to se ne desava preko sql injection-a, vec najvise zbog rupa u samom php-u

verovatno ti je omogucen remote call (url_open i slicno). a najvise zbog npr. include $_GET['strana'] i slicno.

Moguce je i da sam hosting ima rupu i omogucava ftp brute force.

Imas srecu, verovatno je ruski napadac u pitanju, oni samo ostavljaju takve skripte. Da su siptari ili turci bilo bi mnogo radikalnije.

Moguće je i da je neki drugi sajt na istom serveru kompromitovan (pod uslovom da si na shared hostingu) i da zbog toga što svi sajtovi "trče" pod istim korisnikom (apache verovatno) skripti sa drugog sajta nije bilo teško da izmeni fajl u tvom folderu.

Uze mi reč iz usta... Upravo sam to hteo da kažem, imao sam sličan problem na jednom free hosting-u, a problem je bio na nekom sasvim drugom sajtu, koji je pohranjen na istom serveru.

Rus je, kanda si u pravu. :)

Sta se jos moze uciniti?
Administrator je iskljucio neke potencijalno opasne funkcije, php5 je na serveru...

Sta ja jos mogu da ucinim, sta da proverim, da se, koliko je moguce osiguram?

Hvala vam!

Hm, novi momenti...
Ovaj sajt je na dedicated serveru mog klijenta, uz gomilu drugih sajtova.
Neke od njih sam ja pravio (najiskrenije se nadam da nisam ja zabrljao negde:)), neke nisam...

Uh...

Da li medju tim ostalim sajtovima postoje neki opensource forumi?
Pogledaj medju podfolderima da li postoje neki php fajlovi zakoje znas da nisu tvoji, recimo 1234556.php ili tako nesto?
Prilicno je tricky ocistiti sajt jednom napadnut, jer je lao preko ftp-a ne videti sve fajlove koji su postavljeni. Ako imas tako gomilu stranih fajlova, velika je verovatnoca da su ti kompromitovani ftp nalozi (najcesce nekim spyware ili other malware programi) pa mozes pogledati logove ako je koriscen FTP koji su sve fajlovi postavljeni na tvoj server. Ima i virusa (kako se vec zovu) koji 'slusaju' ftp portove, i cim se nakacis, oni dizaju izmenjen .htaccess fajl koji sve 404 stranice recimo vodi na neki malvare skript koji opet isti program uploaduje, i onda 'negativcima' ostaje samo da lupe lokaciju na tvom domenu i dodju do veoma mocnog alata (obicno nazvan r57shell) koji je u stvari GUI, prakticno php stranica koja vec ima dosta stvari predefinisano olaksavajuci dalje sirenje po serveru (pogotovo ako je shared). Recimo predefinisana je pretraga svih foldera sa 0777 privilegijama, svi index.php fajlovi, listanje svih usera na shered hostingu, laganu promenu iliti 'upad' na tudji domen/account na hostingu, shell access i jos gomilu stvari. Cesto se r57 naziva i troxy.php pored r57shell.php, a troxy.php je kao modifikacija nekog (99% rusa) Byt3B0y. E sad, google pa mozda i nadjes negde alat cisto da vidis o cemu se radi, ali znaj da nisi jedini kome se ovo desavalo, kaze Avast http://www.avast.com/eng/avast...to-defeat-website-hackers.html
This year, there has been a large increase in the number of legitimate websites infected by a so-called "iframe" threat - a type of malicious script.
In 2008, several high-profile websites were targeted, including USA Today, ABC News, Target and Wal-Mart...... the recent attacks prove that no websites are immune to infection.
E sad, avast recimo odmah detektuje takav iFrame cim odes na neki sajt iz bilokog browsera, mislim da i Kasperski Internet Security isto (znam da obican KAV ne) a verovatno jos neki.
Znaci pogledaj sve fajlove koji se zovu index.xxx pa vidi postoji li iframe, na php fajlovim aje obicno na dnu, ali ne mora da znaci.

E, hvala, dakipro!

edit: Da, instalirao sam simple machines jedared, sad se setih...

ako ti iframeovi gadjaju na .cn domene to je virus/crv/kako-god-da-se-to-kategorise, koji se pojavio pre 2-3 meseca i iz nekog mog iskustva sa njim on kupi storeovane ftp naloge iz programa kao sto su total commander i filezilla koje koristi da zarazi sve .php fajlove koji u nazivu imaju "index", "home" ili "maintenance".

malo googlanja za domene koje sam ja uhvatio je dalo ovo kao rezultat: http://blog.unmaskparasites.co...ncome-iframes-from-cn-domains/ ...

Mogu i ja da potvrdim ovo sto je Aleksandar Ružičić rekao s obzirom da imam posla sa par shared hosting servera i korisnicima na njima.
U posljednjih mjesec-dva ne može se živjeti od ovakvih "napada". Svi su regularno bili ulogovani preko FTP-a i tako su modfikovani fajlovi.
Zakačio si nekog trojanca ili virus i tako su se dokopali tvojih FTP šifri.

Ne gadjaju na .cn domene, nego na neki .ru domen.

Bio je ubacen ifrejm i na jedan index.html fajl...

I ovde je ''napad'' dosao preko ftpa, koliko znam, admin je zapazio jedno sumnjivo logovanje...

Mislim da sam zaista zapatio nesto i da su nekako pokradene ftp lozinke...
Na gomili sajtova koje imam u filezilli se desilo isto...
au, jbt...

"Pretplacen" sam na ovu temu te dobijam mail-ove.
Ne znam sta si ti zapatio ali AVG Free je taj kod prepoznao kao potencijalno opasan
i strpao ga u karantin

Ma ne, znam da je kod opasan...
I ne mislim da sam odlaskom na ''zarazene'' sajtove zapatio nesto, nego da se sve ovo desilo jer je neko maznuo fpt lozinke iz filezille...
Ili neko bas ima nesto protiv mene (to je paranoik varijanta).

U svakom slucaju, po svemu sudeci, izgleda da nema veze sa mojim php skriptovima.


Jedan od napadnutih sajtova je i ovaj:
http://safebrowsing.clients.go...e=http://www.spoiledjuice.com/


937 domena zarazito!
http://safebrowsing.clients.go...&hl=en-US&site=u0c.ru/

Samo, sad se pitam da li je slucajnost sto je dosta sajtova iz mog ftp klijenta ''palo'', ili bi to bila bas prevelika koincidencija...

<sub>[Ovu poruku je menjao kelja dana 11.07.2009. u 14:17 GMT+1]

[Ovu poruku je menjao kelja dana 11.07.2009. u 14:18 GMT+1]</sub>

Evo jedan "malo drugaciji"... kao sto je vec receno napada index.php premda se desilo da bude zarazen i jedan lib fajl sa nekim nebuloznim imenom.
Definitivno je ftp related problem jer je ovaj kod bio na razlicitim skriptovima i na razlicitim serverima, domacim, stranim, shared, dedicated.
Ali se ista osoba kacila preko ftp-a :D



Resenje!? Chmod svih index.php fajlova i nema ga vise :P ...

Hvala, ce probam i to...
Cekaj, kakav/koji chmod? :)

@Tyler i Aleksandar, da ista "kompanija" je u pitanju:

http://safebrowsing.clients.go...amp;hl=en-US&site=AS:26496

:)





_{[Ovu poruku je menjao kelja dana 11.07.2009. u 14:56 GMT+1]}

Isti problem me muci poslednjih par dana :(

Hidden iframe koji se pojavljuje na index stranama i poziva skriptu sa .ru servera.

Prvi napad je bio 6.jula , drugi danas.

Juce sam skenirao kompjuter sa avastom i avg free. Pronadjen jedan trojanac koji po opisu radi nesto drugo ali ko zna... Nisam siguran da su passwordi uzeti bas sa mog komp. posto imam 20-ak ftp accounta u Total Commander-u i WinScp-u a infekcija se desila samo na tom jednom sajtu (doduse na sajtu na kojem trenutno radim i gde sam najaktivniji). Ftp account napadnutog sajta ima vise ljudi tako da je tesko otkriti kome su pokradene sifre.

U iscekivanju da klijenti promene password na sajtu koji radim desio se drugi napad tako da sam danas ponovo ocistio sve fajlove i promenio password pa cu bar znati da li je infekcija potekla sa mog kompjutera ako se napad ponovi.

Nije strasno boriti se sa ovim na jednom sajtu ali ako bi infekcija zahvatila vise sajtova to bi bila propast. Trenutno nemam puno vremena ali pada mi na pamet da bi bilo korisno napraviti jednu skriptu u koju bi uneo maliciozni kod i zatim je pustio da pregleda sve fajlove na serveru i obrise uneti kod. Da li mozda vec postoji neki takav open source ili nesto slicno?

problem je sto nije tako lako napisati skriptu koja bi cistila ubaceno djubre. ja sam se susretao sa ovim iframe-ovima ubacenim u stranu na nekoliko razlicitih nacina (sto znaci da bi trebalo popisati sve moguce formate u kojima maliciozni kod moze da se pojavi, a opet niko ne sprecava ove sto su pustili crva da dnevno dodaju nove vrste zapisa...)
search/replace iframe-ova ne bi dalo neke rezultate jer broj iframeova u nekoj web aplikaciji moze biti veliki (pogotovu ako se koristi neki od wysiwyg editora kao sto je tinymce), pa postoji mogucnost da se izbaci sasvim validan iframe...

Da upravu si sto se tice nekog automatizovanog procesa ali ja sam vise mislio na neku primitivnu skriptu u kojoj bi ja nakon pokretanja uneo kod koji treba da se brise i onda da ona odradi to umesto da se traze rucno svi zarazeni fajlovi ili radi update celog sajta. Rekoh da to nije toliko strasno za jedan sajt ali ako bi se prosirilo na desetine bio bi veliki problem.

Predpostavljam da postoji tako neka search replace php skripta prilagodjena za servere? Pa bi to moglo malo da se prosiri sa nekom bazom vec poznatih malicioznih kodova da se malo automatizuje pomocu cron joba. Npr. pretraga svih fajlova koji su danas menjani ili ako na nekom sajtu ne radis duze vreme mogucnost slanja obavestenja putem maila ako je promenjen datum na nekom fajlu i sl.

Kod mene je na svim stranama ubacen isti iframe tako da bi obican server search replace sa unosom pojma za search odradio posao.

Pa imajuci u vidu da "crv" nije previse "inteligentan", resenje je da se malo reorganizuju aplikacije :D
U smislu jedan ili nijedan index.php fajl sa nekom minimalnom logikom...

Sto se tice skripta, vazi ovo sto je krcko napisao ali u mom slucaju recimo bilo bi ga prilicno jednostavno napisati (mada licno ne vidim potrebu za tim) jer nemam html kod u php fajlovima pa je maliciozan kod izgledao ovako nekako:



@kelja
chmod 444 - Allow read permission to owner and group and world

kao sto sam rekao, problem je sto se taj iframe ubacuje na vise razlicith nacina, kao php sa echo naredbom (u tom tvom slucaju, a i ja sam naletao na takav zapis), ili kao klasican html injectovan na random poziciju u fajl (sto u vecini slucajeva rezultuje E_PARSE php greskom sto je i rezultiralo otkrivanjem problema, da je crv malo intelignentiji bilo bi ga teze detektovati "golim okom")

sto se tice otkrivanja i sredjivanja zarazenih fajlova ja sam to radio sa grep-om i vi-om, bez ikakvih skripti :) (naravno problem je ako ima vise desetina zarazenih sajtova...)

Ja sam u proteklih nekoliko meseci zapazio veliki broj neuspelih logovanja u logovima FTP servera, gotovo svakodnevno u dugim sesijama od po 3-4 sata. Naravno, odmah sam preko polise postavio blokadu da posle X neuspelih logovanja sledi Y minuta zakljucanog naloga, a kasnije sam dodao i ogranicenje sa kojih IP adresa je moguce pristupati serveru. Sto se samih logovanja tice, bilo je pokusaja sa "administrator" i "root" nalozima, kao i par "dictionary" napada gde su pokusavane razne vrednosti za username, po tri puta jedna pa se predje na sledecu i tako u nedogled.

Kasnije sam na ES-u saznao da nisam jedini koji je ovo zapazio (http://www.elitesecurity.org/t...server-problem-Source-MSFTPSVC) i cini mi se da je upravo ovo nacin kako je neko spolja dosao do FTP lozinki pa modifikovao PHP, JS i/ili HTML kod, samo sto ce ovde retko ko priznati da je uz username 'pera' koristio i password 'pera' ili neku slicnu kombinaciju koja se lako provaljuje ;-)

Meni se redovno na supljem Servage hostigu javlja neki crv/whatever...

ovo ubaci u meta deo HTML-a:


A u posebnom folderu se ponekad nadje ovo sto sam okacio kao RAR.

Gomila spiskova sa spam sajtovima / whatever.

Ako je neko voljan da analizira mehanizam sa PHP strane, koriste i .htaccess....

Mada dzaba sve kada je host supalj - uvek na istu foru ovo se rasiri po svim sajtovima :)

Ja sam provalio da sam imao trojanca koji nod nije detektovao ali kasnije jeste kaspersky. Imam tri sajta na tri razlicita servera i sva tri su napadnuta na istom fazonu, ubacuje se ta jeb*na skripta i jeb* mi sajtove samo tako. Posto imam sve sajtove sejvovane na diskovima, da li ce mi pomoci ako ceo hard formatiram, instaliram windows, sve sa servera obrisem, promenim passworde i ponovo uploadujem sve fajlove na njih?

Molimo clanove foruma da ne postavljaju kod koji pronadju na svom sajtu ovde, jer tako samo sire zarazu dalje, tj, postavljaju ovde taj isti maliciozni kod koji oni imaju.
Kao kada bi okacili virus na sajt da drugi vide pa da i oni dobiju isto to.

Kako se borite protiv ovog trojanca, posto je i mene jutros zakacio? Naime, imao sa u total commanderu snimljene ftp sifre i usere za desetak sajtova i samo mi je jedan zarazen tako da pretpostavljam da to nije put kojim mi je izmenjen kood, jer bi mi sigurno bio izmenjen i u ostalim sajtovima. Ovaj sajt koji mi je zarazen je phpBB forum i kood je ubacen najverovatnije u overall_footer, ali je problem sto ja taj kood ne vidim kada pregledam fajlove samo kada ucitam stranicu i pokrenem view source. Sta predlazete? Da li postoji mogucnost da se kood ubacuje dinamicki pri svakom requestu ka mom forumu? Nemam pojma gde jos da trazim taj kood!

Evo u prilogu kooda koji mi je ubacen u sajt. Napravio sam jpg od kooda jer mi je avast blokirao vezu ka ES pri pokusaju paste-ovanja koda.

Moze li neko da mi kaze da dekodujem ovaj dugacki string u kodu? Sta da koristim i kakav je ovo encoding? Pokusao sam unescape() u javascriptu ali unescape se odnosi na URL decoding.

A da iskljucis avasta na sekund, prebacis taj kod u .txt? Pa onda rar ili 7z sa pass da bi mogli regularno da ih skidamo.

pa ako bas mora nek iskljuci, kazem jer je poceo AV da divlja ko lud kad upalim mail jer mi stizu notifikacije sa ES-a sa tim sadrzajem.....

To nije enkriptovan kôd već "obfuscated" (ne znam prevod za ovu reč na srpsi jezik), odnosno imena funkcija i promenljivih su zamenjeni slučajno generisanim stringovima, tako da ustvari i nema šta da se dekoduje ovde.

Ok, uspeo sam konačno da pronađem gde mi je ubačen kood. Kood je ubačen u cache/index.htm i files/index.htm fajlove i nalazi se u keširanim overall_footer.htm fajlovima u okviru foldera cache. E sad, primetio sam da se u isim folderima nalaze i još po tri php fajla sa nazivima: 87573.php i slično (dakle nasumični brojevi) i po jedan .htaccess fajl koji je u sebi sadržao sledeće:



Da li se tu radi o ubačenim fajlovima?

Sada ću da pregazim ove fajlove sa bekapovanim verzijama fajlova a prethodno sam i izmenio FTP, cPanel passworde pa da vidimo šta će dalje da se desi.

A ovo je sadržaj jednog od fajlova sa imenom napravljenim od nasumičnih brojeva i ekstenzijom .php

to je to, to je virus.. i meni se dešavalo slično... uz pomoć .htaccess-a sve 404 greške usmerava na php fajl koji širi virus dalje...

obriši .htaccess, obriši te php fajlove sa random imenima i obriši cache foruma¹... trebalo bi da bude dovoljno

1 - ovo je možda bolje obrisati kroz sam forum

Da, video sam nakon što sam pregledao .htaccess fajlove i uporedio sadržaj mog foldera cache i foldera cache u novom instalacionom paketu. Obrisao sam fajlove i replace-ovao .htaccess fajlove i za sada je OK. Jedino što mi još uvek google prikazuje ispod linka koji se dobije kao rezultat pretrage da moj sajt može da naškodi posetiocima. Poslao sam zahtev za brisanjem tog upozorenja i čekam rezultat.

Nego sad gledam backup fajlove iz septembra i oktobra koje sam pravio preko cPanela i vidim da mi ti random name fajlovi stoje u folderima (još tada) a virus se aktivirao tek sada (odnosno juče ujutro)???

Definiši "aktivirao"?

Ako je poruka na google-u od juče, onda te je tek juče neko prijavio G-u

Ako ti je AV tek juče prijavio virus, onda:
1) AV tek od juče uspeva da prepozna virus (malo verovatno, ovo je mator crv)
2) tek juče je crv uspeo da upiše iframe u tvoje stranice

Biće da je ova druga opcija pod 2 :), jer sam pre nailazio na sajtove sa ovim crvom i avast mi je uredno prijavljivao i prekidao zahtev ka tom sajtu. Juče mi je stigla poruka od googla u kome me obaveštavaju da su postavili upozorenje. Kada sam pročitao mejl (koga sam za malo izbrisao jer je bio zaglavio u BULK), otišao sam na svoj forum (tog dana nisam pristupao forumu) i neprijatno se iznenadio.


Sada me interesuje koji su mogući načini da je došlo do injekcije? Ovakve su bile okolnosti:

Ti fajlovi su u tim folderima još od septembra dakle. U total commanderu sam imao snimljene sve ftp naloge za desetak sajtova i samo mi je phpbb forum dobio injekciju a ostali sajtovi nisu, tako da isključujem tu mogućnost da je injekcija došla otkrivanjem ftp naloga u total commanderu. Koji su još načini na koji je moglo ovo da mi se desi?

OFF topic: Zašto mi ne stiže e-mail notification da je bilo odgovora na temi iako sam se dvaput prijavio? Ovo je pitanje za nekoga iz administracije.

Pa moguće je da jeste preko Total Commandera ali jednostavno nije zarazio sve sajtove E da, najnoviji TotalCmd ima master password i više nema ovakvih problema (krađa šifre).

A moguće je, ako si na shared hostingu, da je prešao sa nekog drugog sajta koji je bio zaražen, jer na shared hostingu (obično) svi sajtovi trče pod istim korisnikom, tako da nije problem crvu da pređe sa jednog na drugi. Zato sam ja stavio suPHP na server

A za offtopic pitanje je najbolje da se obratiš na forum "Predlozi i pitanja"

Da na shared hostingu je. Ma taj shared hosting je jedno veliko đubre. Ok, hvala na info.

Ako sam dobro skontao sta ovaj crv radi, onda je kao okidac sluzila 404 stranica - prvi put kad je neko aktivira, pokrene se i crvic. Tako da je moguce da je on tu cucao mesecima sve dok neko nije zatrazio nesto cega nema, i evo "malise" kod tebe zivog i zdravog i budnog kako seje iframe-ove po sajtu...

Upravo tako

Ok, taman sam mislio da sam se ratosiljao ovog napasnika kad se on pojavi na jos jednom mestu. Nakon što sam google-u prijavio da mi je sajt čist i nakon što je google izbacio ono upozorenje, prilikom mog pokušaja da uđem u jedan od podforuma pojavilo mi se upozorenje da imam <iframe. Pomislio sam da je virus opet upisao iframe u index.htm fajlove foldera cache i file i da je opet izmenio .htaccess fajlove i nisam bio u pravu. Ovog puta iframe je bio u opisu jednog podforuma koji stoji ispod naziva foruma (u phpBB3), što znači da je upisan u bazu. Izbrisao sam iz baze i sada sam skroz čist. E sad me interesuje, da li je ovaj crv toliko pametan, da se nije upisao u sve ostale podforume, već samo u taj jedan kako bi stvorio privid da je sajt bezbedan ili je nešto drugo u pitanju? I još jedno, mnogo bitnije pitanje je kako je uspeo da upiše u bazu i izmeni opis foruma. To može da radi samo administrator (koji je samo jedan na mom forumu). To znači da se on logovao kao Admin? Pre ovoga sam primetio u latest visits listi da je bio veliki broj pokušaja neuspešnih registracija novog usera i logina, ali je u jednom trenutku bio i uspešan login.

Po ovom tvom opisu bih rekao da je uradjen brute-force ili dictionary napad (u prvom slucaju, vrteli su sve kombinacije slova i brojeva dok nisu uboli pravu, u drugom su isprobavali neke reci koje se cesto koriste za lozinke). Sve u svemu, izgleda da si imao suvise jednostavnu lozinku, pa su te lako sredili - da bi ubuduce to izbegao, koristi lozinke koje nisu krace od 8 znakova, imaju i mala i velika slova i brojeve i specijalne znake, i to po mogucstvu izmesane po sto slucajnijem principu. Znaci, ako zelis recimo da iskoristis Phikret u lozinci, onda je najbolje da uradis nesto poput Phikret > pHiKrEt > p0H1i2K3r4E5t6 pa ga jos malo istumbas (stavis recimo ! umesto i, izvuces poslednjih sest znakova pa ih prebacis napred i sl...)

> U tome i jeste moje najve�e �u�enje! Primetio sam da je bilo
> nekoliko poku�aja registracije novog korisnika. Bilo je dosta
> neuspe�nih i na kraju jedan uspe�an. Pratio sam kako se kretao kroz
> sajt preko IP adrese. Dakle, prvo je bilo nekoliko poku�aja
> registracije, pa se onda pozvala stranica confirm.php (�to zna�i da
> je dobio confirm link na e-mail adresu) i odmah slede�a stranica je
> bila viewforum.php pa onda posting.php. Dakle po ovome je on
> postovao neki post a prethodno se registrovao. Me�utim, ja nemam
> novog korisnika foruma i nemam novih priloga. To me zbunjuje. Da je
> bio brute force ili dictionary napad, onda bih video veliki broj
> poku�aja logovanja?

�ifra mi nije uop�te smislena tako da isklju�ujem mogu�nost da je bio
dictionary napad?

Da nemas onda neki SQL Injection propust u tvom forumu? Ako nema posta, niko drugi nema admin prava, a postoji zapis u bazi, onda mi samo to zvuci kao logicno objasnjenje.