Zkuste si poznamenat verze webových aplikací a jejich komponent a prohledat zranitelnosti na googlu
Site:securityfocus.com inurl:bid jmenoaplikace

Pokud se na serveru objevily nové skripty, tak jde o zranitelnost v uploadu dat na nějaké stránce nebo o zranitelnost, která umožňuje vkládat svůj kod (os cmd nebo přes funkci jazyka php nebo co to pouzivate).

Zkuste porovnat soubory s poslednim backupem. Prostudujte i modifikace v databázi. Obecně se už nedá věřit ničemu, když k útoku došlo. Je také možné že jednoduše zlomili vaše heslo do aplikace, ssh nebo ftp

S pozdravem
Petr Juhaňák



----- Reply message -----
Od: mrkva@mrkva.eu
Komu: <community-list@lists.vpsfree.cz>
Předmět: [vpsFree.cz: community-list] Utoky behem posledniho tydne
Datum: ne, 5. 26, 2013 15:38


Ahoj,

Samotný JS ti skripty na serveru nezmění. Co tam je za weby? Něco
opensource, komerčního, nebo vlasntího?

Každopádně, hledej spíš něco jako remote file inclusion, nebo SQL injection.


On 26.5.2013 14:45, Nikos Timiopulos wrote:
> Ahoj lidi,
>
> obracím se na vás s prosbou o pomoc či radu. V posledních dnech
> zaznamenávám celou řadu útoků na mojí VPS a hostované weby. Ve dvou
> případech mi někdo nebo něco nakladlo několik php souborů odesílající
> zprávy přes sendmail, na které se rázem začalo ve velkém dotazovat.
> Rychle jsem změnil hesla, updatoval co se dalo, nasadil jail2ban pro ssh
> a ftp a updatoval postižené weby.
>
> Nyní se zabývám příčinou a jako stopy se zatím držím zřejmě nějaké
> obdoby JS injection. Pro představu přikládám menší část logu z obou
> postižených webů, kde v případě blanketu je JS na řádku 23 a ve druhém
> případě na řádku 21. Pro představu jeden z řádků těm co to nechtějí
> otvírat:
>
> 86.89.232.254 - - [26/May/2013:00:44:16 +0200] "GET
> /scripts/,data:b,complete:function(a,b,e){e=a.responseText,a.isResolved()&&(a.done(function(a){e=a}),h.html(f?d(
> HTTP/1.1" 404 634 "-" "Java/1.6.0_04"
>
> Nevím však, jak se proti tomu bránit. Oba weby nějakým způsobem
> používali zastaralé jQuery knihovny a zatím se jen domnívám, že to má
> souvislost, protože ten skript byl vždy odpálený ve složce se skripty na
> serveru. Prosím tedy vás, co s tím mají zkušenost, či jsou věci
> znalejší, či mají dobrý tip, jak to dále analyzovat a řešit?
>
> Díky za pomoc, zdraví
>
> Nikos Timiopulos
> _______________________________________________
> Community-list mailing list
> Community-list@lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list