phpBB2 by Przemo
Support forów phpBB2 modified by Przemo

FAQFAQ - PIERWSZA POMOC!!  regulaminREGULAMIN  SzukajSZUKAJ  UżytkownicyUżytkownicy  GrupyGrupy  StatystykiStatystyki
RejestracjaRejestracja  ZalogujZaloguj  DownloadDownload  katalog Forów DyskusyjnychKatalog Forów   FAQ Video tutoriale

Poprzedni temat «» Następny temat
[Problem] UWAGA ROBAK!
Autor Wiadomość
MNgERmAn

Posty: 28
Wysłany: 24-05-2009, 09:19   ...

Ale ja na stronke wejsc moge... a komp jest dopiero co po reinstalacji systemu... narazie wrzucam wszystkie pliki od przemo... zobaczymy co z tego wyjdzie.
 
     
Gadatliwa Kasia 

   
joli
Yollien +Styler



Pomógł: 2988 razy
Posty: 16981
Wysłany: 24-05-2009, 10:49   

gaku napisał/a:
* Jeśli jesteś właścicielem tej witryny, możesz poprosić o ponowne przeanalizowanie swoich stron za pośrednictwemNarzędzi dla webmasterów. Więcej informacji na temat procesu sprawdzania witryn znajduje się w Centrum pomocy dla webmasterów.


Może warto zainteresować się gwiazdkami na dole?
_________________
_________________
Walczę z warezami. Więc jak masz forum warezowe, nie proś mnie o pomoc i nie wchodź pod rękę, bo zniszczę.
Nie pisz do mnie na GG i PW,(chyba że proszę) bo nie odpowiem, a Ty dostaniesz bonusik. Masz forum do zadawania pytań!!! Poza forum pomagam TYLKO odpłatnie.
liberte d'expression pour tout le monde... OFICJALNY DOWNLOAD STYLÓW - style ogólnodostępne i na zamówienie - PORTFOLIO JOLI
 
     
mike_05

Posty: 9
Wysłany: 24-05-2009, 12:23   

możesz sprawdzić

TUTAJ

Od zeszłego czwartku miałem też IFrame-EJ na serwerze. Dostawał sie przez TC. Skasowane wpisy w loginach, logowanie z każdorazowym podawaniem loginu i hasła po oczywiście uprzedniej zmianie haseł i loginów pomogło. 3 dni już nie ma ataków.
Jezeli używasz rutera i masz mozliwość obejrzenia "active session", to możesz podpatrzeć, które maszyny "zombie" podglądają twoją maszynę. Wpisy IP nie powiązane w żaden sposób z zawartoscią tego, co robisz aktualnie na swojej maszynie, sa prawdopodobnie nasłuchującymi zdalnymi włamywaczami. Jeżeli nie możesz na ruterze podejrzeć sesji, to moze choć po logach rutera. Moje zmagania szczątkowo opisane można poczytać tu:
http://forum.eset.pl/view...52&p=2105#p2105
Z opisywanych tam zjawisk, nie aktualne jest to, ze wirus tam jeszcze jest. Już go nie ma, jest tylko kupa śmieci po próbach uaktualnienia forum z wersji 1.8 do 1.12.
Hostingodawca nie pomoże ci na pewno, bo nie ma takiej możliwości i na pewno takiej woli, by to zrobić . Przerobiłem to. Sprawę zgłosiłem do CERT -> cert@cert.pl (zgłaszanie incydentów). Dobrze jest zrobić dokumentacje ataku(ów) przez logi ftp, zrzuty ekranowe źródeł strony zarażonej czy same kody robala (oczywiście dobrze zabezpieczony, by nie były z kolei wtórnym źródłem zarażania).

Sprawa antywirusów.
Akurat ten "mój" robal został wykryty przez przypadek. Powiększona nieco wolna przestrzeń niż zazwyczaj na stronie głównej u góry. Z AV zadziałał tylko AVAST i to nie za każdym razem. Niektóre pliki zainfekowane typu .php pomijał, .htm i .html prawidłowo blokował. Po którymś kolejnym ataku już też milczał. Tak jak NOD32, który zadziałał dopiero wczoraj i to po moiei interwencji i przesłaniu plików do analizy do Dagmy. Przyczyną nie wykrywania tego szkódnika moze być zmienny kod, który on wykorzystuje do dekodowania swego własnego skryptu i w kolejnych takach (może z innego zombi?) moze już być nie rozpoznany. Charakterystyczną sprawą jest to, ze ogladając pliki na serwerze przez ftp, zobaczyć mozna zmienione daty plików oraz KATALOGÓW (!). Te miejsca sa zainfekowane.
Usuniecie:
niestety reczna edycja i wycinanie kodów <script javascript> .... </script>

Jeszcze jedno, zarażenia następowały o różnych porach, ale wydaje mi się, ze zawsze 10 minut przed pełną godziną.

Powodzenia w walce.

EDIT:

Jak widać, mam obecnie 1 post na przemo.org, bo własnie przydażyło mi sie wywalenie z forum w zeszłym tygodniu prawdopodobnie przez obecnośc wirusa w URLu podanym w profilu :( , skasowano widocznie poprzednie kilka postów.
 
     
mike_05

Posty: 9
Wysłany: 24-05-2009, 16:34   

Tavaro;
jezeli poczytasz jeszcze raz, może nie będziesz mieszać innym w głowach. Jezeli napisałem jak jest, nie jest to gołosłowne. Faktów na to mam troche wiecej.
Skoro zarażanie powstaje z komputera z US lub Turcji z zapisanych sesjach ftp, jak było w moim przypadku, to nie z mojego komputera. Logi ftp to potwierdzaja. Wykradniecie hasło z mojego komputera powstaje inną droga i jest działaniem niedozwolonym. Dlatego należy sprawdzić/dzać aktywne sesje. I nie ja zarazam pliki.

Jak chcesz napisać cokolwiek, napisz jakąś bajkę.
 
     
arcy



Pomógł: 509 razy
Posty: 3762
Wysłany: 24-05-2009, 17:00   

Konkrety
http://www.cert.pl/news/1571
http://technologie.gazeta...ampaign=4807080

Kłótnie proszę prowadzić za pomocą prywatnych wiadomości.
_________________
| Regulamin | F.A.Q. | Szukaj | Oficjalny podręcznik administratora phpBB2 by Przemo |
| arcy.net - nowości ze świata phpBB by Przemo, Opera, Android | w tym państwie pełnym nienawiści, rap po godzinach i luz ponad wszystkim... | Opera Browser
|
Ostatnio zmieniony przez arcy 24-05-2009, 17:19, w całości zmieniany 1 raz  
 
     
mike_05

Posty: 9
Wysłany: 24-05-2009, 17:19   

Cytat:
May 9 07:34:13 web2 pure-ftpd: (Tu_login_jaki_był@65.66.3.12) [NOTICE] /home/customers/50908//forum.iflex.pl/index.html uploaded (2916 bytes, 14.85KB/sec)
May 9 07:34:14 web2 pure-ftpd: (Tu_login_jaki_był@65.66.3.12) [NOTICE] /home/customers/50908//forum.iflex.pl/index.php downloaded (34501 bytes, 447.15KB/sec)

By nie być gołosłownym fragment logu ftp.
Proszę sprawdzić sobie IP klienta.
Ustanie aktywności nie tylko po zmianie haseł i loginów. Również zablokowanie aktywnych sesji na ruterze przez firewall na konkretne IP też zrobiłem. Opis był krótki i nie wszystkie działania i fakty u podałem. Jednie najbardziej istotne, na co należało by zwrócić u siebie uwagę w maszynach.

arcy:
to nie kłótnia, ja podaje fakty, ktoś je gołosłownie podważa i tyle, a opisanie zdarzenia powinno wyjść na dobre wielu innym, co problem mieli, maja lub mogą mieć. "Nie bo nie" to nie jest argument.
 
     
mike_05

Posty: 9
Wysłany: 24-05-2009, 17:34   Re: ...

MNgERmAn napisał/a:
Ale ja na stronke wejsc moge... a komp jest dopiero co po reinstalacji systemu... narazie wrzucam wszystkie pliki od przemo... zobaczymy co z tego wyjdzie.


http://wepawet.iseclab.or...3165608&type=js

tu jest analiza zajaczek.org, adres w 4 linijce Network Activity
Requests jest maszyną, gdzie to wszystko idzie.

A tu analiza archiwalnego pliku z mojego forum z kodem robaka:

http://wepawet.iseclab.or...f74b995&type=js

kod z któregoś z ataków, bo zmienny "split" do autodekodowania jest stosowany:

Ostatnio zmieniony przez mike_05 24-05-2009, 18:18, w całości zmieniany 1 raz  
 
     
MNgERmAn

Posty: 28
Wysłany: 24-05-2009, 18:16   Re: ...

mike_05 napisał/a:
MNgERmAn napisał/a:
Ale ja na stronke wejsc moge... a komp jest dopiero co po reinstalacji systemu... narazie wrzucam wszystkie pliki od przemo... zobaczymy co z tego wyjdzie.


http://wepawet.iseclab.or...3165608&type=js

tu jest analiza zajaczek.org, adres w 4 linijce Network Activity
Requests jest maszyną, gdzie to wszystko idzie.



Nierozumiem... o co tu chodzi?? sorki ale ja laikiem jestem...
 
     
MNgERmAn

Posty: 28
Wysłany: 25-05-2009, 08:13   Re: ...

mike_05 napisał/a:
MNgERmAn napisał/a:
Ale ja na stronke wejsc moge... a komp jest dopiero co po reinstalacji systemu... narazie wrzucam wszystkie pliki od przemo... zobaczymy co z tego wyjdzie.


http://wepawet.iseclab.or...3165608&type=js

tu jest analiza zajaczek.org, adres w 4 linijce Network Activity
Requests jest maszyną, gdzie to wszystko idzie.

A tu analiza archiwalnego pliku z mojego forum z kodem robaka:

http://wepawet.iseclab.or...f74b995&type=js

kod z któregoś z ataków, bo zmienny "split" do autodekodowania jest stosowany:

Obrazek



Ale w którym pliku index.html ten kod sie znajduje? mozesz sciezke podac?
 
     
joli
Yollien +Styler



Pomógł: 2988 razy
Posty: 16981
Wysłany: 25-05-2009, 08:21   

MNgERmAn napisał/a:
Ale w którym pliku index.html ten kod sie znajduje? mozesz sciezke podac?
w tym który został zmieniony. Nie ma reguły. Moze to byc kazdy plik index (takze htm i html), ale moze byc tylko jeden, moze byc np. login.php, lub jeszcze jakis inny plik. Na ogol te w glownym katalogu, ale niekoniecznie.
Wlasnei spotkalam sie z sytuacja, ze tylko niektore pliki zostały zainfekowane, także te powyzej katalogu public_html. I kod jest zaszyfrowany, nie zawiera na pierwszy rzut oka <iframe>
lecz wyglada:

Kod:
<script type="text/javascript">var kDkemnvvDLKNSMGISufy = "CTxn60CTxn10

.........
f+"";document.write(""+qYpDiUKrdiBtNExNUvnG+"")</script>

Zainfekowany był miedzy innymi plik index.html w tmp/webalizer

w plikach php dopisywany jest kod zwykle po ?>
a w html bo <body>


Polecam sprawdzenie kompa softem a-squared Anti-Malware 4.5 z http://www.emsisoft.com/en/software/download/
_________________
Walczę z warezami. Więc jak masz forum warezowe, nie proś mnie o pomoc i nie wchodź pod rękę, bo zniszczę.
Nie pisz do mnie na GG i PW,(chyba że proszę) bo nie odpowiem, a Ty dostaniesz bonusik. Masz forum do zadawania pytań!!! Poza forum pomagam TYLKO odpłatnie.
liberte d'expression pour tout le monde... OFICJALNY DOWNLOAD STYLÓW - style ogólnodostępne i na zamówienie - PORTFOLIO JOLI
 
     
MNgERmAn

Posty: 28
Wysłany: 25-05-2009, 09:23   ...

A mógłbym ci przesłać te pliki albo dać dostęp do ftp i byś mi ten kod usunął? byłbym naprawde bardzo wdzieczny... sam sobie nie dam rady :(
 
     
joli
Yollien +Styler



Pomógł: 2988 razy
Posty: 16981
Wysłany: 25-05-2009, 09:33   

Dopoki nie wyczyscisz swojego komputera, to nie ma sensu
_________________
Walczę z warezami. Więc jak masz forum warezowe, nie proś mnie o pomoc i nie wchodź pod rękę, bo zniszczę.
Nie pisz do mnie na GG i PW,(chyba że proszę) bo nie odpowiem, a Ty dostaniesz bonusik. Masz forum do zadawania pytań!!! Poza forum pomagam TYLKO odpłatnie.
liberte d'expression pour tout le monde... OFICJALNY DOWNLOAD STYLÓW - style ogólnodostępne i na zamówienie - PORTFOLIO JOLI
 
     
MNgERmAn

Posty: 28
Wysłany: 25-05-2009, 09:34   ...

Ale ja swoj mam czysty sprawdzalem caly nod-32..
 
     
joli
Yollien +Styler



Pomógł: 2988 razy
Posty: 16981
Wysłany: 25-05-2009, 09:37   

ekhm. Watpie, aby to wystarczylo. podalam wyzej soft do sprawdzenia kompa. Akurat nod to ejden z najglupszych antywirow. Sprawdz mks online, sprawdz hijackthis.
_________________
Walczę z warezami. Więc jak masz forum warezowe, nie proś mnie o pomoc i nie wchodź pod rękę, bo zniszczę.
Nie pisz do mnie na GG i PW,(chyba że proszę) bo nie odpowiem, a Ty dostaniesz bonusik. Masz forum do zadawania pytań!!! Poza forum pomagam TYLKO odpłatnie.
liberte d'expression pour tout le monde... OFICJALNY DOWNLOAD STYLÓW - style ogólnodostępne i na zamówienie - PORTFOLIO JOLI
 
     
Gadatliwa Kasia 

   
MNgERmAn

Posty: 28
Wysłany: 25-05-2009, 09:40   ...

ok to zaraz przeskanuje i jak to zrobie to pomozesZ?
 
     
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Kopiowanie wszelkich treści zawartych na forum, modyfikacji oraz instrukcji bez zgody administracji i autorów tematów/postów zabronione!

Powered by phpBB modified by Przemo © 2003 phpBB
Strona wygenerowana w 0,11 sekundy. Zapytań do SQL: 11
Polecane serwisy

Najlepsze oprogramowanie do prowadzenia sklepu internetowegoNajlepszy program do sklepu firmowany przez Przem'a

Sklep z gadżetami

mediaclick.pl

serwis laptopów

phpbb

Polisy Ubezpieczeniowe TU Europa

Design Cart - Tworzenie sklepu internetowego

dnirozwoju.pl

Ranking Hostingów HostingOnline.pl

• Zamów reklamę