Comments on: Jei pas jus įsilaužė į svetainę

By: aphex

aphex — Fri, 08 Jan 2010 13:48:54 +0000

Tu toks ne vienintelis :)

By: Vilius

Vilius — Sun, 03 Jan 2010 23:53:58 +0000

Pas mane irgi tas shhh buvo. Uzknisa ziauriai ziauriai kai valyti reikia. Visa laime ne 2000 failu. Bet irgi apie 20 domenu, tai ilgai valiau. Siaip iseitis nesaugot slaptazodziu, bet kai megstu remote failus redaguoti, tai ziauru budavo slaptazodi pastinti kiekviena karta.

Be manes irgi yra zmoniu kurie dirba su projektais, tai po to ir neaisku kuris kompas buvo uzkrestas.

Pas hosterius prasiau, kad padarytu, kad tik is mano IP galima butu prie servo jungtis, bet jie atsisake(serveriai.lt), dabar mastau apie vps pirkima, ten lyg ir galima apriboti, kas per ftp jungiasi.

By: Dominykas

Dominykas — Sat, 19 Dec 2009 16:51:36 +0000

BTW, labai svarbu nepamiršt pasikeist ne tik FTP, bet ir būtinai būtinai MySQL slaptažodžius, nes jie būna matomi atvirai prisijungus per http://FTP...

Nors jei kalbėti apie konkretų virusą, tai bent jau ta atmaina, kurios pasekmes man teko tvarkyti vienam draugui, panašu, kad nebando vogti config.php ir panašių failų – tik koreguoja esamus (arba labai gerai pasislėpė FTP loguose).

By: Originalas

Originalas — Sat, 19 Dec 2009 12:56:56 +0000

Dar pasakyk, kad Mac arba iPhone naudoji, kur "nėra virusų". :D

IMO, tai paprasčiausiai tiesiog Win 7 naudoti, kur kol kas nemačiau panašaus crap, nes update gana uoliai MS leidžia. :)

By: aidas

aidas — Sat, 19 Dec 2009 12:31:36 +0000

pas mane i parduotuve isilauze.. dabar taisome failus..

By: Vaidas Žilionis

Vaidas Žilionis — Fri, 18 Dec 2009 22:45:31 +0000

Buvo prisijungta per FTP (tai ne wordpres bugas)

Klausimas kur pasigavo ;(

By: tomas

tomas — Fri, 18 Dec 2009 19:18:34 +0000

Kaip jau rašiau Vaidui twiteryje šio kenkėjiško kodo priežasčių reikėtų ieškoti pirmiausia pas save, po to pas visus kitus, kurie turi šio tinklalapio ftp loginus. Tai trojano darbas (trojan.downloader), kuris nuskaito įvairiose ftp programose užsaugotus loginus ir jungiasi jais, tam tikruose failuose palikdamas savo kenkėjišką kodą. Šiandien teko matyt panašų kodą kaip ir čia, kuris kreipiasi pvz į joomla.com.google.com.facebook.com.kazkas.ru (šiuo atveju .newterra.ru), kur slepiasi koks nors botneto CnC ar koks nors exploitas ar dar blogiau (reiktų tik turint noro patyrinėt).

By: Artūras

Artūras — Fri, 18 Dec 2009 18:37:11 +0000

Buvo tokia pati situacija pas mane, tavciau kodas buvo truputi kitoks, jis atidarydavo puslapi, ą px frame ir jungdavosi i kinietiska serveri. Problema buvo nubruteforce'intas ftp slaptazodis.

Teko pereiti per daug katalogu, kad panaikinti evil koda is visur, jei turi shell access ir kodas visiskai identiskas tai si komanda pades:

# ieskoma fraze kataloge, be klaidu pranesimu

grep -s "ieskoma fraze" *

# tam tikroje direktorijoje pereina per failus iesko frazes radus, pakeicia

find /home/bruno/old-friends -type f -exec sed -i 's/SEARCH/REPLACE/g' {} ;

By: Ernestas

Ernestas — Fri, 18 Dec 2009 17:51:24 +0000

Aiškintis kaip buvo įsilaužta – jeigu problemos pas save neradai, gali būti, jog įsilaužta per patį serverį ar kitas svetaines serveryje, tada tavo visuotinė pareiga pranešti serverio administratoriams su kuo daugiau informacijos, jog jie patys galėtų tai ištirti. Bet nepranešinėk, jeigu nesi įsitikinęs, kad įsilaužta per tavo sistemą.

Blokuok bet kokius prisijungimus prie bet ko per ne tavo IP – šitai dažnai apsaugoja ne tik nuo tolimesnio įsilaužėlio naudojimosi sistema, bet ir nuo pačio įsilaužimo.

Naudok atsargines kopijas, jog galėtum greitai atsistatyti po tokių situacijų.

Kartą sukompromituotas daugiau nedarai tokį klaidų :) .

By: Dominykas

Dominykas — Fri, 18 Dec 2009 16:46:29 +0000

Apsigreidinti wordpressą ;)