ugrás a tartalomhoz

Meg lettem támadva?

BigBrother · 2009. Okt. 13. (K), 17.44
Üdv!

Igazság szerint nem is tudom,hogy jó helyre írok-e, de megpróbálom...
Van egy web oldal, amit én követtem el, és a Google(aki nem a barátom... :( ) az elmúlt fél év alatt többször támadó webhelynek minősített...
Többek között ez is hozzájárult ahhoz, hogy teljesen új weboldalt készítettem(HTML-ben-ehhez értek), felpakoltam mindent az Invitel-es szerverre, és kb. két nap múlva a web-oldal újra trójaival lett fertőződve az Avast! szerint(hozzáteszem, a NOD32 meg sem nyikkant...) egy HTML:Illiframe-C[Trj] trójait jelzett.

Kicsit utánanéztem, és leteszteltem a régi verziót is, és kiderült, valszeg emiatt a trójai lett "támadó" webhely anno is a web-oldal...

Az a gáz,hogy kétóránként kell cserélnem az index.htm állományt, mert ennyi időnként már ha megtekintem az oldalt, az Avast! már vinnyog, és mindig ezt a trójait jelzi(amiért egy másik Internetes forum hozzáértői szerint ugyancsak "Támadó webhely" leszek...)

Ahogyan olvastam az Interneten a HTML oldalak csak úgy pikk-pakk nem tudnak "megfertőződni" trójaiakkal(a tévedés jogát fenntartom), azt egy külső script-el kell (lehet) piszkutálni valahol találtam is egy ilyen bemutató kódsort...

Kérdéseim:
- mit tudok(kell) tennem?
- akkor most betámadták(támadják) a weblapot?
- ha igen,ki tudnám-e és hogyan deríteni ki a jóakaróm?
- hogyan tudok hatékonyan és olcsón védekezni a támadás ellen?
- tudnak-e valamilyen scriptet,kódot,akármit amivel ki tudom küszöbölni a további fertőződéseket?

Segítségüket előre is köszönöm,

BB.
 
1

szerintem

a.d.a.m · 2009. Okt. 13. (K), 18.10
az első és legfontosabb az FTP jelszó megváltoztatása és utána a sérült oldal(ak) javítása. Fontos, hogy ne tárold a jelszavaidat az FTP-kliensben (Total Commander, FileZilla), inkább jegyezd meg.

A gondot, legjobb tudomásom szerint egy trójai okozza, ami elsőként a te gépedet fertőzte meg (egy másik weboldalról benyalt vírussal) és az FTP jelszavaidat kiolvasva módosítgatja az elérhető html, php és js fájlokat.Nem személy szerint téged, vagy az oldaladat támadják tehát, valószínűleg még csak azt sem tudják ki vagy.

Megoldás lehet, az index nevű állomány átnevezése (sajnos csak akkor a engedélyezett a tárhelyen a .htaccess állomány elhelyezés, mert ebben be tudod állítani, hogy a honlapod ne az (index.html/index.php/default.html/default.php) oldallal induljon, hanem egy neked szimpatikussal). Ez valamilyen szintű védelmet adhat, de nem a legtökéletesebb.
2

Vírus

janoszen · 2009. Okt. 15. (Cs), 08.37
Napi szinten találkozom ezzel és az esetek 95%-ában vírusos az a gép, amiről a feltöltés megy. Ergó takarítsd le a géped majd változtass jelszót, aztán takaríts tárhelyet.

A maradék 5% pedig az, amikor a szolgáltató szervere van szarul fölkonfigurálva. Ezt viszont csak akkor feltételezd, ha 1-2 gépes hostingcégnél vagy és a gépeden nincs warez szoftver.
3

Támadó weboldal

Kretschmer · 2010. Júl. 9. (P), 20.43
Sziasztok.

Atw-s oldalon kezdtem csinálni egy oldalt a PHP-Fusion CMS-el. Minden szép és jó ám a kolllégám kitett az sg.hu-ra és az iwiw -re látogatókat invitáló linkeket.

Ilyent pölö VirtualNavyBase Nos ha ezen linkekre kattint a látogató van, hogy simán ráugrik az oldalra s no problémo. De sokszor van, hogy figyelmeztető üzenet jön fel, hogy a weboldal támadónak van nyilvánítva. Ha azonban kézzel beírom az oldal címét akkor nem jön fel ez a figyelmeztetés csak ha a linkre kattint s akkor sem mindig.

Nem tudok mire gondolni evvel kapcsolatban. Lehet ez böngésző beállítási hiba, vagy az atw a ludas ebben a dologban? Vagy az sg vagy az iwiw oldalába van beépítve valamilyen kód ami támadónak nyílvánítja az oldalt? Csak mert gyanús ha kézzel írom be a weboldal elérhetőségét akkor mindig beenged. Legalábbis 4 különböző ip-ről megnéztem s egyik sem tiltakozott.

Tippje valakinek? Szívesen venném, már a megőrülés határán vagyok. Előre is köszi.
4

Kerülendő

janoszen · 2010. Júl. 9. (P), 20.59
Az első tippem a megtámadásra az, hogy takarítsd le a gépedről a vírust és szedd le az esetleges warezolt szoftvereket mert ezek melegágyai az ilyen fertőzéseknek. Következőnek változtass FTP jelszót majd nézd meg a weboldaladat hogy nincs-e valahova beszurkálva valami érthetetlen JavaScript kód.

A második tippem hogy vegyél egy domaint. Az aldomaines hostoló társaságok áldozatul eshetnek annak, hogy a Google a *.szolgaltato.hu rekord esetén hibásan az egész domaint hajlamos bizonyos címekre fekete listára tenni.

Az utolsó tippem hogy az e107, PHPFusion és esetleg PHPNuke nevű szuper rendszereket kerüld mint tüzet mert gyakrabban van súlyos biztonsági hiba bennük mint az összes többi mainstream open source CMS-ben együtt véve. (Ha megnézed a forráskódot akkor rá is jösz hogy miért.) Ez utóbbi persze csak a szigorú magánvéleményem.
5

Köszönöm a választ, azt

Kretschmer · 2010. Júl. 9. (P), 21.30
Köszönöm a választ, azt hiszem a saját domain lesz a megoldás végül. Vírusirtást csináltam de az nem talált semmit.

Gyanítom, hogy valamelyik Fusion kegészítő a ludas, az atw-s aldomain átírányítások mellett.

Köszi még egyszer is, minden jót.