[vpsFree.cz: community-list] Utoky behem posledniho tydne

[Nikos Timiopulos]

Ahoj lidi,

obracím se na vás s prosbou o pomoc či radu. V posledních dnech 
zaznamenávám celou řadu útoků na mojí VPS a hostované weby. Ve dvou 
případech mi někdo nebo něco nakladlo několik php souborů odesílající 
zprávy přes sendmail, na které se rázem začalo ve velkém dotazovat. 
Rychle jsem změnil hesla, updatoval co se dalo, nasadil jail2ban pro ssh 
a ftp a updatoval postižené weby.

Nyní se zabývám příčinou a jako stopy se zatím držím zřejmě nějaké 
obdoby JS injection. Pro představu přikládám menší část logu z obou 
postižených webů, kde v případě blanketu je JS na řádku 23 a ve druhém 
případě na řádku 21. Pro představu jeden z řádků těm co to nechtějí otvírat:

86.89.232.254 - - [26/May/2013:00:44:16 +0200] "GET 
/scripts/,data:b,complete:function(a,b,e){e=a.responseText,a.isResolved()&&(a.done(function(a){e=a}),h.html(f?d( 
HTTP/1.1" 404 634 "-" "Java/1.6.0_04"

Nevím však, jak se proti tomu bránit. Oba weby nějakým způsobem 
používali zastaralé jQuery knihovny a zatím se jen domnívám, že to má 
souvislost, protože ten skript byl vždy odpálený ve složce se skripty na 
serveru. Prosím tedy vás, co s tím mají zkušenost, či jsou věci 
znalejší, či mají dobrý tip, jak to dále analyzovat a řešit?

Díky za pomoc, zdraví

Nikos Timiopulos