Syndrom 95 Zgłoś post Napisano Sierpień 27, 2013 Witam, Zauważyliście może ostatnio wzmożoną aktywność różnego rodzaju ataków na hostingi (WP, Joomla), są to praktycznie ataki tego samego typu, korzystają z tego samego silnika (jeszcze nie wiem jakiego?), a interfejsy różne: http://www.zone-h.org/archive/special=1 Ktoś coś się zgłębiał w temacie ? Udostępnij ten post Link to postu Udostępnij na innych stronach
Dawid Golak 0 Zgłoś post Napisano Październik 11, 2013 Lista adresów IP, która jeździła po serwerach u mnie i próbowała się zalogować do wp: http://pastebin.com/KhRYeRTb Odsiać należy roboty google + ahrefs. Ogólnie do weryfikacji i porównania z Twoją listą. Udostępnij ten post Link to postu Udostępnij na innych stronach
Miłosz 2311 Zgłoś post Napisano Październik 11, 2013 Masz na liście IP jednego z moich Klientów. Widocznie też miał jakiś syf na serwerze, który skanował inne maszyny. Z jakiego okresu nazbierałeś tą listę? Udostępnij ten post Link to postu Udostępnij na innych stronach
regdos 1848 Zgłoś post Napisano Październik 12, 2013 U mnie postanowiły poharcować webmeup-crawler - to dość łatwo się da wyciąć 108.178.0.0/16 i 198.143.0.0/16 oraz MJ12bot i AhrefsBot Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Pokuć Zgłoś post Napisano Październik 13, 2013 Wczoraj strona jednego z moich użytkowników została zaatakowana. Do istniejących plików podpiął się złośliwy kod oraz pojawiły się nowe pliki z tym samym. Strona oparta na silniku PHP-Fusion. Trzymam u siebie jeszcze kilka innych stron opartych na tym samym silniku i jak z każdą mam mieć to samo to słabo to widzę. Mam nadzieje że wczorajszy atak nie był preludium do kolejnej zmasowanej serii ataków. Było spokojnie przez 3 miesiące i teraz znów... Udostępnij ten post Link to postu Udostępnij na innych stronach
Dawid Golak 0 Zgłoś post Napisano Październik 13, 2013 Wczoraj strona jednego z moich użytkowników została zaatakowana. Do istniejących plików podpiął się złośliwy kod oraz pojawiły się nowe pliki z tym samym. Strona oparta na silniku PHP-Fusion. Trzymam u siebie jeszcze kilka innych stron opartych na tym samym silniku i jak z każdą mam mieć to samo to słabo to widzę. Mam nadzieje że wczorajszy atak nie był preludium do kolejnej zmasowanej serii ataków. Było spokojnie przez 3 miesiące i teraz znów... @Paweł, z informacji, które podajesz, to problem może być w dziurawym skrypcie za pomocą którego można zrobić upload skryptów na serwer. Jednak obstawiałbym że hasło do konta ftp wyciekło z komputera na którym było ono zapamiętane (np. developer lub grafik). W pierwszej kolejności proponuję zmienić hasło do kont ftp (wszystkich kont) w drugiej kolejności usunąć złośliwy kod. Co ważne możesz zapamiętać godziny zmian plików i na ich podstawie przeprowadzić analizę logów żeby dojść źródła ataków. Jeżeli będziesz miał jakieś pytania lub problemy z dalszymi "procedurami" daj znać i na pewno da się sytuację opanować. Masz na liście IP jednego z moich Klientów. Widocznie też miał jakiś syf na serwerze, który skanował inne maszyny. Z jakiego okresu nazbierałeś tą listę? @Miłosz, lista jest z przełomu lipca/sierpnia. Wtedy to też szedł atak na wp. Wklej mi na priv adres IP, to zaktualizuję acl i jeśli znajdę w logach info to postaram się podesłać coś więcej, abyś przejrzał u Klienta skrypty. Udostępnij ten post Link to postu Udostępnij na innych stronach
