20 odpovědí na toto téma

[Pe_Bo]

Chci se zeptat, zda to je normální, že za tagem </html>
se na stránkách příspěvků vyskytuje něco takového:

<!-- Dotaz–: 33 --><div style="display:none">
<a href="http://www.nufc.dk/forum/attachments/accutane/index.php">20 mg accutane</a>
<a href="http://www.nufc.dk/forum/attachments/accutane/?charka=1">40 mg accutane</a>
<a href="http://www.nufc.dk/forum/attachments/accutane/?charka=2">about accutane</a>
<a href="http://www.nufc.dk/forum/attachments/accutane/?charka=3">accutane 40 mg</a>
<a href="http://www.nufc.dk/forum/attachments/accutane/?charka=4">accutane 40mg online</a>
<a href="http://www.nufc.dk/forum/attachments/accutane/?charka=5">accutane 40mg</a>
<a href="http://www.nufc.dk/forum/attachments/accutane/?charka=6">accutane and weight loss</a>
<a href="http://www.nufc.dk/forum/attachments/accutane/?charka=7">accutane buy it witgout prescription</a>
<a href="http://www.nufc.dk/forum/attachments/accutane/?charka=8">accutane buy online</a>
<a href="http://www.nufc.dk/forum/attachments/accutane/?charka=9">accutane buy</a>
...

Zajímavé taky je, že to zabírá cca 200KB (oproti cca 60KB chtěného obsahu).

[Zoidie]

Geocaching.cz byl hacknut, naštěstí tu nepřibyla distribuce viru to by mělo horší následky. tohohle si málokdo všimne. Jak na to tak koukám tak hlavní cíl je asi pomoct si s počtem odkazů pro vyhledávače, zajímavý nápad.

[Aviatik]

Teď mi Avast signalizuje že bylo zablokováno spojení na nebezpečnou adresu naemnitibo.in

[marekd]

Aviatik napsal/a:
Teď mi Avast signalizuje že bylo zablokováno spojení na nebezpečnou adresu naemnitibo.in

Mě dnes už třikrát během listování na geocaching.cz vyhodilo AVG, že soubor naemnitibo.in/.... obsahuje vir a zablokuje jeho spuštění. Takže úplně neškdodný odkaz do asi nebude.

[Dpman]

A proč s tím nikdo s těch co to mají na starosti nic nedělá ?

[mirotiro]

NAV taky hlásí nebezpečí...

[pepa.z.pocernic]

mělo by to být odstraněno. bohužel v existujícím systému nejsem schopen zjistit, kde je jaká díra a vzhledem ke špatným zkušenostem při potřebě uptavovat/udržovat cizí kód, jsem se pustil do vytváření nové verze stránek. Ale jsem teprve na začátku, takže to nějakou dobu potrvá.

[swenney]

No nevim....dneska mi to zacalo kdyz se podivam na gc.cz samo stahovat prazdny pdfka z adresy "http://naemnitibo.in...KKKKKKKKKKKWWS"

[pepa.z.pocernic]

pořád stahuje?

[czcharlie]

pepa.z.pocernic napsal/a:
mělo by to být odstraněno.
bohužel v existujícím systému nejsem schopen zjistit, kde je jaká díra a vzhledem ke špatným zkušenostem při potřebě uptavovat/udržovat cizí kód, jsem se pustil do vytváření nové verze stránek. Ale jsem teprve na začátku, takže to nějakou dobu potrvá.

Dira je nejspis v ukladani hesel pro pristup na ftp. Nekdo z adminu, kdo ma pristup k ftp pouziva TotalCommander a ma v nem ulozeno heslo pro pristup na ftp. Reseni je okamzite zmenit pristupove heslo k ftp serveru a neukladat (pro jistotu v zadnem ftp klientu). Netvrdim, ze toto musi byt ta prava a jedina pricina, ale v posledni dobe je to pricina s prehledem nejcastejsi.

[pepa.z.pocernic]

heslo už jsem změnil. ale útoky byly ještě když jsme byli na hostingu, kam se lezlo jen přes ssh.

[XiXi_team]

Pokud tedy chodíte na ftp přes TC, tak zkuste 7.5 beta 4. Tam už jsou ftp hesla šifrovaná!

[czcharlie]

pepa.z.pocernic napsal/a:
heslo už jsem změnil. ale útoky byly ještě když jsme byli na hostingu, kam se lezlo jen přes ssh.

OK, slabych mist asi zrejme bude vic. Infiltrace typu odkazu na stranku, z niz se nasledne stahuje upraveny soubor pdf (ktery vyuziva bezpecnostni diru v Adobe Readeru) je typicka pro heslo vykradene z TC (prip. jinych ftp klientu). U tech ostatnich tezko rict. Pokud se jedna o vlozeny tag iframe s velikosti 1 x 1 px nebo s atributem hidden vzdy v souboru index (at uz s priponou html nebo php), pak si dovolim tvrdit, ze jde prave o vykradene heslo. Jestlize infiltrace vypada jinak (postizenou stranku jsem nezachytil a ted je problem odstranen) bude zrejme potreba hledat chybu v zabezpeceni vlastniho red. systemu, ale to si moc neumim predstavit a asi bych taky radsi zacal od nuly pouzil neco jineho - ovsem zase resit prevod dat...

[pepa.z.pocernic]

většinou se útočilo na konkrétní části php-fusion, buď na tabulky s postraními panely, nebo na specifické skripty (ne index) php i javascript. btw wiki, která je na stejném serveru se útoky netýkají. A bohužel jsem teď zjistil, že se asi skripty spouští pod stejným uživatelem, pod kterým kterým máme na ftp přístup, takže je problém si něco ošetřit aspoň právama.

[swenney]

pepa.z.pocernic napsal/a:
pořád stahuje?

jo

[bodlak]

Nemáš stránky v keši (teď nemyslím geokeši)

[swenney]

jo bylo to tim...uz je to vpohode

[sobikovi]

Tak se zdá, že je server napaden znovu... pořád se chce FF připojit na tirosanare.in :@

[zlicinaci]

sobikovi napsal/a:
Tak se zdá, že je server napaden znovu... pořád se chce FF připojit na tirosanare.in :@

Jo, taky na to hledím.

[pepa.z.pocernic]

odstraněno. Aspoň je jasný, že útok není skrz díru TC a FTP protože heslo jsem změnil a nikde neukládám.