<span style="font-family: Arial;">Zkuste si poznamenat verze webových aplikací a jejich komponent a prohledat zranitelnosti na googlu<br>Site:securityfocus.com inurl:bid jmenoaplikace<br><br>Pokud se na serveru objevily nové skripty, tak jde o zranitelnost v uploadu dat na nějaké stránce nebo o zranitelnost, která umožňuje vkládat svůj kod (os cmd nebo přes funkci jazyka php nebo co to pouzivate).<br><br>Zkuste porovnat soubory s poslednim backupem. Prostudujte i modifikace v databázi. Obecně se už nedá věřit ničemu, když k útoku došlo. Je také možné že jednoduše zlomili vaše heslo do aplikace, ssh nebo ftp<br><br>S pozdravem<br>Petr Juhaňák<br><br><br><br>----- Reply message -----<br>Od: mrkva@mrkva.eu<br>Komu: <community-list@lists.vpsfree.cz><br>Předmět: [vpsFree.cz: community-list] Utoky behem posledniho tydne<br>Datum: ne, 5. 26, 2013 15:38<br><br></span><br>Ahoj,<br><br>Samotný JS ti skripty na serveru nezmění. Co tam je za weby? Něco<br>opensource, komerčního, nebo vlasntího?<br><br>Každopádně, hledej spíš něco jako remote file inclusion, nebo SQL injection.<br><br><br>On 26.5.2013 14:45, Nikos Timiopulos wrote:<br>> Ahoj lidi,<br>> <br>> obracím se na vás s prosbou o pomoc či radu. V posledních dnech<br>> zaznamenávám celou řadu útoků na mojí VPS a hostované weby. Ve dvou<br>> případech mi někdo nebo něco nakladlo několik php souborů odesílající<br>> zprávy přes sendmail, na které se rázem začalo ve velkém dotazovat.<br>> Rychle jsem změnil hesla, updatoval co se dalo, nasadil jail2ban pro ssh<br>> a ftp a updatoval postižené weby.<br>> <br>> Nyní se zabývám příčinou a jako stopy se zatím držím zřejmě nějaké<br>> obdoby JS injection. Pro představu přikládám menší část logu z obou<br>> postižených webů, kde v případě blanketu je JS na řádku 23 a ve druhém<br>> případě na řádku 21. Pro představu jeden z řádků těm co to nechtějí<br>> otvírat:<br>> <br>> 86.89.232.254 - - [26/May/2013:00:44:16 +0200] "GET<br>> /scripts/,data:b,complete:function(a,b,e){e=a.responseText,a.isResolved()&&(a.done(function(a){e=a}),h.html(f?d(<br>> HTTP/1.1" 404 634 "-" "Java/1.6.0_04"<br>> <br>> Nevím však, jak se proti tomu bránit. Oba weby nějakým způsobem<br>> používali zastaralé jQuery knihovny a zatím se jen domnívám, že to má<br>> souvislost, protože ten skript byl vždy odpálený ve složce se skripty na<br>> serveru. Prosím tedy vás, co s tím mají zkušenost, či jsou věci<br>> znalejší, či mají dobrý tip, jak to dále analyzovat a řešit?<br>> <br>> Díky za pomoc, zdraví<br>> <br>> Nikos Timiopulos<br>> _______________________________________________<br>> Community-list mailing list<br>> Community-list@lists.vpsfree.cz<br>> http://lists.vpsfree.cz/listinfo/community-list<br><br>