Ogłoszenia - [Problem] UWAGA ROBAK!
MNgERmAn - 24-05-2009, 09:19 Temat postu: ... Ale ja na stronke wejsc moge... a komp jest dopiero co po reinstalacji systemu... narazie wrzucam wszystkie pliki od przemo... zobaczymy co z tego wyjdzie.
joli - 24-05-2009, 10:49
gaku napisał/a: | * Jeśli jesteś właścicielem tej witryny, możesz poprosić o ponowne przeanalizowanie swoich stron za pośrednictwemNarzędzi dla webmasterów. Więcej informacji na temat procesu sprawdzania witryn znajduje się w Centrum pomocy dla webmasterów.
Może warto zainteresować się gwiazdkami na dole?
_________________ |
mike_05 - 24-05-2009, 12:23
możesz sprawdzić
TUTAJ
Od zeszłego czwartku miałem też IFrame-EJ na serwerze. Dostawał sie przez TC. Skasowane wpisy w loginach, logowanie z każdorazowym podawaniem loginu i hasła po oczywiście uprzedniej zmianie haseł i loginów pomogło. 3 dni już nie ma ataków.
Jezeli używasz rutera i masz mozliwość obejrzenia "active session", to możesz podpatrzeć, które maszyny "zombie" podglądają twoją maszynę. Wpisy IP nie powiązane w żaden sposób z zawartoscią tego, co robisz aktualnie na swojej maszynie, sa prawdopodobnie nasłuchującymi zdalnymi włamywaczami. Jeżeli nie możesz na ruterze podejrzeć sesji, to moze choć po logach rutera. Moje zmagania szczątkowo opisane można poczytać tu:
http://forum.eset.pl/view...52&p=2105#p2105
Z opisywanych tam zjawisk, nie aktualne jest to, ze wirus tam jeszcze jest. Już go nie ma, jest tylko kupa śmieci po próbach uaktualnienia forum z wersji 1.8 do 1.12.
Hostingodawca nie pomoże ci na pewno, bo nie ma takiej możliwości i na pewno takiej woli, by to zrobić . Przerobiłem to. Sprawę zgłosiłem do CERT -> cert@cert.pl (zgłaszanie incydentów). Dobrze jest zrobić dokumentacje ataku(ów) przez logi ftp, zrzuty ekranowe źródeł strony zarażonej czy same kody robala (oczywiście dobrze zabezpieczony, by nie były z kolei wtórnym źródłem zarażania).
Sprawa antywirusów.
Akurat ten "mój" robal został wykryty przez przypadek. Powiększona nieco wolna przestrzeń niż zazwyczaj na stronie głównej u góry. Z AV zadziałał tylko AVAST i to nie za każdym razem. Niektóre pliki zainfekowane typu .php pomijał, .htm i .html prawidłowo blokował. Po którymś kolejnym ataku już też milczał. Tak jak NOD32, który zadziałał dopiero wczoraj i to po moiei interwencji i przesłaniu plików do analizy do Dagmy. Przyczyną nie wykrywania tego szkódnika moze być zmienny kod, który on wykorzystuje do dekodowania swego własnego skryptu i w kolejnych takach (może z innego zombi?) moze już być nie rozpoznany. Charakterystyczną sprawą jest to, ze ogladając pliki na serwerze przez ftp, zobaczyć mozna zmienione daty plików oraz KATALOGÓW (!). Te miejsca sa zainfekowane.
Usuniecie:
niestety reczna edycja i wycinanie kodów <script javascript> .... </script>
Jeszcze jedno, zarażenia następowały o różnych porach, ale wydaje mi się, ze zawsze 10 minut przed pełną godziną.
Powodzenia w walce.
EDIT:
Jak widać, mam obecnie 1 post na przemo.org, bo własnie przydażyło mi sie wywalenie z forum w zeszłym tygodniu prawdopodobnie przez obecnośc wirusa w URLu podanym w profilu , skasowano widocznie poprzednie kilka postów.
mike_05 - 24-05-2009, 16:34
Tavaro;
jezeli poczytasz jeszcze raz, może nie będziesz mieszać innym w głowach. Jezeli napisałem jak jest, nie jest to gołosłowne. Faktów na to mam troche wiecej.
Skoro zarażanie powstaje z komputera z US lub Turcji z zapisanych sesjach ftp, jak było w moim przypadku, to nie z mojego komputera. Logi ftp to potwierdzaja. Wykradniecie hasło z mojego komputera powstaje inną droga i jest działaniem niedozwolonym. Dlatego należy sprawdzić/dzać aktywne sesje. I nie ja zarazam pliki.
Jak chcesz napisać cokolwiek, napisz jakąś bajkę.
arcy - 24-05-2009, 17:00
Konkrety
http://www.cert.pl/news/1571
http://technologie.gazeta...ampaign=4807080
Kłótnie proszę prowadzić za pomocą prywatnych wiadomości.
mike_05 - 24-05-2009, 17:19
Cytat: | May 9 07:34:13 web2 pure-ftpd: (Tu_login_jaki_był@65.66.3.12) [NOTICE] /home/customers/50908//forum.iflex.pl/index.html uploaded (2916 bytes, 14.85KB/sec)
May 9 07:34:14 web2 pure-ftpd: (Tu_login_jaki_był@65.66.3.12) [NOTICE] /home/customers/50908//forum.iflex.pl/index.php downloaded (34501 bytes, 447.15KB/sec)
|
By nie być gołosłownym fragment logu ftp.
Proszę sprawdzić sobie IP klienta.
Ustanie aktywności nie tylko po zmianie haseł i loginów. Również zablokowanie aktywnych sesji na ruterze przez firewall na konkretne IP też zrobiłem. Opis był krótki i nie wszystkie działania i fakty u podałem. Jednie najbardziej istotne, na co należało by zwrócić u siebie uwagę w maszynach.
arcy:
to nie kłótnia, ja podaje fakty, ktoś je gołosłownie podważa i tyle, a opisanie zdarzenia powinno wyjść na dobre wielu innym, co problem mieli, maja lub mogą mieć. "Nie bo nie" to nie jest argument.
mike_05 - 24-05-2009, 17:34 Temat postu: Re: ...
MNgERmAn napisał/a: | Ale ja na stronke wejsc moge... a komp jest dopiero co po reinstalacji systemu... narazie wrzucam wszystkie pliki od przemo... zobaczymy co z tego wyjdzie. |
http://wepawet.iseclab.or...3165608&type=js
tu jest analiza zajaczek.org, adres w 4 linijce Network Activity
Requests jest maszyną, gdzie to wszystko idzie.
A tu analiza archiwalnego pliku z mojego forum z kodem robaka:
http://wepawet.iseclab.or...f74b995&type=js
kod z któregoś z ataków, bo zmienny "split" do autodekodowania jest stosowany:
MNgERmAn - 24-05-2009, 18:16 Temat postu: Re: ...
mike_05 napisał/a: | MNgERmAn napisał/a: | Ale ja na stronke wejsc moge... a komp jest dopiero co po reinstalacji systemu... narazie wrzucam wszystkie pliki od przemo... zobaczymy co z tego wyjdzie. |
http://wepawet.iseclab.or...3165608&type=js
tu jest analiza zajaczek.org, adres w 4 linijce Network Activity
Requests jest maszyną, gdzie to wszystko idzie. |
Nierozumiem... o co tu chodzi?? sorki ale ja laikiem jestem...
MNgERmAn - 25-05-2009, 08:13 Temat postu: Re: ...
mike_05 napisał/a: | MNgERmAn napisał/a: | Ale ja na stronke wejsc moge... a komp jest dopiero co po reinstalacji systemu... narazie wrzucam wszystkie pliki od przemo... zobaczymy co z tego wyjdzie. |
http://wepawet.iseclab.or...3165608&type=js
tu jest analiza zajaczek.org, adres w 4 linijce Network Activity
Requests jest maszyną, gdzie to wszystko idzie.
A tu analiza archiwalnego pliku z mojego forum z kodem robaka:
http://wepawet.iseclab.or...f74b995&type=js
kod z któregoś z ataków, bo zmienny "split" do autodekodowania jest stosowany:
Obrazek |
Ale w którym pliku index.html ten kod sie znajduje? mozesz sciezke podac?
joli - 25-05-2009, 08:21
MNgERmAn napisał/a: | Ale w którym pliku index.html ten kod sie znajduje? mozesz sciezke podac? | w tym który został zmieniony. Nie ma reguły. Moze to byc kazdy plik index (takze htm i html), ale moze byc tylko jeden, moze byc np. login.php, lub jeszcze jakis inny plik. Na ogol te w glownym katalogu, ale niekoniecznie.
Wlasnei spotkalam sie z sytuacja, ze tylko niektore pliki zostały zainfekowane, także te powyzej katalogu public_html. I kod jest zaszyfrowany, nie zawiera na pierwszy rzut oka <iframe>
lecz wyglada:
Kod: | <script type="text/javascript">var kDkemnvvDLKNSMGISufy = "CTxn60CTxn10
.........
f+"";document.write(""+qYpDiUKrdiBtNExNUvnG+"")</script> |
Zainfekowany był miedzy innymi plik index.html w tmp/webalizer
w plikach php dopisywany jest kod zwykle po ?>
a w html bo <body>
Polecam sprawdzenie kompa softem a-squared Anti-Malware 4.5 z http://www.emsisoft.com/en/software/download/
MNgERmAn - 25-05-2009, 09:23 Temat postu: ... A mógłbym ci przesłać te pliki albo dać dostęp do ftp i byś mi ten kod usunął? byłbym naprawde bardzo wdzieczny... sam sobie nie dam rady
joli - 25-05-2009, 09:33
Dopoki nie wyczyscisz swojego komputera, to nie ma sensu
MNgERmAn - 25-05-2009, 09:34 Temat postu: ... Ale ja swoj mam czysty sprawdzalem caly nod-32..
joli - 25-05-2009, 09:37
ekhm. Watpie, aby to wystarczylo. podalam wyzej soft do sprawdzenia kompa. Akurat nod to ejden z najglupszych antywirow. Sprawdz mks online, sprawdz hijackthis.
MNgERmAn - 25-05-2009, 09:40 Temat postu: ... ok to zaraz przeskanuje i jak to zrobie to pomozesZ?
|
|
|