Ponavljajoči se vdori preko FTP-ja v Magento
4 naročniki
4 naročniki
Pojavil sem nam je en zelo čuden problem, ki ga nikakor ne razumem več. Skratka v eno Magento spletno trgovino neprestano (sedaj bo to že tretjič, na cca 5-6 dni razmaka) nalagajo okuženo kodo. Sodeč po logih se to dogaja preko FTP-ja. Zamenjal sem že FTP geslo (kar zahtevno), katerega po novem še nisem uporabil za se povezat na FTP (če bi slučajno snifali moj ali od stranke osebni računalnik) ampak je vseeno prišlo do nameščanja oziroma vdora.
Tukaj je log od FTP (xferlog_regular.processed). Tega je sicer več vendar za druge okužene datoteke.
Sun Dec 30 16:33:45 2012 0 193.179.69.238 1318 /var/www/vhosts/user.si/httpdocs/js/varien/weee.js a _ o r user.si ftp 0 * c
Sun Dec 30 16:33:45 2012 0 193.179.69.238 2070 /var/www/vhosts/user.si/httpdocs/js/varien/weee.js a _ i r user.si ftp 0 * c
Se mi ne sanja več kaj bi lahko naredil. Kot vem magento nikjer ne hrani user pa pass od FTP-ja (razen Magento Connect, geslo, ki je vnešeno pa že ne obstaja več).
Možno, da se to dogaja preko web-a oziroma http strežnika, se pravi vdor v recimo Magento trgovino ali preko raznih zastarelih javascript-ov? Samo ne vem zakaj bi se potem to v FTP logih kazalo.
Kar sem web loge gledal pa teh datotek preko apache niso spreminjali.
Lp
5 odgovorov
Mogoce blokiraj IP ali userja preko katerega se logira ?
Najbolj grda resitev je pa da za test ugasnes FTP server in bos videl ali se to res dogaja preko FTP ali preko www. Samo ce je v FTP logu potem je sigurno preko ftp.
Bom poizkusil tudi to ja, da začasno zablokiram FTP dostop v ta folder oziroma preko tega uporabnika. Čeprav mi je res čudno kako bi se lahko logirali preko FTP-ja glede na to, da sem na novo zamenjal geslo in ga nisem sploh uporabil.
