הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   תחזוק שרתים ושירותי רשת נוספים (https://hosts.co.il/forums/forumdisplay.php?f=29)
-   -   למישהו יש פיתרון למכה הזו (https://hosts.co.il/forums/showthread.php?t=83300)

lib24 22-06-10 10:04
למישהו יש פיתרון למכה הזו
 
לפי מה שהבנתי המון שרתים בתקופה האחרונה נידבקו בזה

הסקריפט שמתווסף לאתרים הוא שותל את עצמו בכל מקום החרא הקטן הואמגיע אפילו לדפי שגיאה כמו ה 501 סתם לדוגמא הוא מגיע לתקייה private_html שבכלל לא קשורה הוא שותל את עצמו בכל חור...

מה יכל להיות הבעיה ויש פיתרון איך להסיר את זה גוגל חסם לי את כל האתרים ...

אני לא רוצה לפרמט יש פיתרון אחר לעניין?

Dvirs.Net 22-06-10 10:28
לי אישית זה קרה דרך FLASHFXP.

ברגע שעברתי ל-FileZilla הכל נפתר (אחרי שמתקנים את הקבצים שנפגמו בשרת כמובן).

elialum 22-06-10 11:39
זה לא קשור לשרת.

במחשב לקוח יש וירוס ששולף ססמאות FTP של חשבונות שמוגדרים במחשב (תוכנות FTP למניהם).
באמצעות הפרטים האלו הם מריצים סקריפט שנכנס באופן אוטומטי ומוסיף לכל סוף קובץ את הקוד הזדוני.

פעולת מנע ראשונה היא להחליף ססמאות FTP ולבדוק *טוב* את המחשב שלך מוירוסים.

לגבי אתרים שנפגעו, צריך פשוט לעבור על החשבונות ולהתחיל לנקות. אני מאמין שאפשר לעשות משהו אוטומטי עם PREG, אבל לא ניסיתי.

הנה נסיון כזה לפרוץ לאחד החשבונות אצלנו מהיום -

קוד:

Time:    Tue Jun 22 06:35:41 2010 +0300
IP:      distributed ftpd attack on account [xxxxxx]
Failures: 10
Interval: 300 seconds
Blocked:  Yes

Log entries:

Jun 22 06:35:22 israel01 pure-ftpd: (?@174.36.217.226) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:35:35 israel01 pure-ftpd: (?@94.73.131.138) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:34:49 israel01 pure-ftpd: (?@74.55.142.202) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:34:22 israel01 pure-ftpd: (?@70.32.46.180) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:35:15 israel01 pure-ftpd: (?@68.168.212.6) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:35:09 israel01 pure-ftpd: (?@88.208.238.100) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:34:56 israel01 pure-ftpd: (?@74.208.43.175) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:35:00 israel01 pure-ftpd: (?@68.233.4.27) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:34:34 israel01 pure-ftpd: (?@87.106.14.44) [WARNING] Authentication failed for user [xxxxxx]
Jun 22 06:34:28 israel01 pure-ftpd: (?@68.168.212.6) [WARNING] Authentication failed for user [xxxxxx]

IP Addresses Blocked:

174.36.217.226 (US/United States/174.36.217.226-static.reverse.softlayer.com)
94.73.131.138 (TR/Turkey/94-73-131-138.cizgi.net.tr)
74.55.142.202 (US/United States/progrese.net) 70.32.46.180 (US/United States/70.32.46.180.rdns.ubiquityservers.com)
68.168.212.6 (US/United States/68-168-212-6.ip.static.interserver.net)
88.208.238.100 (GB/United Kingdom/server88-208-238-100.live-servers.net)
74.208.43.175 (US/United States/s15374238.onlinehome-server.com)
68.233.4.27 (US/United States/bladensburg.networkredux.net)
87.106.14.44 (DE/Germany/s15222115.onlinehome-server.info)

lib24 23-06-10 08:31
יש איזה דרך מהירה לחפש את הסקריפט דרך ROOT למשל
נניח שזה מתחיל במילה script וכו וכו אי אפשר להריץ לרוט קוד ולהגיד לו חפש את הקוד הזה?

InterServ 24-06-10 00:45
אם הבנתי אותך נכון זה קרה לי גם התווסף לי סקריפט לדף שפותחים לחשבון חדש בשרת,
פשוט נכנסתי דרך ה FTP וערכתי את הדף שמקבלים עם פתיחת אחסון וזה לא הופיע יותר...


בברכה,
ירדן בן לולו
אינטרסרב - פתרונות אינטרנט ותקשורת

lib24 27-06-10 17:02
אכן מדובר בוירוס שנכנס דרך המחשב העניין הוא אם יש אפשרות לחפש את קוד בתוך כל הקבצים בשרת דרך SSH שיהיה פשוט יותר מהר לערוך ולדעת איפה זה נמצא

למרות שכבר הסרתי הכל ובנתיים זה נראה טוב זה לא חוזר אבל שוב האם ישנה דרך טובה לחפש את זה דרך SSH זה פשוט חוסך בזמן


כל הזמנים הם GMT +2. הזמן כעת הוא 01:15.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ