|
|
phpBB2 by Przemo
Support forów phpBB2 modified by Przemo
|
|
[Problem] UWAGA ROBAK! |
Autor |
Wiadomość |
MNgERmAn
Posty: 28
|
Wysłany: 24-05-2009, 10:19 ...
|
|
|
Ale ja na stronke wejsc moge... a komp jest dopiero co po reinstalacji systemu... narazie wrzucam wszystkie pliki od przemo... zobaczymy co z tego wyjdzie. |
|
|
|
|
Gadatliwa Kasia
|
|
|
|
joli
Yollien +Styler
Pomógł: 2988 razy Posty: 16981
|
Wysłany: 24-05-2009, 11:49
|
|
|
gaku napisał/a: | * Jeśli jesteś właścicielem tej witryny, możesz poprosić o ponowne przeanalizowanie swoich stron za pośrednictwemNarzędzi dla webmasterów. Więcej informacji na temat procesu sprawdzania witryn znajduje się w Centrum pomocy dla webmasterów.
Może warto zainteresować się gwiazdkami na dole?
_________________ |
|
_________________
Walczę z warezami. Więc jak masz forum warezowe, nie proś mnie o pomoc i nie wchodź pod rękę, bo zniszczę.
Nie pisz do mnie na GG i PW,(chyba że proszę) bo nie odpowiem, a Ty dostaniesz bonusik. Masz forum do zadawania pytań!!! Poza forum pomagam TYLKO odpłatnie.
liberte d'expression pour tout le monde... OFICJALNY DOWNLOAD STYLÓW - style ogólnodostępne i na zamówienie - PORTFOLIO JOLI |
|
|
|
|
mike_05
Posty: 9
|
Wysłany: 24-05-2009, 13:23
|
|
|
możesz sprawdzić
TUTAJ
Od zeszłego czwartku miałem też IFrame-EJ na serwerze. Dostawał sie przez TC. Skasowane wpisy w loginach, logowanie z każdorazowym podawaniem loginu i hasła po oczywiście uprzedniej zmianie haseł i loginów pomogło. 3 dni już nie ma ataków.
Jezeli używasz rutera i masz mozliwość obejrzenia "active session", to możesz podpatrzeć, które maszyny "zombie" podglądają twoją maszynę. Wpisy IP nie powiązane w żaden sposób z zawartoscią tego, co robisz aktualnie na swojej maszynie, sa prawdopodobnie nasłuchującymi zdalnymi włamywaczami. Jeżeli nie możesz na ruterze podejrzeć sesji, to moze choć po logach rutera. Moje zmagania szczątkowo opisane można poczytać tu:
http://forum.eset.pl/view...52&p=2105#p2105
Z opisywanych tam zjawisk, nie aktualne jest to, ze wirus tam jeszcze jest. Już go nie ma, jest tylko kupa śmieci po próbach uaktualnienia forum z wersji 1.8 do 1.12.
Hostingodawca nie pomoże ci na pewno, bo nie ma takiej możliwości i na pewno takiej woli, by to zrobić . Przerobiłem to. Sprawę zgłosiłem do CERT -> cert@cert.pl (zgłaszanie incydentów). Dobrze jest zrobić dokumentacje ataku(ów) przez logi ftp, zrzuty ekranowe źródeł strony zarażonej czy same kody robala (oczywiście dobrze zabezpieczony, by nie były z kolei wtórnym źródłem zarażania).
Sprawa antywirusów.
Akurat ten "mój" robal został wykryty przez przypadek. Powiększona nieco wolna przestrzeń niż zazwyczaj na stronie głównej u góry. Z AV zadziałał tylko AVAST i to nie za każdym razem. Niektóre pliki zainfekowane typu .php pomijał, .htm i .html prawidłowo blokował. Po którymś kolejnym ataku już też milczał. Tak jak NOD32, który zadziałał dopiero wczoraj i to po moiei interwencji i przesłaniu plików do analizy do Dagmy. Przyczyną nie wykrywania tego szkódnika moze być zmienny kod, który on wykorzystuje do dekodowania swego własnego skryptu i w kolejnych takach (może z innego zombi?) moze już być nie rozpoznany. Charakterystyczną sprawą jest to, ze ogladając pliki na serwerze przez ftp, zobaczyć mozna zmienione daty plików oraz KATALOGÓW (!). Te miejsca sa zainfekowane.
Usuniecie:
niestety reczna edycja i wycinanie kodów <script javascript> .... </script>
Jeszcze jedno, zarażenia następowały o różnych porach, ale wydaje mi się, ze zawsze 10 minut przed pełną godziną.
Powodzenia w walce.
EDIT:
Jak widać, mam obecnie 1 post na przemo.org, bo własnie przydażyło mi sie wywalenie z forum w zeszłym tygodniu prawdopodobnie przez obecnośc wirusa w URLu podanym w profilu , skasowano widocznie poprzednie kilka postów. |
|
|
|
|
mike_05
Posty: 9
|
Wysłany: 24-05-2009, 17:34
|
|
|
Tavaro;
jezeli poczytasz jeszcze raz, może nie będziesz mieszać innym w głowach. Jezeli napisałem jak jest, nie jest to gołosłowne. Faktów na to mam troche wiecej.
Skoro zarażanie powstaje z komputera z US lub Turcji z zapisanych sesjach ftp, jak było w moim przypadku, to nie z mojego komputera. Logi ftp to potwierdzaja. Wykradniecie hasło z mojego komputera powstaje inną droga i jest działaniem niedozwolonym. Dlatego należy sprawdzić/dzać aktywne sesje. I nie ja zarazam pliki.
Jak chcesz napisać cokolwiek, napisz jakąś bajkę. |
|
|
|
|
arcy
Pomógł: 509 razy Posty: 3762
|
|
|
|
|
mike_05
Posty: 9
|
Wysłany: 24-05-2009, 18:19
|
|
|
Cytat: | May 9 07:34:13 web2 pure-ftpd: (Tu_login_jaki_był@65.66.3.12) [NOTICE] /home/customers/50908//forum.iflex.pl/index.html uploaded (2916 bytes, 14.85KB/sec)
May 9 07:34:14 web2 pure-ftpd: (Tu_login_jaki_był@65.66.3.12) [NOTICE] /home/customers/50908//forum.iflex.pl/index.php downloaded (34501 bytes, 447.15KB/sec)
|
By nie być gołosłownym fragment logu ftp.
Proszę sprawdzić sobie IP klienta.
Ustanie aktywności nie tylko po zmianie haseł i loginów. Również zablokowanie aktywnych sesji na ruterze przez firewall na konkretne IP też zrobiłem. Opis był krótki i nie wszystkie działania i fakty u podałem. Jednie najbardziej istotne, na co należało by zwrócić u siebie uwagę w maszynach.
arcy:
to nie kłótnia, ja podaje fakty, ktoś je gołosłownie podważa i tyle, a opisanie zdarzenia powinno wyjść na dobre wielu innym, co problem mieli, maja lub mogą mieć. "Nie bo nie" to nie jest argument. |
|
|
|
|
mike_05
Posty: 9
|
Wysłany: 24-05-2009, 18:34 Re: ...
|
|
|
MNgERmAn napisał/a: | Ale ja na stronke wejsc moge... a komp jest dopiero co po reinstalacji systemu... narazie wrzucam wszystkie pliki od przemo... zobaczymy co z tego wyjdzie. |
http://wepawet.iseclab.or...3165608&type=js
tu jest analiza zajaczek.org, adres w 4 linijce Network Activity
Requests jest maszyną, gdzie to wszystko idzie.
A tu analiza archiwalnego pliku z mojego forum z kodem robaka:
http://wepawet.iseclab.or...f74b995&type=js
kod z któregoś z ataków, bo zmienny "split" do autodekodowania jest stosowany:
|
Ostatnio zmieniony przez mike_05 24-05-2009, 19:18, w całości zmieniany 1 raz |
|
|
|
|
MNgERmAn
Posty: 28
|
Wysłany: 24-05-2009, 19:16 Re: ...
|
|
|
mike_05 napisał/a: | MNgERmAn napisał/a: | Ale ja na stronke wejsc moge... a komp jest dopiero co po reinstalacji systemu... narazie wrzucam wszystkie pliki od przemo... zobaczymy co z tego wyjdzie. |
http://wepawet.iseclab.or...3165608&type=js
tu jest analiza zajaczek.org, adres w 4 linijce Network Activity
Requests jest maszyną, gdzie to wszystko idzie. |
Nierozumiem... o co tu chodzi?? sorki ale ja laikiem jestem... |
|
|
|
|
MNgERmAn
Posty: 28
|
Wysłany: 25-05-2009, 09:13 Re: ...
|
|
|
mike_05 napisał/a: | MNgERmAn napisał/a: | Ale ja na stronke wejsc moge... a komp jest dopiero co po reinstalacji systemu... narazie wrzucam wszystkie pliki od przemo... zobaczymy co z tego wyjdzie. |
http://wepawet.iseclab.or...3165608&type=js
tu jest analiza zajaczek.org, adres w 4 linijce Network Activity
Requests jest maszyną, gdzie to wszystko idzie.
A tu analiza archiwalnego pliku z mojego forum z kodem robaka:
http://wepawet.iseclab.or...f74b995&type=js
kod z któregoś z ataków, bo zmienny "split" do autodekodowania jest stosowany:
Obrazek |
Ale w którym pliku index.html ten kod sie znajduje? mozesz sciezke podac? |
|
|
|
|
joli
Yollien +Styler
Pomógł: 2988 razy Posty: 16981
|
Wysłany: 25-05-2009, 09:21
|
|
|
MNgERmAn napisał/a: | Ale w którym pliku index.html ten kod sie znajduje? mozesz sciezke podac? | w tym który został zmieniony. Nie ma reguły. Moze to byc kazdy plik index (takze htm i html), ale moze byc tylko jeden, moze byc np. login.php, lub jeszcze jakis inny plik. Na ogol te w glownym katalogu, ale niekoniecznie.
Wlasnei spotkalam sie z sytuacja, ze tylko niektore pliki zostały zainfekowane, także te powyzej katalogu public_html. I kod jest zaszyfrowany, nie zawiera na pierwszy rzut oka <iframe>
lecz wyglada:
Kod: | <script type="text/javascript">var kDkemnvvDLKNSMGISufy = "CTxn60CTxn10
.........
f+"";document.write(""+qYpDiUKrdiBtNExNUvnG+"")</script> |
Zainfekowany był miedzy innymi plik index.html w tmp/webalizer
w plikach php dopisywany jest kod zwykle po ?>
a w html bo <body>
Polecam sprawdzenie kompa softem a-squared Anti-Malware 4.5 z http://www.emsisoft.com/en/software/download/ |
_________________
Walczę z warezami. Więc jak masz forum warezowe, nie proś mnie o pomoc i nie wchodź pod rękę, bo zniszczę.
Nie pisz do mnie na GG i PW,(chyba że proszę) bo nie odpowiem, a Ty dostaniesz bonusik. Masz forum do zadawania pytań!!! Poza forum pomagam TYLKO odpłatnie.
liberte d'expression pour tout le monde... OFICJALNY DOWNLOAD STYLÓW - style ogólnodostępne i na zamówienie - PORTFOLIO JOLI |
|
|
|
|
MNgERmAn
Posty: 28
|
Wysłany: 25-05-2009, 10:23 ...
|
|
|
A mógłbym ci przesłać te pliki albo dać dostęp do ftp i byś mi ten kod usunął? byłbym naprawde bardzo wdzieczny... sam sobie nie dam rady |
|
|
|
|
joli
Yollien +Styler
Pomógł: 2988 razy Posty: 16981
|
Wysłany: 25-05-2009, 10:33
|
|
|
Dopoki nie wyczyscisz swojego komputera, to nie ma sensu |
_________________
Walczę z warezami. Więc jak masz forum warezowe, nie proś mnie o pomoc i nie wchodź pod rękę, bo zniszczę.
Nie pisz do mnie na GG i PW,(chyba że proszę) bo nie odpowiem, a Ty dostaniesz bonusik. Masz forum do zadawania pytań!!! Poza forum pomagam TYLKO odpłatnie.
liberte d'expression pour tout le monde... OFICJALNY DOWNLOAD STYLÓW - style ogólnodostępne i na zamówienie - PORTFOLIO JOLI |
|
|
|
|
MNgERmAn
Posty: 28
|
Wysłany: 25-05-2009, 10:34 ...
|
|
|
Ale ja swoj mam czysty sprawdzalem caly nod-32.. |
|
|
|
|
joli
Yollien +Styler
Pomógł: 2988 razy Posty: 16981
|
Wysłany: 25-05-2009, 10:37
|
|
|
ekhm. Watpie, aby to wystarczylo. podalam wyzej soft do sprawdzenia kompa. Akurat nod to ejden z najglupszych antywirow. Sprawdz mks online, sprawdz hijackthis. |
_________________
Walczę z warezami. Więc jak masz forum warezowe, nie proś mnie o pomoc i nie wchodź pod rękę, bo zniszczę.
Nie pisz do mnie na GG i PW,(chyba że proszę) bo nie odpowiem, a Ty dostaniesz bonusik. Masz forum do zadawania pytań!!! Poza forum pomagam TYLKO odpłatnie.
liberte d'expression pour tout le monde... OFICJALNY DOWNLOAD STYLÓW - style ogólnodostępne i na zamówienie - PORTFOLIO JOLI |
|
|
|
|
Gadatliwa Kasia
|
|
|
|
MNgERmAn
Posty: 28
|
Wysłany: 25-05-2009, 10:40 ...
|
|
|
ok to zaraz przeskanuje i jak to zrobie to pomozesZ? |
|
|
|
|
|
Nie możesz pisać nowych tematów Nie możesz odpowiadać w tematach Nie możesz zmieniać swoich postów Nie możesz usuwać swoich postów Nie możesz głosować w ankietach Nie możesz załączać plików na tym forum Możesz ściągać załączniki na tym forum
|
Dodaj temat do Ulubionych Wersja do druku
|
Kopiowanie wszelkich treści zawartych na forum, modyfikacji oraz instrukcji bez zgody administracji i autorów tematów/postów zabronione!
Powered by phpBB modified by Przemo © 2003 phpBB
| Strona wygenerowana w 0,09 sekundy. Zapytań do SQL: 11 | |
|
|