Gupi
Furnizor servicii
Hostmaster
Karma: +28/-4
Mesaje: 2565
Hangar Hosting, SRL
|
 |
« Răspunde #15 : August 14, 2009, 06:09:22 » |
|
Quick and dirty
faceţi o primă căutare după iframe numai în fişierele index.*, acestea fiind cele mai ţintite de către babuini.
|
|
|
|
|
Memorat
|
Stefaniu -gupi- Criste
|
|
|
petrescs
Membru
Karma: +4/-0
Mesaje: 147
|
|
« Răspunde #16 : August 14, 2009, 06:16:32 » |
|
@Gupi: scriptul propus trimite un singur email (la intervalul stabilit in cron), cu toate numele de fisiere care contin iframe, cate unul pe linie, sau nici un email daca grep nu gaseste match.
Evident e doar un proof of concept, poate fi imbunatatit cu niste exclude samd. Daca stau sa ma gandesc, de fapt grep s-ar putea sa fie destul de lent cand gaseste subdirectoare stufoase, cred ca mai eficient e un script bazat pe find si xargs.
|
|
|
|
|
Memorat
|
|
|
|
Gupi
Furnizor servicii
Hostmaster
Karma: +28/-4
Mesaje: 2565
Hangar Hosting, SRL
|
|
« Răspunde #17 : August 14, 2009, 06:18:49 » |
|
Bonus
dupa ce terminati cu fisierele, treceti la bazele de date.
E posibil să găsiţi cod similar inserat prin exploit-uri de site si stocat in baza de date ca si continut valid.
|
|
|
|
|
Memorat
|
|
|
|
|
Tomoiaga
|
|
« Răspunde #18 : August 14, 2009, 06:55:44 » |
|
Deci, problema e veche, sunt zeci de telefoane si tikete pe tema aceasta de 2-3 luni deja. oricum e bine ca s-a deschis totusi topic.
Clientul sau cine are userul sau parola de FTP (o firma de programare cu zeci de site-uri de exemplu, s-a tot intamplat), are calculatorul infectat. Mai departe e simplu.
Nu are legatura cu bruteforce sau ce client de FTP exista pe acel calculator, la fel e si cu TotalCommander. La fel nu exista nici o legatura intre ce se intampla si serverul de FTP. Clientul e infectat, tineti minte mass-urile de yahoo, e exact la fel.
Sa nu aud ca Windows e de cacao pentru ca ne suparam...
Nu se leaga nimeni la baza de date automat, decat daca cineva vrea sa faca ceva manual si nu se prea intampla, e automat totul. (asta legat de FTP).
Daca un client nu intelege sau nu vrea sa inteleaga faptul ca problema e la el atunci e out, fara lacrimi.
O sa vedeti ce se intampla cand se face altceva in afara de iframe, asta e doar la inceput...
|
|
|
|
|
Memorat
|
TC
|
|
|
paull
Oaspete
Karma: +0/-1
Mesaje: 59
|
|
« Răspunde #19 : August 14, 2009, 08:04:49 » |
|
O solutie rapida ar fi permisia 444 pe fisierele respective.
|
|
|
|
|
Memorat
|
|
|
|
Gupi
Furnizor servicii
Hostmaster
Karma: +28/-4
Mesaje: 2565
Hangar Hosting, SRL
|
|
« Răspunde #20 : August 14, 2009, 08:15:41 » |
|
@paull, pe care fisiere ?
Nu ai de unde sti ce fisiere vor fi compromise in cazul unui client infectat si nici nu poti pune toate fisierele cu chmod 0444
|
|
|
|
|
Memorat
|
|
|
|
paull
Oaspete
Karma: +0/-1
Mesaje: 59
|
|
« Răspunde #21 : August 14, 2009, 08:33:28 » |
|
verifica toate fisierele .php dintr-un folder (ex: /home si le face o copie fisier. a.php.bak
Solutia se poate extinde sa stearga codul.
#!/bin/bash
find /home-path -type f -name "*.php" | while read path
do
sed -i.bak 's/<iframe.*frameborder=0.*border=0.*//g' "$path"
done
Se poate face un iframe removal atunci cand un fisier este uploadat.
Ma gandesc la un procedeu si poate impreuna putem dezvolta un astfel de removal.
|
|
|
|
|
Memorat
|
|
|
|
paull
Oaspete
Karma: +0/-1
Mesaje: 59
|
|
« Răspunde #22 : August 14, 2009, 08:38:04 » |
|
O solutie.
1. se face un dictionar "iframe.rem"
unde se defineste un array de genu
arr [<iframe (.*)blalabla] , etc,etc]
2. Se face un script bash care face legatura cu ftp-ul si scaneaza fiecare fisier uploadat.
Un pattern matching pe acel fisier daca se gaseste se sterge iar codul se pune intr-un folder de backup de genu.
hosting-account-fisier.removed unde este codul sters.
|
|
|
|
|
Memorat
|
|
|
|
Gupi
Furnizor servicii
Hostmaster
Karma: +28/-4
Mesaje: 2565
Hangar Hosting, SRL
|
|
« Răspunde #23 : August 14, 2009, 08:43:43 » |
|
Nu as recomanda sub nicio forma un script care sa intervina in fisierele clientilor.
Cea mai buna solutie de compromis mi se pare -in cazul cPanel- extinderea script-ului [newmailcgi]
(am deschis un tichet la cPanel in privinta asta)
|
|
|
|
|
Memorat
|
|
|
|
paull
Oaspete
Karma: +0/-1
Mesaje: 59
|
|
« Răspunde #24 : August 14, 2009, 08:45:29 » |
|
ok.
|
|
|
|
|
Memorat
|
|
|
|
|
Mihai RADULESCU
|
|
« Răspunde #25 : August 15, 2009, 09:02:50 » |
|
Sunt infectate in principiu fisierele care contin cuvantul "index" (newindex.* *index.* etc).
Partea nasola este ca in momentul in care se downloadeaza fisierul si i se injecteaza Iframe-ul, se sterge si din codul BUN al fisierului.
De aceea, doar stergerea codului Iframe nu rezolva situatia. Trebuie refacut fisierul sau fisierele neaparat dintr-un backup sau dintr-o copie curata daca o aveti salvata pe undeva.
|
|
|
|
|
Memorat
|
Mihai RADULESCU
http://www.tlh.ro - Gazduire web si Inregistrare domenii
|
|
|
|
WBF
|
|
« Răspunde #26 : August 15, 2009, 11:12:38 » |
|
Nu o sa gasiti decat o singura solutie.
Backup recursiv.
Plus un articol in KB explicativ( noi asta am facut)si explicat la clientipe langa "de ce" si ce sa faca( in general permisii aiurea la directoare, joomla buna, instalari de wp ratate sau cms/blog/forum neactualizat)
Clientul sa aiba posibilitata sa-si dea restore singur la fisiere( altfel va transformati in roboti de restore).
Clientii vor naviga in continuare fara prezervativ pe net, drept care vor lua cate o gonoree de tipul asta.
Va asigur ca, in loc de povesti interminabile pe tickete/mail/telefon despre de ce si cum s-au trezit cu mizerii pe pagina, un articol scris frumos este mai lamuritor si mai expeditiv.
Nu stiu cu ce va ajuta sa dati cate un grep masiv si sa faceti mama lui load sau sa rulati scripturi.
Sau sa modificati permisiunile unor fisiere/directoare fara acordul clientului.
IMHO, noi suntem in imobiliarele internetului.
Aka inchiriem proprietati.
Daca cineva este suficient de dibaci sa-si lase usa larg deschisa la apartament, nu vad motivul pentru care ar face scandal la proprietarul cladirii.
Proprietarul poate cel mult sa puna un anunt la intrare cu ( "nu lasati apa, gazul si lumina pornite aiurea, si usa e bine sa fie incuiata").
|
|
|
|
|
Memorat
|
Horia Vasiliu
Webfactor
|
|
|
|
Adrian Andreias
|
|
« Răspunde #27 : August 15, 2009, 11:20:00 » |
|
hello???
Problema asta nu are nici o legatura cu drepturile pe fisiere sau directoare. A nu se confunda gogosarii cu castravetii.
Pe mine unul ma amuzam maxim cum e plin de sfaturi si conditii in care are loc problema, fara ca problema sa fie inteleasa de fapt.
|
|
|
|
« Ultima modificare: August 15, 2009, 11:23:19 de către Adi Andreias »
|
Memorat
|
|
|
|
paull
Oaspete
Karma: +0/-1
Mesaje: 59
|
|
« Răspunde #28 : August 15, 2009, 11:36:05 » |
|
Prietene, am spus ca setarea permisiei 444 e o rezolvare temporara, nu am spus ca e o solutie permanenta. Si nu erau sfaturi pur si simplu purtam o conversatie. Ce vrei sa fac pe acest forum ? Sa ma plang de serviciile Simpliq ? hello???
Problema asta nu are nici o legatura cu drepturile pe fisiere sau directoare. A nu se confunda gogosarii cu castravetii.
Pe mine unul ma amuzam maxim cum e plin de sfaturi si conditii in care are loc problema, fara ca problema sa fie inteleasa de fapt.
|
|
|
|
|
Memorat
|
|
|
|
|
Tomoiaga
|
|
« Răspunde #29 : August 15, 2009, 11:43:22 » |
|
paull , poate sa fie ok 444 insa pe un shared cu sute de site-uri nu merge, apar tot felul de probleme. La inceput puteai sa cauti dupa index acum intra in mult mai multe fisiere, indiferent de nume. In plus, cautarea dupa iframe pe un server nu ajuta foarte mult, sunt multe fisiere/site-uri ce au iframe-uri ok si ajungi sa cauti manual cine e ok si cine nu. Oricum mai nou, daca are acces FTP isi planteaza pur si simplu un installer de bnc sau de orice altceva, doar are acces FTP, dupa care incepe sa lucreze.
Backup recursiv putea sa fie ok cat timp se faceau doar inserturi in fisiere. Cand incepe un nene sa faca figuri (exploit de kernel sau altceva) nu-ti mai arde de backup recursiv sau normal la fisierele clientului sau alte solutii ce defapt nu te ajuta in cazul de fata.
|
|
|
|
|
Memorat
|
|
|
|
|
Forum Tehnic
