Skocz do zawartości
Gość Matmaxalez

Ciagle wlamania na strone

Polecane posty

Gość Matmaxalez

Czesc,

 

Posiadam VPSa (w vihost a wczesniej w Serveradmin)

 

Dalem kolegom konta www zeby dali swoje strony itp. Wszystko ladnie, smiga...

 

No ale ciagle ktos sie wlamuje na strone jednego kolegi (na VPSie w ServerAdmin tez tak bylo) wlamuja sie na www.portalradiowy.pl oraz www.forum.portalradiowy.pl i albo w .htacess cos zmieniaja, podmieniaja index.php na cos innego lub poprostu zmieniaja public_html na publics_html.

 

Kopia bezpieczenstwa sie robi, to jak ja albo moj inny kolega z ktorym dziele VPSa (obeznany w administracji serwerami, w programowaniu itp) nie mozemy znalesc co zmienil to wgrywamy kopie.

 

Pewnie powiecie jaki CMS itp Ano to nie za bardzo CMS... Wczesniej bylo na joomli i byly wlamy, ale po kilku wlamach zmienil wszystko na prawie czysty html (wylaczylem wgle funkcje PHP dla jego konta zeby dzisiaj zeby zobaczyc czy znowu w nocy bedzie wlam mam nadzieje ze nie bo podobno przez functions.php sie wlamuje gosciu, tj taka podstrona gdzie sa wszystkie funkcje zeby nie pisac od nowa na kazdej podstronie itp) Wylaczylem i zobaczymy. A Forum jest na phpBB my Przemo.

 

Macie pomysly jak on moze sie wlamywac???

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Macie pomysly jak on moze sie wlamywac???

Może po prostu przez ftp (bo wykrada hasło z komputera klienckiego)?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Matmaxalez

No wlasnie nie ma nic w logach :/ Komputer dobrze zabezpieczony a hasla trudne jak cholera ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hasła mogą być mega trudne, tyle że zapisane żeby nie trzeba było ich wklepywać... logowań prawidłowych na ftp również nie ma?

Edytowano przez tym (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Matmaxalez

No wlasnie juz nie ma joomli. (Prawie) Czysty HTML. Strona w HTML + dodane cos w stylu include itp zeby nie bylo trzeba zmieniac na kazdej podstronie menu itp

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

a o forum dbacie? zaktualizowane forum + wtyczki i cała reszta dobrych praktyk

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Matmaxalez

Zapomnialem dodac ze ta strona + subdomena jest na 2 roznych kontach zeby zobaczyc czy to nie przez forum sie wlamuje i wlasnie sie wlamuje nawet jak prawie czysty html jest...

Jest

Konto1 - Portalradiowy.pl

Konto2 - Forum.Portalradiowy.pl

 

theOne, raczej tak, napisze do niego ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zamknęliście stronę ze na dzień dobry jest komunikat spadaj?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Matmaxalez

no to nie my, tylko ten "hacker" i kopia zapasowa nic nie daje... a szukam w plikach i nic nie ma nigdzie :/

 

I na portalradiowy.pl sie wlacza te okienko boj est "ostatnio na forum" i pobiera z forum dane

Edytowano przez Matmaxalez (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A logi dostępu http przeanalizowane? Choćby z dziś, z dat w których była modyfikacja plików? Logi dostępu SSH?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość hdmagc

A ja napisze tak.

 

Metodologia powiedzmy myślacego "szkodnika" jest zupełnie inna. Nie działa na żywca, lecz przygotowuje grunt znacznie wcześniej.

 

Ciągłe przywracanie danych nie ma sensu, jeśli w nich znajduje sie jakiś rootkit lub inne narzędzie.

 

Ja bym zaczął od przeanalizowania plików w kopii, praw zapisu, weryfikacji plików ze źródłem (jesli to mozliwe). Jeśli nie to wystarczy podgląd plików php (w większości na pierwszy rzut oka widać czy jest ok).

 

Logi mogą nic nie pokazać, gdyż większość ostatnich "narzędzi" posiada bardzo skuteczne funkcje czyszczenia po sobie łącznie z ukryciem pliku pod inna nazwa i innym rozszerzeniem, wywoływanie na hasło itp.

 

 

Tu potrzeba bardzo szczegółowego i sukcesywnego działania.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Matmaxalez

hdmagc, ale jak mial dac rootkita wczesniej albo jakis jakis kod, jezeli to czysty html? Od poczatku jak tylko zmienilismy z joomli na sam html to ciagle na osobnym koncie bylo niz forum wiec nie wiem jak sie moze wlamywac :/

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość hdmagc

hmm..

Może jestem mało precyzyjny, ale ja widze ze forum jest na phpBB.

Inne konto czy inny VPS?

Jeśli wszystko jest na jednym VPS-ie to wystarczy jedna dziura a stoi otworem, bez znaczenia czy to bedzie dziuara w forum czy w serwisie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Matmaxalez

na jednym VPSie ale na roznych kontach (mam directadmina)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Matmaxalez

Ok ;)

 

Jeden z uzytkownikow tego forum zaoferowal mi pomoc (HDS)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Przejrzyj lub wyłącz forum... Mógł Ci prędzej zaimplementować jakiś skrypto-szkodnika :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Witam. Współpracuję ze stroną portalradiowy.pl. Problem dotyczy również mnie, praktycznie zawsze kiedy włamano się na portalradiowy.pl moja strona również jest atakowana.

 

Hasła są zmieniane niemal codziennie.

 

Atakujący raz wyedytował moje pliki php umieszczając w nich złośliwy kod który o określonej dacie, miał wykonać zapytanie do bazy usuwające rekordy.

 

Największy problem to to, że atakujący bez żadnego problemu wchodzi sobie do phpmyadmin i robi w nim co chce.

W logach apache widzę, że osoba normalnie loguje się do phpmyadmin otrzymując token.

Serwer jest zarządzany przez administrację hostingu. Twierdzą oni, że jest w pełni zabezpieczony i nie jest możliwe aby komukolwiek udało się włamać do phpmyadmin. Logi ftp nic nie wykazują.

 

Strona posiada zabezpieczenia przed sqlinjection i nie stoi na tym samym serwerze co portalradiowy.pl a w zupełnie innej firmie.

 

Nie zrozumiałe jest dla mnie w jaki sposób atakujący potrafi wyedytować pliki i skąd posiada hasła do konta ftp oraz bazy danych (nie zostawiając po sobie żadnego śladu).

Hasła ftp są zmieniane bardzo często i nie są używane w żadnym skrypcie, znam je tylko ja.

 

Wraz z kolegą jesteśmy bezradni.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Szczerze mówiąc, to ciężko sobie wyobrazić to, że jeśli ktoś dostęp do serwera miał, to części logów sobie po prostu nie pokasował ;). Skoro ten system jest wybitnie skompromitowany, to może najwyższy czas zrobić jego totalne zero-base i porządne postawienie od nowa całości? Oczywiście z zewnętrznego, czystego komputera.

Następnie porządne zabezpieczenie środowiska (czasami nawet kosztem wygody posiadania różnych bajerów).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No jeśli administracja twierdzi, że serwer jest dobrze zabezpieczony, to raczej trzeba szukać dziur w aplikacji. Tym bardziej, że jak piszesz iż logi ftp są czyste. Bankowo jest luka w skrypcie

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Coś nie bardzo chce mi się w to wierzyć ;) no ale szukaj dziury.. albo zleć komuś ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ile osób ma dostęp do serwera?

Jakiego klienta FTP używasz?

 

Jakoś też mi się to wydaje dziwne, cały czas włamania.

 

Komputer dobrze zabezpieczony

Jak Twój komputer jest zabezpieczony przed wypływaniem informacji na zewnątrz?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Matmaxalez

Na jeden dzien wylaczylem nawet funlcje PHP ze nie dzialalo nic co w php bylo... dostep do konta ma tylko on i hasla zmienia codziennie i jakos sie wlamuje a teraz ostatnio to wgle jego konto usuwane jest... tylko jego... nie wiem co jest

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×