Šta je novo?

Hakovan sajt

Serbianboss

Čuven
Učlanjen(a)
07.01.2005
Poruke
1,864
Poena
660
Naime, hakovan mi je sajt tacnije samo index stranica.

Hosting se nalazi u americi i rekli su kao da su njihovi serveri odlicno zasticeni i da mora da mi je neko provalio ftp sifru. Meni je sifra dosta komplikovana ima 12 cifara. A i da su mi provalili u nalog verovatno bi mi pobrisali sve sa servera?

Moje pitanje sta da radim? Tacnije od ovih amera nema nikakve vajde. Ta index stranica je php stranica sve ostale su html. Na toj index.php postoji samo anketa koja je php i to je to. Nema nikakav dodatni php kod. Da li treba da stavim neki zastitni php kod?

Drugo, sa vremena na vreme mi se u ftp-u pojavljuju neki folderi koje pre nikad nisam video.Recimo sada se na serveru nalazi folder .psy i kada sam ga skinuo na desktop i skenirao nod detektuje linux/exploit small f trojan i linux/hacktool .xhide trojan.

Sta mislite, sta ciniti?
 
Verovatno da ti taj php nije najsrecnije napisan, pa da preko njega vrse upade. Ti si ga pisao ili ti je to radio neko drugi?
 
@zevs

ja sam pisao, ali tu je samo php anketa. Znaci nistra drugo od php kod tu nema.

@zalutao

Da, cpanel. Hosting je na linux serveru.

Imate li jos nekih ideja?
 
Pazi imao sam slucaj sa nekoliko klijenata koji su na neki nacin "gubili" passworde znaci nalazim u ftp logovima ulazak sa passwordom bez prethodnih promasaja znaci nije brute force.
Desavalo se da prilikom ulaska u horde i phpmyadmin cpanel kreira session fajl u /tmp folderu koji tu ostane ako ne ides na logout u tim aplikacijama e sad problem je sto u tom sess fajlu ostane nekriptovan user i pass a u slucaju da ti je kao sto je i inace po defaultu mysql pass isti kao i za nalog i za php onda imas problem evo recimo jednog primjera kako izgleda taj sess fajl poslije jednog logovanja:

login_auth|s:3:"YES";login_auth_user|s:22:"kontakt@star*****.org";login_auth_pass|s:8:"or*****";

E sad tu nastaje problem ako administratori servera ne koriste suphp, suexec itd jer su ti fajlovi u /tmp onda citljivi od strane svih korisnika a to na shared hosting serveru zna biti problem. Dok u slucaju da koriste suphp do tog fajla (tvog sess fajla) se moglo doci jedino preko neke tvoje busne php skripte.

Neko univerzalno rijesenje za ovaj problem nisam nasao, kontaktirao sam developere cpanela par puta ali nije jos nista konkretno uradjeno, pa sam to rijesio na neke druge nacine skriptama koje automatski brisu sess fajlove itd. Znaci za pocetak izmjeni sifre pokusaj da se redovno logujes out i vidi sa svojim supportom sta oni mogu da urade povodom toga nek pregledaju /tmp folder pa nek provjere da im nije tu problem.
 
Dzabe mi da se zalim, ovi ameri kazu nije do njih kao neko mi provalio sifru. Malo pre sam primetio da css folder koji mi je na serveru i gde se nalaze css fajlovi od sajta, kada ukucate adreseu www.mojsajt.com/css/ ide na neku americku banku i trazi da se popune neki podaci. Normalno da je tu neko nesto ceprkao. Znaci po celom serveru, tacnije po folderima nalaze se razbacane php skripte. Stvarno ne znam sta vise da radim, kako da resim problem. Vec sam sve sifre izmenjao.
 
PHP ti je supalj. Uopse nisu bitne lozinke.

Pregledaj log prsitupa i izdvoj sve cudje parametre prosledjene PHP skriptovima. to ce te verovatno odvuci na trag kako je izvrsen upad.

A home-made anketa je skoro pa idealna za upad.
 
Anketa je gotovo resenje skinuto sa interneta, mislim da se zove php list. Danas cu da ukinem tu anketu pa cemo da vidimo.
 
PHP ti je supalj. Uopse nisu bitne lozinke.

Pregledaj log prsitupa i izdvoj sve cudje parametre prosledjene PHP skriptovima. to ce te verovatno odvuci na trag kako je izvrsen upad.

A home-made anketa je skoro pa idealna za upad.

Moze li malo blizi info kako ovo izvesti, t.j. kako doci do log-a pristupa?
 
nadam se da je problem resen, account je rekreiran, i izbacio sam tu advanced pool skriptu. Cilj ovih napada ocigledno je bio phishing, jer su se na serveru non stop nalazili php fajlovi, da kada ih pokreneti idete kao na bank of america i traze od vas da popunite podatke o kreditnim karticama. Jer da im je bio cilj da pobrisu sve fajlove sa servera oni bi to i uradili.
 
Nazad
Vrh Dno