Od jakiegoś czasu tworzę strony używając PHPTAL'a - jest to system szablonów wykorzystujący xml - parsuje szablony html jako xml :-) Ale do rzeczy: wchodzę dziś na stronę, którą napisałem w PHPTAL - wywaliło mi błąd. Sprawdzam w kodzie - a tam tuż bo znaczniku <body> pojawił się taki kod:

Pojawił się również w szablonie strony głównej (home.html) oraz w pliku index.html, chociaż tego pliku w phptalu nie wykorzystywałem (w hostingu w którym mam konto generują taki początkowy index.html, że "na tym koncie nie ma jeszcze strony, jeżeli jesteś jej posiadaczem wrzuć strone do folderu public_html".

Znalazłem też coś takiego (wpisując fragment tego skryptu w google) tu: http://www.mediaconcept.com.pl/ (na górze strony).

Z moich obserwacji: ten kod pojawia się albo tuż po <body>, albo na samym końcu pliku.
Pojawia się w plikach nazwanych: index.html, home.html, main.html, index.php (na końcu).

Takie coś pojawiło się na dwóch moich stronach pisanych w phptal, na stronie robionej dla klienta - na tym samym serwerze oraz na stronie dla innego klienta - ale na innym serwerze - i tam też był taki sam kod, więc nie jest to wina hostingu. Te moje strony i jedna klienta jest na szybki-serwer.pl, a ta druga klienta - na home.pl

Jakby ktoś wiedział coś więcej o tym, proszę tu pisać :-)

Zmienić hasło do ftp, przeskanować kompa, wgrać poprawne pliki, powtarzać do skutku.

Właśnie wszedłem na tą stronę, gdzie to się pojawiło (jakoś godzinę temu usunąłem ten kod) - i znowu się pojawił ;| Na innej stronie gdzie to usunąłem - też.... Po jakimś czasie samo się odradza? Może ktoś ustawił jakiś automatyczny skrypt, który sprawdza, czy czasem ten kod nie został usunięty?

Ucho -> nie wiem czy coś da zamiana hasła - to coś pojawia się na trzech serwisach naraz: na moim koncie, na koncie mojego klienta (ten sam serwer) i koncie innego klienta (inny serwer), na każdym koncie jest inny login i hasło. Do tego jak już zaznaczyłem, znalazłem też to na innej stronie.

Pojawiło się też komuś coś takiego?

A czy nie masz przypadkiem jakiegoś skryptu dziurawego? Skoro zmiana hasła nic nie daje, serwer jest zabezpieczony, to jedyna droga, jaką może dojść do czegoś takiego.

Właśnie po raz drugi to się odrodziło - po jakiejś połowie godziny.


Jeżeli będziecie mieli jakieś informacje o tym, bardzo proszę o informacje.

A czy istnieje możliwość złapania na gorącym uczynku tego czegoś? Tj. z tego co widzę, to wrzuca do zawartości odpowiednio nazwanych plików ten kod - albo zaraz za znacznikiem <body>, jeżeli taki istnieje, a jeżeli nie - na końcu dokumentu. Coś mi się zdaje, że w historii logowań na ftp tego nie będzie - wtedy raczej ktoś by przejął konto a nie sie bawił w dopisywanie czegoś :-)
Da radę jakoś to wykryć?

Przeanalizuj access_log; jeśli znajdziesz jakieś dziwne ciągi w query_string, to znaczy, że to ten felerny skrypt.

Jeśli chodzi o dane przesyłane przez POST, to zrób zrzucanie całej tablicy do pliku wraz z adresem IP. Choć nic Ci to nie da, gdy złapiesz IP - jeśli ataki pochodzą z sieci zombie, to nic Ci to nie da.

Zabezpiecz odpowiednio swoje skrypty, a będzie ok.

A gdzie mogę znaleźć to acces_log?

W DirectAdminie mam jakieś logi apacha i logi błędów. W logach oprócz moich są takie:

Ale to jest chyba jakaś wyszukiwarka? Może indeksowała strony?

W logach błędów mam:

Te 3 ostatnie to pewnie mój IP, a to pierwsze - IP takie samo jak w tych logach.

/var/log

W historii logowań na directadmina nie widzę nic dziwnego.

Na głownym folderze mojego konta nie mam folderu var.

Poszperaj na google a znajdziesz informację na stronę producentów oprogramowania, że masz wirusa Trojana na swoim komputerze.

Pozdrawiam,
Łukasz

ps: jak wklejasz kod to wklej poprawnie 0 tutaj znaczki zamieniają się w krzaczki w połowie ciągu ... coś pomysliłeś

Tak, zgadza się.

Szukając felera nie możesz szukać przez ostatnie parę minut, musisz przez mniej więcej ten okres czasu, który upłynął do momentu ponownego wstawienia felernego kodu.

tak a propos http://technologie.gazeta.pl/technologie/1...HTML_i_ASP.html

Masz direct admina ? I pewnie jeszcze ostatnio RoundCube się pojawił ?

~kwiateusz, żeby tylko jeden taki był... Kiedyś był przesławny Redlof, który doczepiał syf do wszystkiego, co miało SGML-owe tagi. ;p

Ja bym szukał przyczyny w dziurawych skryptach.

DirectAdmin i RoundCube

DirectAdmina nie usunę, bo jest na moim hostingu ;-/ Co mogę w takim przypadku zrobić? Kilka minut po tym, jak to coś usunę, znowu się pojawia.

No dobra już mówię

DirectAdmin ostatnio miał wydaną nową wersję w której się pojawił RoundCube. Tenże RoundCube jest dziurawy - jeśli admini nie załatali to lepiej uciekaj z hostingu bo jest otwarty dla wszystkich.

Kolejna rzecz - Twój komputer ... możesz mieć jakiegoś wirusa, trojana lub coś.

Kolejna możliwość - ktoś złamał Twoje hasło.

Jeśli chodzi o dziury w skryptach to logi powinny cokolwiek pokazać ... jeśli logi nie pokazują to ktoś złamał Twoje hasło lub włamał się na serwer. Możliwości włamu jest całe multum.

Więcej Ci nie doradzę nie mając dostępu do konta hostingowego by móc to sprawdzić - nie proszę Cię o taki dostęp ponieważ jest trochę z tym zabawy itp.

Także możesz mieć dziurę w swoich skryptach. Możliwości jest wiele.

pozdr.
Łukasz

Zanim zacznie winić skrypt dostarczany przez hosting, niech przejrzy najpierw swoje...

@erix: to nie jest problem skryptu

http://groups.google.com/group/pl.internet...515b1b6755aa819

Dzięki sf za linka :-)