Stalno vdiranje na spletno stran

17 naročnikov

Zadnje čase se mi na spletni strani, ki sploh ni live, dogajajo neprestani vdori, ki pa jih ni v nobenem logu. Po vdoru je skoraj vsem php datotekam dodana neka čudna koda, takoj za <?php :
eval(base64_decode("ZXJyb3JfcmVwb3J0aW5nKDAp................

stran se potem normalno sesuva vsako jutro :(

Ima kdo kako idejo kaj naredit preden grem s stranjo live?

Preden ugotoviš vzrok, ker skripta "ni nevarna", probaj z mod_headers (če uporabljaš Apache) odstranit Location glavo.

Fantje hvala vsem za nasvete.

Stanje na mojem gostovanju pa je sledeče: Na eni izmed strani, ki delajo na joomli, je Kryptik trojanec, ki verjetno počne tole, vseh 6 strani na gostovanju je okuženih. Arhive imam za 3 strani (tole bo dobra šola zakaj se delajo arhivi). Ima kdo kako idejo kako naredit multireplace za celoten direktorij vključno s poddirektoriji? Tole bi mi sedaj zelo zelo prav pršlo.

Meni se je ravno ta mesec zgodilo nekaj podobnega, uporabljam pa Wordpress.

http://markmaunder.com/2011/08/01/zero-day-vulnerability-in-many-wordpress-themes/
http://redleg-redleg.blogspot.com/2011/08/malware-hosted-newportalsecom.html

Vse strani sem skeniral z http://sitecheck.sucuri.net/scanner/ in pobrisal ali obnovil okužene datoteke.

damirk:

Vse strani sem skeniral z http://sitecheck.sucuri.net/scanner/ in pobrisal ali obnovil okužene datoteke.

hvala.

no zadeva postaja vse bolj zanimiva. Je komu jasno zakaj bi mel v bazi tabelo, ki ima edini zapis kodiran, ob pregledu kode pa ugotoviš, da shranjuje tvoj user in pass??? ter ostale podatke o sami strani.

preveri htaccess datoteke, zadnje čase je zelo popularno da ti kradejo PR ( naredijo redirect za vse obiske od gogle bota)

Zdaj pa imam jaz težave z vdori. :S Drugič v enem tednu. Obakrat isto...nekdo vdre v account in preko njega flooda z maili. Na tisoče mailov poslanih čez noč. Poleg tega je bilo kar nekaj škodljivih script naloženih...Po tem, ko se je prvič to zgodilo, sem zamenjal vse passworde, to noč pa se je kljub temu spet ponovilo. Stran je postavljena na wordpressu.

Kaj naj naredim? Probal sem marsikaj, kar ste napisali v tej debati, ampak očitno neuspešno.

Če boš samo gesla menjal ni dovolj. Najverjetneje so uploadali kakšno zlonamerno zadevščino in imajo preko tistega sedaj dostop. Preveri loge, če jih niso pobrisali, drugače pa poglej za kakšnimi nepravilnostmi. Poglej še vse nastavitve, da ti niso kaj ponagajali.

Bom pogledal. Drugače pa vse zlonamerne zadeve so zbrisali, kjer gostujem stran. Čeprav razmišljam o menjavi... bom pogledal še par stvari. Thx.

Te stvari poglej (poči kar search čez to tvojo zloglasno skripto):*Ali se kje v kodi pojavlja ukaz eval
*Ali se kje v kodi pojavljajo ukazi: include. includeonce, require, requireonce in te sprejemajo naravnost iz $_GET

1. zamenjaj ftp program, ki ga uporabljaš (ob iskanju novega preveri, ali kriptira shranjena gesla)
2. ali si zamenjal gesla za ftp dostop?
3. preveri, kdo vse ima dostop do tvojih strani na strežniku
4. poglej, kako so nastavljene pravice na strežniku (777 je udobno, a ne preveč varno)