Re: [ mallware doklejajacy zdalnie kod do stron ]

Autor: crazy bejbi <tego.adresu_at_nie.ma>
Data: Fri 13 Feb 2009 - 18:29:54 MET
Message-ID: <gn4an8$rgc$1@inews.gazeta.pl>
Content-Type: text/plain; charset=ISO-8859-2; format=flowed

apocalyptiq@gmail.com pisze:
> On Feb 11, 3:30 pm, Jacek Osiecki <jos...@ceti.pl> wrote:
>> Dnia Wed, 11 Feb 2009 18:02:09 +0100, Spamcop napisał(a):
>>
>>>>> Dlatego wlasnie nalezy uid serwera ustawiac inny jak uid ftp, i ustawic
>>>>> wlasciwe prawa.
>>>> Co tym chcesz osiągnąć? I tak musisz dać prawa do odczytu do plików
>>>> wrzuconych przez usera dla serwera www. Bo inaczej żadnej strony nie
>>>> nagra.
>>> skoro www NIE bedzie mialo prawa do zapisu to jak ci ktos zrobi injecta?
>> Gdzieś będzie musiało mieć, chyba że zrezygnujesz ze smarty ;)
>> A na dziadostwa doklejające kod przez FTP i tak nic to nie da...
>>
>> Pozdrawiam,
>> --
>> Jacek Osiecki jos...@ceti.pl GG:3828944
>> I don't want something I need. I want something I want.
>
> Mam identyczny problem - wczoraj to coś podoklejało mi właśnie taki
> kod, jaki podany został w pierwszym mailu.
>
> Dodam, że kod ten zostaje doklejany zaraz za znacznikiem <body>,
> jeżeli taki istnieje - w przeciwnym wypadku wrzuca go na końcu
> dokumentu.
> Mi dokleiło to ten kod do plików nazwanych index.html, index.php,
> main.html i home.html (więc zapewne do home.php też by dokleiło).
> Wczoraj to coś zaatakowało około południa, po tym jak wyrzuciłem ten
> kod - za jakąś godzine znowu się pojawił. Znowu usunąłem - za pół
> godziny znowu... Usunąłem - za kilka minut znowu, i w końcu
> zainstalowałem taki prototypowy wyłapywacz zawartości tablicy $_SERVER
> wszystkich, którzy wchodzą na stronę, i wtedy ataki ustały. Ale
> dzisiaj o 11:32 (taką mam datę ostatniej modyfikacji przy
> zaatakowanych plikach). Ten wyłapywacz $_SEVER'a jednak nic nie
> wykrył, czyli to coś musi chyba przez FTP edytować te pliki. Szukałem
> w logach apacha, ale nic niezwykłego tam nie znalazłem.

są klasyczne połączenia ftp
najpierw pobranie pliku np. index.php a potem wgranie go znowu.
czyli jak ci sie dokleja, to znaczy, że masz syfa na kompie, który
wykrada loginy i hasła do ftp (np. z totalcommandera)

najprościej zmienić hasło do ftp

Wojtek
Received on Fri Feb 13 18:35:07 2009

To archiwum zostało wygenerowane przez hypermail 2.1.8 : Fri 13 Feb 2009 - 18:40:00 MET