Skocz do zawartości
Zaloguj się, aby obserwować  
Gość

Wirus na serwerze

Polecane posty

Gość

Witam,

 

mam problem - polega on na tym, że niektórzy moi użytkownicy zgłaszają obecność wirusa na mojej stronie, ja nigdy tekowego problemu nie miałem, skanowanie adresu url ukazuje, że 2 skanery z 40 wykryły zagrożenie, jak się pozbyć problemu?

Edytowano przez patryk0493 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Progruś27

Witam,

 

Może tak wpierw podał byś swoją stronę nikt tu nie jest alfą i omegą aby zgadywać która to twoja strona z jakiego hostingu korzystasz ?Wirus może być jak i w kodzie jak i w plikach na serwerze.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Popatrz często skrypty się doklejają na końcu lub na początku templatki. :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Progruś27

Szczególnie przypatrz się kodzie <iframe src=""></frame> lub zaawansowany kawałek kodu java script. Zapewne na serwer logujesz się za pomocą total commandera niech zgadnę :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość nrm

Wirus może być jak i w kodzie jak i w plikach na serwerze.

 

Czym to się różni? ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Progruś27

A w pliku który pobierasz z strony nie może być program ? :) Nie widziałem strony więc strzelam i pisze mu łopatologicznie gdzie może być problem ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość

Tutaj posiadam swoje strony :

http://iniclan.mzone.pl/

Wśród skryptów jest WordPress oraz Webspell.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Progruś27

Mógłby Pan podrzucić mi plik index.php ? Lub jeśli sobie Pan poradzi proszę sprawdzić czy nie dodał wirus kodu w JavaScript to co pisałem. wyżej. Zazwyczaj wirus dodaje kod i powinien być za tagiem zamykącym <html>.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A najprościej to będzie znaleźć typ wirusa czy jakiekolwiek informacje o nim via user/stronka do analizowania, a następnie przeszukać nawet głupim catem i grepem wszystkie pliki pod kątem danego kodu.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Progruś27

Na moje trzeba by było cały kod strony sprawdzić. Bo nawet jeśli mu znajdzie nie masz pewności że to będzie to. Ja raczej stawiam na kod w Javascript.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Grep i cat powiadasz... Problem w tym, że większość szkodliwego kodu to coś w rodzaju

 

eval(base64_decode(convert_uudecode( <ciach!>

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Progruś27

Najlepsza metoda na tego wirusa to usunięcie kodu ręcznie a nie zabawa linuxowymi zabawkami i tak dużo nie da jeden problem znaleźć go. Błądzicie i to strasznie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Najlepsza metoda na tego wirusa to usunięcie kodu ręcznie a nie zabawa linuxowymi zabawkami i tak dużo nie da jeden problem znaleźć go. Błądzicie i to strasznie

 

Ale nikt nie mówi tu o automatycznym usunięciu, tylko znalezieniu szkodliwego kodu - jak jest kilkaset plików i kilka poziomów katalogów to taki grep ci pokażę potencjalne źródła problemu - oczywiście trzeba to ręcznie zweryfikować co można wywalić a co nie, i przede wszystkim znaleść lukę.

Edytowano przez Marek607 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Najlepsza metoda na tego wirusa to usunięcie kodu ręcznie a nie zabawa linuxowymi zabawkami i tak dużo nie da jeden problem znaleźć go. Błądzicie i to strasznie.

 

cat i grep katalogu, w którym być może masz kilkaset skryptów, a wirus doczepia się metodą random. Nic nie da? No to powodzenia w szukaniu ręcznym. Nie każdy ma WordPress'a na stronce, w którym skrypty ograniczają się do liczby dwucyfrowej, którą i tak żaden admin by nie przeszukiwał "ręcznie".

touch lista.txt
for PLIK in `find /sciezka/do/folderu -type f` ; do
WYNIK=`cat $PLIK | grep -i "Base64" | cut -f1 -d:`
CZYCOSJEST=`echo $WYNIK | wc -l`
if [ $CZYCOSJEST -ne 0 ]; then
echo "Znalazlem cos!"
echo $PLIK $WYNIK >> lista.txt
fi
done

Napisany w 30 sekund "na kolanie" ;). Powodzenia w ręcznym szukaniu.

 

Edit:

Wiedziałem, że o czymś zapomniałem. Fixed echo i grep :D.

Edytowano przez Archi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Progruś27

Dobry koder poradzi sobie. Zapewne uważasz że cat i gept znajdzie kod i może jeszcze usunie za ciebie. Wiesz nie każdy koder jest taki sam może są tacy którzy jak się za coś biorą robią to dokładnie wdrażając się a nie np. zrobić to tak aby było kod zawsze może się posypać. Szkoda że nie ma programów do pisania np. systemów na tej samej zasadzie. Zabawne. Hm Panie z biznes-host.pl na Panu miejscu zamiast udawać mądrego i wypowiadać się zaczął bym kombinować na zabezpieczenia serwerów przed atakami chociażby ddos a czemu bo słyszałem że jeśli takie miejsce zajdzie to blokujecie serwer klientom. Kto cierpi klient czy firma ? Dla mnie to amatorszczyzna więc Panu z całym szacunkiem podziękuję za wypowiedzi.

 

Ps. Dziwni są tacy dla mnie że zamiast liczyć na siebie i na swoją wiedzę używają programów. Program jak człowiek też może się pomylić.

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Archi, grep powinien być z parametrem -i

 

Progruś, daj se spokój, boś ciele a nie administrator i pojęcia zielonego nie masz.

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Widać Archi, że nie miałeś z tym żadnej praktycznej styczności :P

Owy grep, który wywołałeś pokaże w większości... poprawny kod aplikacji.

 

Bo problem w tym, że owe wywołanie base64 może być realizowane w całkiem dziwaczne sposoby,

właśnie po to, aby takich leniwych administratorów ogłupiać :P Ot np. taki - wzięty z pierwszego lepszego phpshella

$s_func="cr"."eat"."e_fun"."cti"."on";$b374k=@$s_func('$x,$y','ev'.'al'.'("\$s_pass=\"$y\";?>".gz'.'inf'.'late'.'( bas'.'e64'.'_de'.'co'.'de($x)));');@$b374k(__TU_KOD__)
Edytowano przez kafi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Z tego co widzę w historii Twoich ticketów chyba nie zgłaszałeś tego do nas.

 

Napisz ticket z prośbą o przeskanowanie konta, wtedy dostaniesz logi co wykryło.

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisałem tylko przykład. Dzięki @kix bo o tym też zapomniałem :).

 

@kafi

A tu wiesz masz całkowitą rację, z tym akurat się nie spotkałem. Ale to też można załatwić łącząc sedem czy innym ustrojstwem stringi z pominięciem znaków zdefiniowanych (np. . ; "). Coś by się dało wykombinować. Kwestia jest tego rodzaju, że do tej pory jeszcze nie było mi to potrzebne.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość

Z tego co widzę w historii Twoich ticketów chyba nie zgłaszałeś tego do nas.

 

Napisz ticket z prośbą o przeskanowanie konta, wtedy dostaniesz logi co wykryło.

 

 

 

Zgłosiłem, to chyba najlepsze rozwiązanie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×