OVH Community, your new community space.

Wirus <iframe>


Spacedust
09-07-2012, 14:09
Cytat Napisał komar07
@Spacedust używasz panelu Plesk?
Nigdy w życiu bym tego dziadostwa nie zainstalował.

komar07
09-07-2012, 13:30
@Spacedust używasz panelu Plesk?

Joshua
09-07-2012, 11:26
Cytat Napisał mikel
Ano ciężko, poza tym średni jest sens to w ogóle wyłapywać bo weź teraz każdego takiego edukuj i mów mu, że ma sobie zrobić format kompa albo antywira kupić ... a poprawianie dziesiątek nadpisanych plików to też syzyfowa praca.
Najgorszy jest absolutny brak softu do wykrywania tego dziadostwa. Raz znalazłem jakiś maldetect, który nijak nie znalazł czegokolwiek w bogatej kolekcji syfu który trafił na różne serwery wskutek niefrasobliwości klientów...

Spacedust
08-07-2012, 16:32
Cytat Napisał mario1973
a jak zamiast trywialnego iframe zostanie wgrany skrypcik floodujący kogoś i dostaniesz off serwera od OVH ?

M
Nie trzymam kluczowych serwerów w OVH

mario1973
08-07-2012, 16:31
Cytat Napisał Spacedust
O to mi właśnie chodziło. Generalnie klient jest sam sobie winny. Firma hostingowa nie może być katem
a jak zamiast trywialnego iframe zostanie wgrany skrypcik floodujący kogoś i dostaniesz off serwera od OVH ?

M

Spacedust
07-07-2012, 21:23
Cytat Napisał mikel
Ano ciężko, poza tym średni jest sens to w ogóle wyłapywać bo weź teraz każdego takiego edukuj i mów mu, że ma sobie zrobić format kompa albo antywira kupić ... a poprawianie dziesiątek nadpisanych plików to też syzyfowa praca.

Oczywiście możesz napisać sobie skrypt, który będzie skanował to co jest wgrywane na ftp na obecność tych iframe ... ale jeszcze jest np. wgrywanie przez cpanel oraz wgrywanie przez dziurawe skrypty stron www czego w logu nie wyłapiesz (raczej).
O to mi właśnie chodziło. Generalnie klient jest sam sobie winny. Firma hostingowa nie może być katem, ale na bieżąco monitorujemy listy http://support.clean-mx.de/clean-mx/login.php i jeśli się coś pojawi to albo sami usuwamy albo klient jest informowany i w przypadku braku reakcji blokowana jest pojedyncza domena.

mikel
07-07-2012, 21:07
Ano ciężko, poza tym średni jest sens to w ogóle wyłapywać bo weź teraz każdego takiego edukuj i mów mu, że ma sobie zrobić format kompa albo antywira kupić ... a poprawianie dziesiątek nadpisanych plików to też syzyfowa praca.

Oczywiście możesz napisać sobie skrypt, który będzie skanował to co jest wgrywane na ftp na obecność tych iframe ... ale jeszcze jest np. wgrywanie przez cpanel oraz wgrywanie przez dziurawe skrypty stron www czego w logu nie wyłapiesz (raczej).

Spacedust
07-07-2012, 19:05
Ciężko to wyłapać na FTP, skoro cały czas ktoś coś wrzuca. Ten problem jest nie tyko związany z brakiem antywirusów, ale używaniem pirackiego softu (cracków itd.) co niestety w Polsce jest na porządku dziennym.

mikel
07-07-2012, 17:27
No niestety, jest to problem występujący już od hm ... pewnie 1-2 lat. Bardzo ładnie obrazuje ile osób używa skutecznych antywirusów i ile z nich ma trojany / wirusy na swoich kompach. Sam iframe wgrywany jest na ftp, jak spojrzysz sobie w logi to taki bot sciaga plik a nastepnie uploaduje juz z dodanym kodem iframe. Hasło do konta ftp ma zwykle za pomocą trojana i wyciągania haseł z total commandera gdzie użytkownicy zapisują na stałe hasło.

mario1973
07-07-2012, 17:14
Cytat Napisał Spacedust
Przez FTP ?
log FTPa powinien rozwiać wątpliwości.

victor
07-07-2012, 17:12
80% podatnosci w oprogramowaniu php lub wczesniej wgrany i nie usunięty złośliwy kod otwierające nowe podatnosci .
20% przez ftp.

Pytasz czy przez ftp? A log serwera ftp jest od czego?

Co jakiś czas? To kiepsko szukasz albo masz mało klientów. Dziennie następuje kilka lub kilkanaście takich infekcji w wiecznie nie aktualizowanym oprogramowaniu klientów

Spacedust
07-07-2012, 16:51
Cytat Napisał korix
Tak, przez FTP. Miałem ten sam problem. Jeśli w kliencie FTP są na stałe skonfigurowane konta, to ten dziad wyłapuje tą konfiguracje i po cichu w tle wchodzi na serwer i modyfikuje zazwyczaj index.php index.htm itd. Trzeba przeskanować wszystkie kompy z takimi klientami i problem zniknie.
U mnie ciągle sobie wrzuca jakieś plik p.php, v.php, jquery ileś tam razy itd. Ostatnio nawet pliki .htaccess sobie zmodyfikował dopisując kilkadziesiąt linii.

korix
07-07-2012, 16:49
Tak, przez FTP. Miałem ten sam problem. Jeśli w kliencie FTP są na stałe skonfigurowane konta, to ten dziad wyłapuje tą konfiguracje i po cichu w tle wchodzi na serwer i modyfikuje zazwyczaj index.php index.htm itd. Trzeba przeskanować wszystkie kompy z takimi klientami i problem zniknie.

Spacedust
07-07-2012, 15:20
Co jakiś czas na niektórych kontach moich klientów znajduje to cholerstwo. W jaki sposób się to dostaje na serwer ? Przez FTP ?