Hacking παράξενο σε server. Τι είναι αυτό;

Τεχνικές και μόνο Συζητήσεις για WEB hosting servers, Mail servers, DNS servers. Όχι αναζήτηση υπηρεσιών εδώ!

Συντονιστές: WebDev Moderators, Super-Moderators

Απάντηση
Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από cdhyper » 02 Μαρ 2009 17:11

Έχω έναν μικρό server με κάποια sites πάνω και σε όλες τις σελίδες (τις php σελίδες, όχι τις html) μου βγάζει αυτό εδώ το κακόβουλο προφανώς javascript:

Κώδικας: Επιλογή όλων

αφαιρέθηκε
Στα αρχεία μέσα του κάθε site δεν υπάρχει τέτοιος κώδικας και έχω κοιτάξει και τις ημερομηνίες τροποποίησης των αρχείων, επομένως από κάπου έχει μπει globally στον server. Δεν ξέρω όμως πού να κοιτάξω.

Σημειωτέον ότι εμφανίζεται στην πάνω πάνω πρώτη γραμμή κάθε php σελίδας.

Καμια γνώμη;
Τελευταία επεξεργασία από το μέλος cdhyper την 02 Μαρ 2009 17:59, έχει επεξεργασθεί 1 φορά συνολικά.
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

Άβαταρ μέλους
fafos
Script Master
Δημοσιεύσεις: 6230
Εγγραφή: 30 Νοέμ 2004 03:09

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από fafos » 02 Μαρ 2009 17:57

profanos einai epitheseis me XSS h sql injections... kai na vreis ta arxeia pou exoun egkatasthsei tha prepei na vreis apo poio(a) site sou kanoun tis epitheseis... ena kalo ergaleio gia na vreis tis "trypes" einai to to acunetix: http://www.acunetix.com/

to sygkekrimeno javascript odhgei se tsontosite kai "xonei" stous xrhstes ena trojan (wigon)

kalo tha htan na to svhseis apo edo giati mporei na to dokimasei kapoios poy den exei prostasia sto pc tou kai na "faei" to trojan..

pantos an empainan ksenoi xrhstes se auta ta sites kai etrogan to trojan tha sou eixan kleisei ton server mexri na vreis to provlhma...
Οι πάνες και οι πολιτικοί πρέπει να αλλάζονται συχνά για τον ίδιο λόγο...

Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από cdhyper » 02 Μαρ 2009 18:00

Τον αφαίρεσα από εδώ αλλά δεν μου απάντησες πού μπορεί να έχει εισαχθεί globally. Το πώς έχει εισαχθεί είναι μετέπειτα κίνηση.
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

Άβαταρ μέλους
fafos
Script Master
Δημοσιεύσεις: 6230
Εγγραφή: 30 Νοέμ 2004 03:09

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από fafos » 02 Μαρ 2009 18:05

cdhyper έγραψε:Τον αφαίρεσα από εδώ αλλά δεν μου απάντησες πού μπορεί να έχει εισαχθεί globally. Το πώς έχει εισαχθεί είναι μετέπειτα κίνηση.
synhthos ston fakello tmp tou server h tou kathe website to xonoun...
Οι πάνες και οι πολιτικοί πρέπει να αλλάζονται συχνά για τον ίδιο λόγο...

Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από cdhyper » 02 Μαρ 2009 18:11

Μπα δε βρίσκω τίποτα εκεί μέσα
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

Άβαταρ μέλους
fafos
Script Master
Δημοσιεύσεις: 6230
Εγγραφή: 30 Νοέμ 2004 03:09

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από fafos » 02 Μαρ 2009 18:15

cdhyper έγραψε:Μπα δε βρίσκω τίποτα εκεί μέσα
mallon svhnetai meta thn egkatastash... mporei na einai pantou mesa ston server sou.. ta logs ta tsekares?
Οι πάνες και οι πολιτικοί πρέπει να αλλάζονται συχνά για τον ίδιο λόγο...

Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από cdhyper » 02 Μαρ 2009 18:25

Πώς να είναι παντού και να μην βρίσκω ούτε ένα δείγμα; Σου λέω δεν υπάρχει πουθενά μέσα στα php αρχεία αλλά εμφανίζεται όταν κάνεις view source σαν χρήστης...

Ποια logs να πρωτοτσεκάρω...
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

Άβαταρ μέλους
fafos
Script Master
Δημοσιεύσεις: 6230
Εγγραφή: 30 Νοέμ 2004 03:09

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από fafos » 02 Μαρ 2009 18:31

cdhyper έγραψε:Πώς να είναι παντού και να μην βρίσκω ούτε ένα δείγμα; Σου λέω δεν υπάρχει πουθενά μέσα στα php αρχεία αλλά εμφανίζεται όταν κάνεις view source σαν χρήστης...

Ποια logs να πρωτοτσεκάρω...
den einai aparaithto na exoun xothei sta websites.. mporei na einai mesa sta arxeia tou server... enas filos eixe vrei kati paromoio mesa ston fakello /var/cache tou server... exeis texnikh yposthriksh gia auton ton server?
Οι πάνες και οι πολιτικοί πρέπει να αλλάζονται συχνά για τον ίδιο λόγο...

Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από cdhyper » 02 Μαρ 2009 18:38

Για τον συγκεκριμένο server η τεχνική υποστήριξη είναι ένας άνθρωπος και είναι εκτός σήμερα. Γι αυτό ψάχνω μήπως βρω άκρη.

Αυτό λέω μπορεί να έχω χωθεί στα αρχεία του server (που σίγουρα αυτό έχει γίνει) αλλά δεν ξέρω πού να ψάξω και πώς να το βρω.
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από cdhyper » 02 Μαρ 2009 18:54

Ανεβάζω ένα νέο php αρχείο και εμφανίζεται αυτόματα αυτός ο κώδικας μέσα αν το καλέσω σαν χρήστης... έλεος... πώς γίνεται αυτό.
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

Hik
Δημοσιεύσεις: 162
Εγγραφή: 23 Σεπ 2005 10:34

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από Hik » 02 Μαρ 2009 19:53

Λογικά κάπως το κάνει include αυτόματα σε όλα τα php αρχεία.

Τσέκαρε το php.ini και συγκεκριμένα το auto_prepend_file ή auto_append_file

Επίσης τσέκαρε για τυχόν αρχεία .htaccess που μπορεί να περιέχουν το auto_prepend_file
Π.χ. php_value auto_prepend_file "/path/to/evil.js"

Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από cdhyper » 02 Μαρ 2009 20:02

Αυτό ήτανε. Thanks φίλε, τώρα θα πάρει κάποια ώρα για να ψάξουμε πώς μπήκε αυτό εκεί. Ήταν auto_prepend ένα file μέσα στο php.ini.

Όσο ζεις μαθαίνεις...
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

sibas
Honorary Member
Δημοσιεύσεις: 1852
Εγγραφή: 21 Φεβ 2003 01:21
Τοποθεσία: Μια εδώ.. Μια εκεί.. Σήμερα είμαι εδώ!!!
Επικοινωνία:

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από sibas » 02 Μαρ 2009 20:03

Εμ μια ερώτηση,
τι firewall έχεις στο pc όπου βλέπεις τα αρχεία;

Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από cdhyper » 02 Μαρ 2009 20:06

Λες να κόλλησα; Να κάνω κανένα scan;
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

sibas
Honorary Member
Δημοσιεύσεις: 1852
Εγγραφή: 21 Φεβ 2003 01:21
Τοποθεσία: Μια εδώ.. Μια εκεί.. Σήμερα είμαι εδώ!!!
Επικοινωνία:

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από sibas » 02 Μαρ 2009 20:07

οχι κοίτα είχα ενα παρόμοιο πρόβλημα
http://www.freestuff.gr/forums/viewtopic.php?t=34842

και λέω μήπως έχεις και εσύ το ίδιο πρόβλημα

Απάντηση

Επιστροφή στο “Apache, IIS, DNS Servers”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες