26 May
2013
26 May
'13
12:45 p.m.
Ahoj lidi,
obracím se na vás s prosbou o pomoc či radu. V posledních dnech
zaznamenávám celou řadu útoků na mojí VPS a hostované weby. Ve dvou
případech mi někdo nebo něco nakladlo několik php souborů odesílající
zprávy přes sendmail, na které se rázem začalo ve velkém dotazovat.
Rychle jsem změnil hesla, updatoval co se dalo, nasadil jail2ban pro ssh
a ftp a updatoval postižené weby.
Nyní se zabývám příčinou a jako stopy se zatím držím zřejmě nějaké
obdoby JS injection. Pro představu přikládám menší část logu z obou
postižených webů, kde v případě blanketu je JS na řádku 23 a ve druhém
případě na řádku 21. Pro představu jeden z řádků těm co to nechtějí otvírat:
86.89.232.254 - - [26/May/2013:00:44:16 +0200] "GET
/scripts/,data:b,complete:function(a,b,e){e=a.responseText,a.isResolved()&&(a.done(function(a){e=a}),h.html(f?d(
HTTP/1.1" 404 634 "-" "Java/1.6.0_04"
Nevím však, jak se proti tomu bránit. Oba weby nějakým způsobem
používali zastaralé jQuery knihovny a zatím se jen domnívám, že to má
souvislost, protože ten skript byl vždy odpálený ve složce se skripty na
serveru. Prosím tedy vás, co s tím mají zkušenost, či jsou věci
znalejší, či mají dobrý tip, jak to dále analyzovat a řešit?
Díky za pomoc, zdraví
Nikos Timiopulos
26 May
26 May
12:55 p.m.
Niečo podobné som postrehol pred týždňom aj ja v logoch.
Ale neviem, či toto je zrovna príčina tých prienikov. Totiž, JS samotné
je pre bezpečnosť servera v podstate neškodné (uškodiť môže pri útokoch
typu CSRF - s cieľom ukradnúť session na strane klienta). Dôležité je
escapeovať vstupy (GET, POST, COOKIE) na strane servera. Teda ak
používaš php, tak obvykle:
htmlspecialchars()
A pri vstupe do DB zase:
mysql_real_escape_string() + pridávať všade apostrofy, štýlom:
$query = "SELECT * FROM xy WHERE abc = '
".mysql_real_escape_string($var)." ' ";
Samozrejme, ak sú tam nejaké frameworky/cmská, tak je to blbosť, tam asi
len upgrade-y, ktoré spomínaš.
Na druhej strane, ak niekto iný vie, čo vlastne sledujú útočníci
posielaním takéhoto JS bordelu v URL, budem tiež rád, keďže, ako som
spomenul, tiež som to vo svojich logoch pri nedávnej kontrole objavil.
Nemám pocit, že ide o sql injection - nemá to obvyklé črty.
S pozdravom
Ján Šmatlík
On 26.05.2013 14:45, Nikos Timiopulos wrote:
Ahoj lidi,
obracím se na vás s prosbou o pomoc či radu. V posledních dnech
zaznamenávám celou řadu útoků na mojí VPS a hostované weby. Ve dvou
případech mi někdo nebo něco nakladlo několik php souborů odesílající
zprávy přes sendmail, na které se rázem začalo ve velkém dotazovat.
Rychle jsem změnil hesla, updatoval co se dalo, nasadil jail2ban pro
ssh a ftp a updatoval postižené weby.
Nyní se zabývám příčinou a jako stopy se zatím držím zřejmě nějaké
obdoby JS injection. Pro představu přikládám menší část logu z obou
postižených webů, kde v případě blanketu je JS na řádku 23 a ve druhém
případě na řádku 21. Pro představu jeden z řádků těm co to nechtějí
otvírat:
86.89.232.254 - - [26/May/2013:00:44:16 +0200] "GET
/scripts/,data:b,complete:function(a,b,e){e=a.responseText,a.isResolved()&&(a.done(function(a){e=a}),h.html(f?d(
HTTP/1.1" 404 634 "-" "Java/1.6.0_04"
Nevím však, jak se proti tomu bránit. Oba weby nějakým způsobem
používali zastaralé jQuery knihovny a zatím se jen domnívám, že to má
souvislost, protože ten skript byl vždy odpálený ve složce se skripty
na serveru. Prosím tedy vás, co s tím mají zkušenost, či jsou věci
znalejší, či mají dobrý tip, jak to dále analyzovat a řešit?
Díky za pomoc, zdraví
Nikos Timiopulos
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
--
Ján Šmatlík
Jabber: support(a)jabber.me
1:38 p.m.
Ahoj,
Samotný JS ti skripty na serveru nezmění. Co tam je za weby? Něco
opensource, komerčního, nebo vlasntího?
Každopádně, hledej spíš něco jako remote file inclusion, nebo SQL injection.
On 26.5.2013 14:45, Nikos Timiopulos wrote:
Ahoj lidi,
obracím se na vás s prosbou o pomoc či radu. V posledních dnech
zaznamenávám celou řadu útoků na mojí VPS a hostované weby. Ve dvou
případech mi někdo nebo něco nakladlo několik php souborů odesílající
zprávy přes sendmail, na které se rázem začalo ve velkém dotazovat.
Rychle jsem změnil hesla, updatoval co se dalo, nasadil jail2ban pro ssh
a ftp a updatoval postižené weby.
Nyní se zabývám příčinou a jako stopy se zatím držím zřejmě nějaké
obdoby JS injection. Pro představu přikládám menší část logu z obou
postižených webů, kde v případě blanketu je JS na řádku 23 a ve druhém
případě na řádku 21. Pro představu jeden z řádků těm co to nechtějí
otvírat:
86.89.232.254 - - [26/May/2013:00:44:16 +0200] "GET
/scripts/,data:b,complete:function(a,b,e){e=a.responseText,a.isResolved()&&(a.done(function(a){e=a}),h.html(f?d(
HTTP/1.1" 404 634 "-" "Java/1.6.0_04"
Nevím však, jak se proti tomu bránit. Oba weby nějakým způsobem
používali zastaralé jQuery knihovny a zatím se jen domnívám, že to má
souvislost, protože ten skript byl vždy odpálený ve složce se skripty na
serveru. Prosím tedy vás, co s tím mají zkušenost, či jsou věci
znalejší, či mají dobrý tip, jak to dále analyzovat a řešit?
Díky za pomoc, zdraví
Nikos Timiopulos
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
4409
days inactive
4409
days old
community-list@lists.vpsfree.cz
2 comments
3 participants
participants (3)
-
Ján Šmatlík -
mrkva@mrkva.eu -
Nikos Timiopulos