Soubory tam byly vlozeny pred vic nez 3 mesicama , tak snad to nenapachalo zadne skody a podchytil jsem to ve spanku .
Zasláno: 21:16 25.10.2009
|
|
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Nováček
Členem od:
14:59 11.10.2008 Skupina:
Registrovaní uživatelé Příspěvky:
10
|
Nevíte, někdo? Patří do Zencartu soubory typu core13551.php třeba ve www/cache core14191.php ve www/images atd.?
a noskinoskieskimoski.php uloženo ve www/images? Díky moc Lenka
Zasláno: 7:32 26.10.2009
|
|
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Nováček
Členem od:
14:59 11.10.2008 Skupina:
Registrovaní uživatelé Příspěvky:
10
|
Jinak kyk děkujeme za rady. Patch jsme stáhli, změnili veškeré přístupy. Asi potřetí kontrolujeme disky, tak snad to už pomůže.
Zasláno: 8:08 26.10.2009
|
|
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Webmaster
Členem od:
22:00 29.8.2005 Bydliště Brno
Skupina:
Administrátoři Vývojáři Příspěvky:
2124
|
Citát:
Pochybuji, že jsou to soubory Zencartu. Já je mazal.
Zasláno: 10:12 26.10.2009
|
|
_________________
Prodej zencart.cz Virtuální sídlo firmy v Brně Pronájem salónku v Brně, oslavy, pronájmy prostor v Brně ----- "Nikdo není dokonalý" .... radím Vám zálohujte |
||
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Nováček
Členem od:
14:59 11.10.2008 Skupina:
Registrovaní uživatelé Příspěvky:
10
|
Hm, mi se také zdají být divné, zvlášť když se do nich kouknu a mají tam plno nicneříkajících písmen :o((
Jo, a pořád si nechtějí dát pokoj. Koukají se na stránky, kde je index.php atd. Tak jsem zvědavá, zda naše ochrana obstojí, nebo ne.
Zasláno: 11:05 26.10.2009
|
|
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Expert
Členem od:
16:38 26.8.2007 Bydliště Mělník
Skupina:
Registrovaní uživatelé Příspěvky:
97
|
Do adresare Images nepatří nic než obrázky (standardních formátů) a htaccess. (případně podadresáře)
Jakékoliv jiné formáty obrázků - filtrovat na úrovni upload scriptu případně mezi židlou a klávesnicí. Zaznamenali jsme i útoky Python scripty, pokusy o volání stránek ktere neexistuji /1387969215/text/includes/templates/silverfish/css/includes/templates/silverfish/css/stylesheet_wgs.css prozvaneni... /callto:+420603xxxxxx HTTP/1.1" 200 65709 "-" "Java/1.6.0_15" hlavně doporučuju skouknout v db tabulky jak jsem psal výš, u nás tam byly uloženy cesty k škodlivým souborům. Nakonec jsme tabulky s prefixem record_ smazali, pač je nevyužíváme. Doporučuju také se důkladně zamyslet nad tím, kde použít CHMOD 777 a kde nižší úroveň
Zasláno: 15:51 26.10.2009
|
|
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Guru
Členem od:
16:36 17.1.2009 Skupina:
Registrovaní uživatelé Příspěvky:
157
|
No tak ty dva php soubory jak jsem o nich psal , tak ty se tam dostaly přes ty nahrávací společnosti - tak jak psal kyk
( asi bych to uplně vymázl - stačí jen v v admnu, nebo musím i v databázi ???? ) jinak dnes jsem zaznamenal uplně novej druh útoku a to pře pool manager ( ankety ) . A to přes vložení komentáře do neexistující ankety - vůbec nechápu jak e jim to mohlo povést, došel jsem na to více méně náhodou, díval jsem se na které stránce skončil zákazník a vyhodilo me to na stránce s tím komentářem - jen jsem nedošel na to jak se zákazník na tu stránku dostal - já to zkoušel různě, ale prostě dostat se mě na komentář neexistující ankety mě nijak nešlo ???? No zatím nevím jak tomu zabránit ( protože si ani nejsem jist jak se tam dostali ) ale aspoň jsem uplně vypl komentáře a pro jistotu je ještě nastavil jen pro registrované uživatele a ještě souhlas ke komentářům - ale to fakt nevím jestli pomůže . pro představu přidávám print scr.
Zasláno: 20:24 27.10.2009
|
|
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Pokročilý
Členem od:
23:23 17.12.2006 Bydliště Česká Lípa
Skupina:
Registrovaní uživatelé Příspěvky:
69
|
Tak jak tak koukám tak jsem v tom nebyl sám. Také jsem měl nějaké scryptu upravené v index.php a přidaných hafec .php souborů. Odstranil jsem všechny nově vytvořené soubory ty staré upravené jsem překopíroval ze zálohy. Změnil hesla tak snad bude klid, ale je to verbeš to vám povim. Hlavně, že se bavej.
Zasláno: 23:16 27.10.2009
|
|
Přenos |
Můžete prohlížet témata.
Nemůžete zakládat nová témata.
Nemůžete odpovídat na příspěvky.
Nemůžete editovat Vaše příspěvky.
Nemůžete mazat Vaše příspěvky.
Nemůžete přidávat nové ankety.
Můžete hlasovat v anketách.
Nemůžete připojovat soubory k příspěvkům.
Nemůžete přispívat bez schválení.