Zdravim odbornikov.
Prosim o pomoc ak niekto moze a je ochotny pomoct...
Nemam ziadne skusenosti s nastavovanim linuxovych serverov - v tomto som totalny zelenac, som obycajny web dizajner, trochu programator. Ale vela veci sa viem naucit sam, vela veci som zvladol rozchodit za pomoci tutorialov, ale chybaju mi skusenosti.
Mam zriadene VPS kde som nainstaloval Ubuntu 14.04, zvladol som rozchodit apache2, mysql, php, ftp, rozne php nastavenia (cache, memory_limit, mod_rewrite atd...) Bezi na tom obycajny komunitny web postaveny na Wordprese, cca 400 uzivatelov. Vsetko drzim aktualne, wordpress, jeho pluginy, apache, mysql atd...
V poslednych dnoch mi hlasili DVAJA uzivatelia, ze maju problem s webom a to taky, ze po zadani adresy assettocorsa.eu sa im nezobrazi moj web, ale nejaky cinsky alebo japonsky bordel... Ale nikto iny to nehlasi, iba dvaja ludia zo 400.
Do prilohy prikladam screen co sa im zobrazi a aj zazipovany zdrojak toho cinskeho bordelu. Najskor som myslel ze maju zavirovane svoje lokalne PC, ale jeden z nich je udajne ITckar a ze to skusal na viacerych PC a na viacerych miestach a stale to same...
Potom ma napadlo, ci neni hacknuty nejaky lokalny DNS server jeho lokalneho poskytovatela internetu, ale ked pingne somenu assettocorsa.eu smeruje ho to na spravnu IP adresu. PC uzivatelov su udajne ciste bez virusov.
Ja som svoj web preskenoval vsetkymi moznymi online skenermi - vsetko ciste. Stiahol som cely web na lokal, preskenoval aj tam vsetkym moznym - vsetko ciste...
Z tejto strany to vyzera byt OK, otazka je ako je na tom server, ale tam som totalny amater, viem ze je tam vsetko aktualne, ale neviem kde sahnut a co skontrolovat ze kde by mohla byt chyba.
Nestretol sa niekto s niecim podobnym, alebo nehodite mi nejake voditko co a kde mam skontrolovat? Hladal som po forach ale tento problem som nikde inde nenasiel...
Vopred moc velky dik za akukolvek pomoc.
A nemají ti dva hacknute DNS nebo nějaký problem s DNS? Chtělo by to ověřit u nich na co se jim tvoje domena překládá... Tím bych začal.
P.
Dne st 24. 8. 2016 19:27 uživatel kypo kypo46@gmail.com napsal:
Zdravim odbornikov.
Prosim o pomoc ak niekto moze a je ochotny pomoct...
Nemam ziadne skusenosti s nastavovanim linuxovych serverov - v tomto som totalny zelenac, som obycajny web dizajner, trochu programator. Ale vela veci sa viem naucit sam, vela veci som zvladol rozchodit za pomoci tutorialov, ale chybaju mi skusenosti.
Mam zriadene VPS kde som nainstaloval Ubuntu 14.04, zvladol som rozchodit apache2, mysql, php, ftp, rozne php nastavenia (cache, memory_limit, mod_rewrite atd...) Bezi na tom obycajny komunitny web postaveny na Wordprese, cca 400 uzivatelov. Vsetko drzim aktualne, wordpress, jeho pluginy, apache, mysql atd...
V poslednych dnoch mi hlasili DVAJA uzivatelia, ze maju problem s webom a to taky, ze po zadani adresy assettocorsa.eu sa im nezobrazi moj web, ale nejaky cinsky alebo japonsky bordel... Ale nikto iny to nehlasi, iba dvaja ludia zo 400.
Do prilohy prikladam screen co sa im zobrazi a aj zazipovany zdrojak toho cinskeho bordelu. Najskor som myslel ze maju zavirovane svoje lokalne PC, ale jeden z nich je udajne ITckar a ze to skusal na viacerych PC a na viacerych miestach a stale to same...
Potom ma napadlo, ci neni hacknuty nejaky lokalny DNS server jeho lokalneho poskytovatela internetu, ale ked pingne somenu assettocorsa.eu smeruje ho to na spravnu IP adresu. PC uzivatelov su udajne ciste bez virusov.
Ja som svoj web preskenoval vsetkymi moznymi online skenermi - vsetko ciste. Stiahol som cely web na lokal, preskenoval aj tam vsetkym moznym - vsetko ciste...
Z tejto strany to vyzera byt OK, otazka je ako je na tom server, ale tam som totalny amater, viem ze je tam vsetko aktualne, ale neviem kde sahnut a co skontrolovat ze kde by mohla byt chyba.
Nestretol sa niekto s niecim podobnym, alebo nehodite mi nejake voditko co a kde mam skontrolovat? Hladal som po forach ale tento problem som nikde inde nenasiel...
Vopred moc velky dik za akukolvek pomoc._______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Porovnej soubory sveho WP se starsi zalohou, pripadne se zdrojaky tve verze. Projdi soubory ktere se lisi a ktere tam mas navic. Skodlivy kod se casto skryva na prvni nebo posledni radce souboru a spoleha na to, ze mas v editoru vypnute zalamovani radku. Tzn. <?php spousta mezer a pak nedobre citelny kod. At si zkusi ten co se mu to zobrazuje promazat cookie k tvemu webu.
Dne 24.8.2016 19:50 napsal uživatel "Assetto Corsa Central - admin" < admin@assettocorsa.eu>:
je to v mailu,domena sa prekladá na správnu IP,tiez má napadol problém s DNS ale vypadá ok. Možno sa na to ten bordel nalepí niekde po trase? neviem
Odoslané z MIUI Dňa Pavel Hruška mrpear@mrpear.net používateľ 24.8.2016 19:37 napísal:
A nemají ti dva hacknute DNS nebo nějaký problem s DNS? Chtělo by to ověřit u nich na co se jim tvoje domena překládá... Tím bych začal.
P.
Dne st 24. 8. 2016 19:27 uživatel kypo kypo46@gmail.com napsal:
Zdravim odbornikov.
Prosim o pomoc ak niekto moze a je ochotny pomoct...
Nemam ziadne skusenosti s nastavovanim linuxovych serverov - v tomto som totalny zelenac, som obycajny web dizajner, trochu programator. Ale vela veci sa viem naucit sam, vela veci som zvladol rozchodit za pomoci tutorialov, ale chybaju mi skusenosti.
Mam zriadene VPS kde som nainstaloval Ubuntu 14.04, zvladol som rozchodit apache2, mysql, php, ftp, rozne php nastavenia (cache, memory_limit, mod_rewrite atd...) Bezi na tom obycajny komunitny web postaveny na Wordprese, cca 400 uzivatelov. Vsetko drzim aktualne, wordpress, jeho pluginy, apache, mysql atd...
V poslednych dnoch mi hlasili DVAJA uzivatelia, ze maju problem s webom a to taky, ze po zadani adresy assettocorsa.eu sa im nezobrazi moj web, ale nejaky cinsky alebo japonsky bordel... Ale nikto iny to nehlasi, iba dvaja ludia zo 400.
Do prilohy prikladam screen co sa im zobrazi a aj zazipovany zdrojak toho cinskeho bordelu. Najskor som myslel ze maju zavirovane svoje lokalne PC, ale jeden z nich je udajne ITckar a ze to skusal na viacerych PC a na viacerych miestach a stale to same...
Potom ma napadlo, ci neni hacknuty nejaky lokalny DNS server jeho lokalneho poskytovatela internetu, ale ked pingne somenu assettocorsa.eu smeruje ho to na spravnu IP adresu. PC uzivatelov su udajne ciste bez virusov.
Ja som svoj web preskenoval vsetkymi moznymi online skenermi - vsetko ciste. Stiahol som cely web na lokal, preskenoval aj tam vsetkym moznym - vsetko ciste...
Z tejto strany to vyzera byt OK, otazka je ako je na tom server, ale tam som totalny amater, viem ze je tam vsetko aktualne, ale neviem kde sahnut a co skontrolovat ze kde by mohla byt chyba.
Nestretol sa niekto s niecim podobnym, alebo nehodite mi nejake voditko co a kde mam skontrolovat? Hladal som po forach ale tento problem som nikde inde nenasiel...
Vopred moc velky dik za akukolvek pomoc.________________________ _______________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Pokud máte přístup k shellu a někde (sql, ne kopii souborů) zálohu databáze, tak tyto dva by mohly napovědět:
# grep -rl assettocorsa /tam/kde/je/moj/web # grep assettocorsa /tam/kde/je/moje/zalohadatabaze.sql
Dne St, 24. srpen 2016 v 20:14 h uživatel Matěj Koudelka napsal:
Porovnej soubory sveho WP se starsi zalohou, pripadne se zdrojaky tve verze. Projdi soubory ktere se lisi a ktere tam mas navic. Skodlivy kod se casto skryva na prvni nebo posledni radce souboru a spoleha na to, ze mas v editoru vypnute zalamovani radku. Tzn. <?php spousta mezer a pak nedobre citelny kod. At si zkusi ten co se mu to zobrazuje promazat cookie k tvemu webu.
Dne 24.8.2016 19:50 napsal uživatel "Assetto Corsa Central - admin" admin@assettocorsa.eu:
je to v mailu,domena sa prekladá na správnu IP,tiez má napadol problém s DNS ale vypadá ok. Možno sa na to ten bordel nalepí niekde po trase? neviem
Odoslané z MIUI Dňa Pavel Hruška mrpear@mrpear.net používateľ 24.8.2016 19:37 napísal:
A nemají ti dva hacknute DNS nebo nějaký problem s DNS? Chtělo by to ověřit u nich na co se jim tvoje domena překládá... Tím bych začal. P.
Dne st 24. 8. 2016 19:27 uživatel kypo kypo46@gmail.com napsal:
Zdravim odbornikov.
Prosim o pomoc ak niekto moze a je ochotny pomoct...
Nemam ziadne skusenosti s nastavovanim linuxovych serverov - v tomto som totalny zelenac, som obycajny web dizajner, trochu programator. Ale vela veci sa viem naucit sam, vela veci som zvladol rozchodit za pomoci tutorialov, ale chybaju mi skusenosti.
Mam zriadene VPS kde som nainstaloval Ubuntu 14.04, zvladol som rozchodit apache2, mysql, php, ftp, rozne php nastavenia (cache, memory_limit, mod_rewrite atd...) Bezi na tom obycajny komunitny web postaveny na Wordprese, cca 400 uzivatelov. Vsetko drzim aktualne, wordpress, jeho pluginy, apache, mysql atd...
V poslednych dnoch mi hlasili DVAJA uzivatelia, ze maju problem s webom a to taky, ze po zadani adresy assettocorsa.eu sa im nezobrazi moj web, ale nejaky cinsky alebo japonsky bordel... Ale nikto iny to nehlasi, iba dvaja ludia zo 400.
Do prilohy prikladam screen co sa im zobrazi a aj zazipovany zdrojak toho cinskeho bordelu. Najskor som myslel ze maju zavirovane svoje lokalne PC, ale jeden z nich je udajne ITckar a ze to skusal na viacerych PC a na viacerych miestach a stale to same...
Potom ma napadlo, ci neni hacknuty nejaky lokalny DNS server jeho lokalneho poskytovatela internetu, ale ked pingne somenu assettocorsa.eu smeruje ho to na spravnu IP adresu. PC uzivatelov su udajne ciste bez virusov.
Ja som svoj web preskenoval vsetkymi moznymi online skenermi - vsetko ciste. Stiahol som cely web na lokal, preskenoval aj tam vsetkym moznym - vsetko ciste...
Z tejto strany to vyzera byt OK, otazka je ako je na tom server, ale tam som totalny amater, viem ze je tam vsetko aktualne, ale neviem kde sahnut a co skontrolovat ze kde by mohla byt chyba.
Nestretol sa niekto s niecim podobnym, alebo nehodite mi nejake voditko co a kde mam skontrolovat? Hladal som po forach ale tento problem som nikde inde nenasiel...
Vopred moc velky dik za akukolvek pomoc._______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
No spíš by prvně chtělo, aby uživatelé, kteří mají problém, zkusili traceroute an tu doménu a poslali její výsledek. Pokud se nám všem tohle načítá v pořáku a dělá to jen dvěma uživatelům, je možné, že mají zavirovaný počítač oni. Pak se jim může doména překládat na jinou IP. Tracroute by to ukázal. Tím bych začal.
Tomáš
Dne 24.08.2016 v 19:36 Pavel Hruška napsal(a):
A nemají ti dva hacknute DNS nebo nějaký problem s DNS? Chtělo by to ověřit u nich na co se jim tvoje domena překládá... Tím bych začal.
P.
Dne st 24. 8. 2016 19:27 uživatel kypo <kypo46@gmail.com mailto:kypo46@gmail.com> napsal:
Zdravim odbornikov. Prosim o pomoc ak niekto moze a je ochotny pomoct... Nemam ziadne skusenosti s nastavovanim linuxovych serverov - v tomto som totalny zelenac, som obycajny web dizajner, trochu programator. Ale vela veci sa viem naucit sam, vela veci som zvladol rozchodit za pomoci tutorialov, ale chybaju mi skusenosti. Mam zriadene VPS kde som nainstaloval Ubuntu 14.04, zvladol som rozchodit apache2, mysql, php, ftp, rozne php nastavenia (cache, memory_limit, mod_rewrite atd...) Bezi na tom obycajny komunitny web postaveny na Wordprese, cca 400 uzivatelov. Vsetko drzim aktualne, wordpress, jeho pluginy, apache, mysql atd... V poslednych dnoch mi hlasili DVAJA uzivatelia, ze maju problem s webom a to taky, ze po zadani adresy assettocorsa.eu <http://assettocorsa.eu> sa im nezobrazi moj web, ale nejaky cinsky alebo japonsky bordel... Ale nikto iny to nehlasi, iba dvaja ludia zo 400. Do prilohy prikladam screen co sa im zobrazi a aj zazipovany zdrojak toho cinskeho bordelu. Najskor som myslel ze maju zavirovane svoje lokalne PC, ale jeden z nich je udajne ITckar a ze to skusal na viacerych PC a na viacerych miestach a stale to same... Potom ma napadlo, ci neni hacknuty nejaky lokalny DNS server jeho lokalneho poskytovatela internetu, ale ked pingne somenu assettocorsa.eu <http://assettocorsa.eu> smeruje ho to na spravnu IP adresu. PC uzivatelov su udajne ciste bez virusov. Ja som svoj web preskenoval vsetkymi moznymi online skenermi - vsetko ciste. Stiahol som cely web na lokal, preskenoval aj tam vsetkym moznym - vsetko ciste... Z tejto strany to vyzera byt OK, otazka je ako je na tom server, ale tam som totalny amater, viem ze je tam vsetko aktualne, ale neviem kde sahnut a co skontrolovat ze kde by mohla byt chyba. Nestretol sa niekto s niecim podobnym, alebo nehodite mi nejake voditko co a kde mam skontrolovat? Hladal som po forach ale tento problem som nikde inde nenasiel... Vopred moc velky dik za akukolvek pomoc._______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Nazaciako by som skontroloval či ten klient naozaj volal tvoj server, či volal tvoju ip. Ak nie tak je to jasné
Ak by bol hacknuty tak niekde v súboroch budú zažite čudné kódy. Zvykne to by na začiatku súboru ale dávajú tam kopec medzier, tak si zapni zálohovanie riadkov v editore. Grepovat čínsky bordel pravdepodobne nepomôže lebo zvyknú používať kód v base64 ten sa rozhoduje desifruje a použije eval. Ťažko sa to hľadá, ale celkom dobrá pomôcka je goaccess, z access logu ti spraví štatistiku ktorá url sa ako často volá, aké statusy dáva server ..., Bude tam vyčnievať jeden súbor a tam by som začal. Ak si hacknuty tak presmerovanie na čínsky bordel je len mala vec, budeš posielať e-maily alebo iné veci.
Ahoj,
u nas kdyz se dela zbezny audit kodu, tak v Drupalu (specializujeme se na nej) existuje modul Hacked, ktery ti udela diff oproti contrib modulum. Na WP bude urcite neco podobneho. Jinak obcas najde neco i clamav clamscan -irz --follow-dir-symlinks=2 --follow-file-symlinks=2 NAZEVADRESARE
dal nejake hinty, ktere pouzivam, ale neni to nic superinteligentniho
find NAZEVADRESARE -iname "*.exe" prohlidnout vsechny php a inc soubory na skodlive fce eval, base64 a gzinflate a ideálně také na preg_replace s /e
"find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep ""eval *("" --color find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep -l ""base64_decode *("" --color ** pokud najde tak spustit bez přepínač -l aby ukázal detail v kodu ** find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep ""gzinflate *("" --color
find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs egrep -i ""preg_replace *((['|""])(.).*\2[a-z]*e[^\1]*\1 *,"" --color "
manuálně projít databázi na retezce
<?php, base64, $_POST, $_GET, eval(, assert(, file_put_contents(, include(, include_once(, require(, require_once(, preg_replace(, create_function(
On 25.8.2016 7:14, Jozef Sroka wrote:
Nazaciako by som skontroloval či ten klient naozaj volal tvoj server, či volal tvoju ip. Ak nie tak je to jasné
Ak by bol hacknuty tak niekde v súboroch budú zažite čudné kódy. Zvykne to by na začiatku súboru ale dávajú tam kopec medzier, tak si zapni zálohovanie riadkov v editore. Grepovat čínsky bordel pravdepodobne nepomôže lebo zvyknú používať kód v base64 ten sa rozhoduje desifruje a použije eval. Ťažko sa to hľadá, ale celkom dobrá pomôcka je goaccess, z access logu ti spraví štatistiku ktorá url sa ako často volá, aké statusy dáva server ..., Bude tam vyčnievať jeden súbor a tam by som začal. Ak si hacknuty tak presmerovanie na čínsky bordel je len mala vec, budeš posielať e-maily alebo iné veci.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
na WP treba plugin https://wordpress.org/plugins/wordfence/ umi porovnat tvoje zdrojaky s originalni verzi. Dokonce i u nainstalovanych pluginu.
jasný, tak ona je to taková easy pomůcka, ale spíš se to hodí právě tam, kde někdo prasí contrib moduly a nepoužívá hooky v custom modulech - když přebíráme cizí projekt kde se nedodržují Drupal standardy/doporučení. Ale z hlediska bezpečnosti/napadení bývají většinou nové soubory a ty to už neodhalí a je potřeba bližší inspekce, např. přes ty příkazy, co jsem poslal.
On 25.8.2016 9:41, Lukas Vana wrote:
Ahoj,
na WP treba plugin https://wordpress.org/plugins/wordfence/ umi porovnat tvoje zdrojaky s originalni verzi. Dokonce i u nainstalovanych pluginu.
-- Lukáš Váňa (fabian)
http://www.fabian.cz http://www.fabian.cz/
On 25 August 2016 at 07:26:45, Michal Pazderský (michal@squelle.com mailto:michal@squelle.com) wrote:
Ahoj,
u nas kdyz se dela zbezny audit kodu, tak v Drupalu (specializujeme se na nej) existuje modul Hacked, ktery ti udela diff oproti contrib modulum. Na WP bude urcite neco podobneho. Jinak obcas najde neco i clamav clamscan -irz --follow-dir-symlinks=2 --follow-file-symlinks=2 NAZEVADRESARE
dal nejake hinty, ktere pouzivam, ale neni to nic superinteligentniho
find NAZEVADRESARE -iname "*.exe" prohlidnout vsechny php a inc soubory na skodlive fce eval, base64 a gzinflate a ideálně také na preg_replace s /e
"find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep ""eval *("" --color find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep -l ""base64_decode *("" --color ** pokud najde tak spustit bez přepínač -l aby ukázal detail v kodu ** find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep ""gzinflate *("" --color
find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs egrep -i ""preg_replace *((['|""])(.).*\2[a-z]*e[^\1]*\1 *,"" --color "
manuálně projít databázi na retezce
<?php, base64, $_POST, $_GET, eval(, assert(, file_put_contents(, include(, include_once(, require(, require_once(, preg_replace(, create_function(
On 25.8.2016 7:14, Jozef Sroka wrote:
Nazaciako by som skontroloval či ten klient naozaj volal tvoj server, či volal tvoju ip. Ak nie tak je to jasné
Ak by bol hacknuty tak niekde v súboroch budú zažite čudné kódy. Zvykne to by na začiatku súboru ale dávajú tam kopec medzier, tak si zapni zálohovanie riadkov v editore. Grepovat čínsky bordel pravdepodobne nepomôže lebo zvyknú používať kód v base64 ten sa rozhoduje desifruje a použije eval. Ťažko sa to hľadá, ale celkom dobrá pomôcka je goaccess, z access logu ti spraví štatistiku ktorá url sa ako často volá, aké statusy dáva server ..., Bude tam vyčnievať jeden súbor a tam by som začal. Ak si hacknuty tak presmerovanie na čínsky bordel je len mala vec, budeš posielať e-maily alebo iné veci.
Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Michal Pazdersky (jednatel/CEO)
Squelle Group, s.r.o. Nad Palatou 2801/48, 150 00 Praha Smichov
GSM: +420 733 326 468 EMAIL: michal@squelle.com mailto:michal@squelle.com WEB: www.squelle.com http://www.squelle.com
.................................................... CZ: Vyvoj, konzultace a skoleni vyhradne pro Drupal. EN: Drupal web development, consulting and training. .................................................... _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Dakujem vsetkym za skvele tipy a za pomoc. Nakoniec som vcera v noci pomocou porovnania so starsou zalohou nasiel subory co boli zmenene, pripadne nove. Bolo to na dlhsie, pretoze od starsej zalohy sa robilo niekolko updatov roznych modulov, takze chvilu trvalo nez som to zosrotoval, ale nasiel som v dvoch original suboroch WP na zaciatku skodlivy kod a naslo mi to aj 3 nove subory php, kazdy v inom foldru, kde samozrejme bol eval(...... Dalej v uploads/avatar boli subory typu ***.php.gif a podobne perlicky, dokopy asi 5 suborov. Nechal som to tak a nasadil som tam plugin Wordfence.
Ten odhalil komplet vsetko co ja rucne, vyhoda je ze neporovnava iba existujuce subory co su sucastou WP, ale skenuje vsetky co su na webu a hlada tam prave eval( char a podobne podozrive veci a odhalil aj subory co tam boli nove... Sikovny plugin, pomocou neho som to precistil, potom este vsetko rucne skontroloval, nasadil som tam firewall, zakazal prihlasovanie z Ciny, Japonska, Iranu a podobnych atraktivnych krajin, tak uvidime.
Kazdopadne neviem cez aku dieru to tam naliezlo, budem to sledovat. Wordfence je fajn v tom, ze si tento scan robi pravidelne, da sa nastavit kedy ma prebehnut a vysledok reportuje mailom... Takze ak sa tam aj nieco znova nasere tak to zistim rychlo...
Chcel by som iba jednu vec na zaver: Som na VPSfree novy, nasiel som ho nahodou. Okrem perfektnej podpory a super serverov za vyhodnu cenu sa musim strasne podakovat vsetkym z komunity za ochotny pristup a chut poradit. V dnesnej dobe sa to uz casto nevidi, vacsinou kazdy na kazdeho sere... SOm velmi milo prekvapeny aka ste fajn komunita a som z toho rad. Sme len maly komunitny web ktory nie je ziskovy, je to len taka moja hracka vo volnom case, to je tak ked sa stari fotri hraju na zavodnikov, mam doma velky simulator, komplet kokpit a proste ma to bavi. Rozdiel medzi malym chlapcom a starym fotrom je len v cene hracky :)
Nahodim na web logo vpsfree do partnerov a od dalsich sezon sa bude na kazdom aute v nasich zavodoch vozit logo VPSfree. Potom poslem aspon nejaky pekny obrazok. Viem ze to je len prazdne gesto z ktoreho nikto nic nebude mat, ale aspon nieco...
DAKUJEM
On Thu, 25 Aug 2016 09:58:13 +0200, Michal Pazderský michal@squelle.com wrote:
jasný, tak ona je to taková easy pomůcka, ale spíš se to hodí právě tam, kde někdo prasí contrib moduly a nepoužívá hooky v custom modulech - když přebíráme cizí projekt kde se nedodržují Drupal standardy/doporučení. Ale z hlediska bezpečnosti/napadení bývají většinou nové soubory a ty to už neodhalí a je potřeba bližší inspekce, např. přes ty příkazy, co jsem poslal.
On 25.8.2016 9:41, Lukas Vana wrote:
Ahoj,
na WP treba plugin https://wordpress.org/plugins/wordfence/ umi porovnat tvoje zdrojaky s originalni verzi. Dokonce i u nainstalovanych pluginu.
-- Lukáš Váňa (fabian)
http://www.fabian.cz http://www.fabian.cz/
On 25 August 2016 at 07:26:45, Michal Pazderský (michal@squelle.com mailto:michal@squelle.com) wrote:
Ahoj,
u nas kdyz se dela zbezny audit kodu, tak v Drupalu (specializujeme se na nej) existuje modul Hacked, ktery ti udela diff oproti contrib modulum. Na WP bude urcite neco podobneho. Jinak obcas najde neco i clamav clamscan -irz --follow-dir-symlinks=2 --follow-file-symlinks=2 NAZEVADRESARE
dal nejake hinty, ktere pouzivam, ale neni to nic superinteligentniho
find NAZEVADRESARE -iname "*.exe" prohlidnout vsechny php a inc soubory na skodlive fce eval, base64 a gzinflate a ideálně také na preg_replace s /e
"find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep ""eval *("" --color find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep -l ""base64_decode *("" --color ** pokud najde tak spustit bez přepínač -l aby ukázal detail v kodu ** find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep ""gzinflate *("" --color
find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs egrep -i ""preg_replace *((['|""])(.).*\2[a-z]*e[^\1]*\1 *,"" --color "
manuálně projít databázi na retezce
<?php, base64, $_POST, $_GET, eval(, assert(, file_put_contents(, include(, include_once(, require(, require_once(, preg_replace(, create_function(
On 25.8.2016 7:14, Jozef Sroka wrote:
Nazaciako by som skontroloval či ten klient naozaj volal tvoj
server, či
volal tvoju ip. Ak nie tak je to jasné
Ak by bol hacknuty tak niekde v súboroch budú zažite čudné kódy.
Zvykne
to by na začiatku súboru ale dávajú tam kopec medzier, tak si zapni zálohovanie riadkov v editore. Grepovat čínsky bordel pravdepodobne nepomôže lebo zvyknú používať kód v base64 ten sa rozhoduje
desifruje a
použije eval. Ťažko sa to hľadá, ale celkom dobrá pomôcka je
goaccess, z
access logu ti spraví štatistiku ktorá url sa ako často volá, aké statusy dáva server ..., Bude tam vyčnievať jeden súbor a tam by som začal. Ak si hacknuty tak presmerovanie na čínsky bordel je len mala vec, budeš posielať e-maily alebo iné veci.
Community-list mailing list Community-list@lists.vpsfree.cz
mailto:Community-list@lists.vpsfree.cz
-- Michal Pazdersky (jednatel/CEO)
Squelle Group, s.r.o. Nad Palatou 2801/48, 150 00 Praha Smichov
GSM: +420 733 326 468 EMAIL: michal@squelle.com mailto:michal@squelle.com WEB: www.squelle.com http://www.squelle.com
.................................................... CZ: Vyvoj, konzultace a skoleni vyhradne pro Drupal. EN: Drupal web development, consulting and training. .................................................... _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Dne 26.8.2016 v 16:45 kypo napsal(a):
Viem ze to je len prazdne gesto z ktoreho nikto nic nebude mat, ale aspon nieco...
Ale vůbec ne! vpsFree.cz je taky nezisková akce od lidí pro lidi, takže podpořit takhle společnou věc je to nejlepší, co můžeš udělat. Stejně tak nás třeba přijďte kdokoliv navštívit na LinuxDays nebo jinou akci. Zároveň je možné udělat vlastní setkání, přednášku, minikonferenci, hospodu. Tohle všechno jsou výborné a vítané akce.
Díky všem a užijte si zbytek prázdnin!
Vubec to neni prazdne gesto, je to fajn vozit se na zavodaku :).
Dne 26.8.2016 16:46 napsal uživatel "kypo" kypo46@gmail.com:
Dakujem vsetkym za skvele tipy a za pomoc. Nakoniec som vcera v noci pomocou porovnania so starsou zalohou nasiel subory co boli zmenene, pripadne nove. Bolo to na dlhsie, pretoze od starsej zalohy sa robilo niekolko updatov roznych modulov, takze chvilu trvalo nez som to zosrotoval, ale nasiel som v dvoch original suboroch WP na zaciatku skodlivy kod a naslo mi to aj 3 nove subory php, kazdy v inom foldru, kde samozrejme bol eval(...... Dalej v uploads/avatar boli subory typu ***.php.gif a podobne perlicky, dokopy asi 5 suborov. Nechal som to tak a nasadil som tam plugin Wordfence.
Ten odhalil komplet vsetko co ja rucne, vyhoda je ze neporovnava iba existujuce subory co su sucastou WP, ale skenuje vsetky co su na webu a hlada tam prave eval( char a podobne podozrive veci a odhalil aj subory co tam boli nove... Sikovny plugin, pomocou neho som to precistil, potom este vsetko rucne skontroloval, nasadil som tam firewall, zakazal prihlasovanie z Ciny, Japonska, Iranu a podobnych atraktivnych krajin, tak uvidime.
Kazdopadne neviem cez aku dieru to tam naliezlo, budem to sledovat. Wordfence je fajn v tom, ze si tento scan robi pravidelne, da sa nastavit kedy ma prebehnut a vysledok reportuje mailom... Takze ak sa tam aj nieco znova nasere tak to zistim rychlo...
Chcel by som iba jednu vec na zaver: Som na VPSfree novy, nasiel som ho nahodou. Okrem perfektnej podpory a super serverov za vyhodnu cenu sa musim strasne podakovat vsetkym z komunity za ochotny pristup a chut poradit. V dnesnej dobe sa to uz casto nevidi, vacsinou kazdy na kazdeho sere... SOm velmi milo prekvapeny aka ste fajn komunita a som z toho rad. Sme len maly komunitny web ktory nie je ziskovy, je to len taka moja hracka vo volnom case, to je tak ked sa stari fotri hraju na zavodnikov, mam doma velky simulator, komplet kokpit a proste ma to bavi. Rozdiel medzi malym chlapcom a starym fotrom je len v cene hracky :)
Nahodim na web logo vpsfree do partnerov a od dalsich sezon sa bude na kazdom aute v nasich zavodoch vozit logo VPSfree. Potom poslem aspon nejaky pekny obrazok. Viem ze to je len prazdne gesto z ktoreho nikto nic nebude mat, ale aspon nieco...
DAKUJEM
On Thu, 25 Aug 2016 09:58:13 +0200, Michal Pazderský michal@squelle.com wrote:
jasný, tak ona je to taková easy pomůcka, ale spíš se to hodí právě tam,
kde někdo prasí contrib moduly a nepoužívá hooky v custom modulech - když přebíráme cizí projekt kde se nedodržují Drupal standardy/doporučení. Ale z hlediska bezpečnosti/napadení bývají většinou nové soubory a ty to už neodhalí a je potřeba bližší inspekce, např. přes ty příkazy, co jsem poslal.
On 25.8.2016 9:41, Lukas Vana wrote:
Ahoj,
na WP treba plugin https://wordpress.org/plugins/wordfence/ umi porovnat tvoje zdrojaky s originalni verzi. Dokonce i u nainstalovanych pluginu.
-- Lukáš Váňa (fabian)
http://www.fabian.cz http://www.fabian.cz/
On 25 August 2016 at 07:26:45, Michal Pazderský (michal@squelle.com mailto:michal@squelle.com) wrote:
Ahoj,
u nas kdyz se dela zbezny audit kodu, tak v Drupalu (specializujeme se na nej) existuje modul Hacked, ktery ti udela diff oproti contrib modulum. Na WP bude urcite neco podobneho. Jinak obcas najde neco i clamav clamscan -irz --follow-dir-symlinks=2 --follow-file-symlinks=2 NAZEVADRESARE
dal nejake hinty, ktere pouzivam, ale neni to nic superinteligentniho
find NAZEVADRESARE -iname "*.exe" prohlidnout vsechny php a inc soubory na skodlive fce eval, base64 a gzinflate a ideálně také na preg_replace s /e
"find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep ""eval *("" --color find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep -l ""base64_decode *("" --color ** pokud najde tak spustit bez přepínač -l aby ukázal detail v kodu ** find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep ""gzinflate *("" --color
find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs egrep -i ""preg_replace *((['|""])(.).*\2[a-z]*e[^\1]*\1 *,"" --color "
manuálně projít databázi na retezce
<?php, base64, $_POST, $_GET, eval(, assert(, file_put_contents(, include(, include_once(, require(, require_once(, preg_replace(, create_function(
On 25.8.2016 7:14, Jozef Sroka wrote:
Nazaciako by som skontroloval či ten klient naozaj volal tvoj server,
či
volal tvoju ip. Ak nie tak je to jasné
Ak by bol hacknuty tak niekde v súboroch budú zažite čudné kódy.
Zvykne
to by na začiatku súboru ale dávajú tam kopec medzier, tak si zapni zálohovanie riadkov v editore. Grepovat čínsky bordel pravdepodobne nepomôže lebo zvyknú používať kód v base64 ten sa rozhoduje desifruje
a
použije eval. Ťažko sa to hľadá, ale celkom dobrá pomôcka je
goaccess, z
access logu ti spraví štatistiku ktorá url sa ako často volá, aké statusy dáva server ..., Bude tam vyčnievať jeden súbor a tam by som začal. Ak si hacknuty tak presmerovanie na čínsky bordel je len mala vec, budeš posielať e-maily alebo iné veci.
Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.v
psfree.cz>
-- Michal Pazdersky (jednatel/CEO)
Squelle Group, s.r.o. Nad Palatou 2801/48, 150 00 Praha Smichov
GSM: +420 733 326 468 EMAIL: michal@squelle.com mailto:michal@squelle.com WEB: www.squelle.com http://www.squelle.com
.................................................... CZ: Vyvoj, konzultace a skoleni vyhradne pro Drupal. EN: Drupal web development, consulting and training. .................................................... _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Souhlas, ale berte v potaz, že mluvíme s neprogramátorem - bude to schopen odhalit? Vždyť i porovnání pomocí nějakého SVN ho zmate tunou cache, náhledů,...
Dne Čt, 25. srpen 2016 v 07:14 h uživatel Jozef Sroka napsal:
Ak by bol hacknuty tak niekde v súboroch budú zažite čudné kódy. Zvykne to by na začiatku súboru ale dávajú tam kopec medzier, tak si zapni zálohovanie riadkov v editore. Grepovat čínsky bordel pravdepodobne nepomôže lebo zvyknú používať kód v base64 ten sa rozhoduje desifruje a použije eval.
Ahoj
Mal som podobny problem (ale nie na VPSfree.cz) .. Tiez WP .....
Problem bol, ze v niektorych php suboroch si na zaciatku pridal maly skriptik. (nevidel som v niektorych textovych editoroch nic, ale ked som to pozrel cez winscp a jeho interny editor, script tam bol .. )
Skontroluj si vsetky .htaccess subory, mal som tam pridane redirect
A pridane boli aj nove php subory ...
A tazko sa to hladalo ... :(
S pozdravom ostava
Michal Kovarčík CEO, co-owner MLOKS, spol. s r.o. phone no.: +421 905 232 652
-----Original Message----- From: community-list-bounces@lists.vpsfree.cz [mailto:community-list-bounces@lists.vpsfree.cz] On Behalf Of kypo Sent: streda, 24. augusta 2016 18:56 To: community-list@lists.vpsfree.cz Subject: [vpsFree.cz: community-list] prosim pomoc zeby hacknuty server alebo web
Zdravim odbornikov.
Prosim o pomoc ak niekto moze a je ochotny pomoct...
Nemam ziadne skusenosti s nastavovanim linuxovych serverov - v tomto som totalny zelenac, som obycajny web dizajner, trochu programator. Ale vela veci sa viem naucit sam, vela veci som zvladol rozchodit za pomoci tutorialov, ale chybaju mi skusenosti.
Mam zriadene VPS kde som nainstaloval Ubuntu 14.04, zvladol som rozchodit apache2, mysql, php, ftp, rozne php nastavenia (cache, memory_limit, mod_rewrite atd...) Bezi na tom obycajny komunitny web postaveny na Wordprese, cca 400 uzivatelov. Vsetko drzim aktualne, wordpress, jeho pluginy, apache, mysql atd...
V poslednych dnoch mi hlasili DVAJA uzivatelia, ze maju problem s webom a to taky, ze po zadani adresy assettocorsa.eu sa im nezobrazi moj web, ale nejaky cinsky alebo japonsky bordel... Ale nikto iny to nehlasi, iba dvaja ludia zo 400.
Do prilohy prikladam screen co sa im zobrazi a aj zazipovany zdrojak toho cinskeho bordelu. Najskor som myslel ze maju zavirovane svoje lokalne PC, ale jeden z nich je udajne ITckar a ze to skusal na viacerych PC a na viacerych miestach a stale to same...
Potom ma napadlo, ci neni hacknuty nejaky lokalny DNS server jeho lokalneho poskytovatela internetu, ale ked pingne somenu assettocorsa.eu smeruje ho to na spravnu IP adresu. PC uzivatelov su udajne ciste bez virusov.
Ja som svoj web preskenoval vsetkymi moznymi online skenermi - vsetko ciste. Stiahol som cely web na lokal, preskenoval aj tam vsetkym moznym - vsetko ciste...
Z tejto strany to vyzera byt OK, otazka je ako je na tom server, ale tam som totalny amater, viem ze je tam vsetko aktualne, ale neviem kde sahnut a co skontrolovat ze kde by mohla byt chyba.
Nestretol sa niekto s niecim podobnym, alebo nehodite mi nejake voditko co a kde mam skontrolovat? Hladal som po forach ale tento problem som nikde inde nenasiel...
Vopred moc velky dik za akukolvek pomoc.
Ahoj, zkus si projet zdrojáky Tvého wordpressu a hledej "kmj-ab.co" (bez uvozovek). Popř. to může být v db (uložené jako přesměrování, iframe, frame, atp.). Snad to trochu pomůže.
2016-08-24 18:55 GMT+02:00 kypo kypo46@gmail.com:
Zdravim odbornikov.
Prosim o pomoc ak niekto moze a je ochotny pomoct...
Nemam ziadne skusenosti s nastavovanim linuxovych serverov - v tomto som totalny zelenac, som obycajny web dizajner, trochu programator. Ale vela veci sa viem naucit sam, vela veci som zvladol rozchodit za pomoci tutorialov, ale chybaju mi skusenosti.
Mam zriadene VPS kde som nainstaloval Ubuntu 14.04, zvladol som rozchodit apache2, mysql, php, ftp, rozne php nastavenia (cache, memory_limit, mod_rewrite atd...) Bezi na tom obycajny komunitny web postaveny na Wordprese, cca 400 uzivatelov. Vsetko drzim aktualne, wordpress, jeho pluginy, apache, mysql atd...
V poslednych dnoch mi hlasili DVAJA uzivatelia, ze maju problem s webom a to taky, ze po zadani adresy assettocorsa.eu sa im nezobrazi moj web, ale nejaky cinsky alebo japonsky bordel... Ale nikto iny to nehlasi, iba dvaja ludia zo 400.
Do prilohy prikladam screen co sa im zobrazi a aj zazipovany zdrojak toho cinskeho bordelu. Najskor som myslel ze maju zavirovane svoje lokalne PC, ale jeden z nich je udajne ITckar a ze to skusal na viacerych PC a na viacerych miestach a stale to same...
Potom ma napadlo, ci neni hacknuty nejaky lokalny DNS server jeho lokalneho poskytovatela internetu, ale ked pingne somenu assettocorsa.eu smeruje ho to na spravnu IP adresu. PC uzivatelov su udajne ciste bez virusov.
Ja som svoj web preskenoval vsetkymi moznymi online skenermi - vsetko ciste. Stiahol som cely web na lokal, preskenoval aj tam vsetkym moznym - vsetko ciste...
Z tejto strany to vyzera byt OK, otazka je ako je na tom server, ale tam som totalny amater, viem ze je tam vsetko aktualne, ale neviem kde sahnut a co skontrolovat ze kde by mohla byt chyba.
Nestretol sa niekto s niecim podobnym, alebo nehodite mi nejake voditko co a kde mam skontrolovat? Hladal som po forach ale tento problem som nikde inde nenasiel...
Vopred moc velky dik za akukolvek pomoc. _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
Assetto Corsa Central - admin -
Jindřich Sadílek -
Jozef Sroka -
kypo -
Lukas Vana -
Lukáš Janík -
Matěj Koudelka -
Michal Kovarcik -
Michal Pazderský -
Pavel Hruška -
Petr Krcmar -
Tomáš Zmek