[vpsFree.cz: community-list] Utoky behem posledniho tydne

[Ján Šmatlík]

Niečo podobné som postrehol pred týždňom aj ja v logoch.
Ale neviem, či toto je zrovna príčina tých prienikov. Totiž, JS samotné 
je pre bezpečnosť servera v podstate neškodné (uškodiť môže pri útokoch 
typu CSRF - s cieľom ukradnúť session na strane klienta). Dôležité je 
escapeovať vstupy (GET, POST, COOKIE) na strane servera. Teda ak 
používaš php, tak obvykle:
htmlspecialchars()

A pri vstupe do DB zase:
mysql_real_escape_string()  + pridávať všade apostrofy, štýlom:

$query = "SELECT * FROM xy WHERE abc = ' 
".mysql_real_escape_string($var)." ' ";

Samozrejme, ak sú tam nejaké frameworky/cmská, tak je to blbosť, tam asi 
len upgrade-y, ktoré spomínaš.

Na druhej strane, ak niekto iný vie, čo vlastne sledujú útočníci 
posielaním takéhoto JS bordelu v URL, budem tiež rád, keďže, ako som 
spomenul, tiež som to vo svojich logoch pri nedávnej kontrole objavil. 
Nemám pocit, že ide o sql injection - nemá to obvyklé črty.


S pozdravom
Ján Šmatlík


On 26.05.2013 14:45, Nikos Timiopulos wrote:
> Ahoj lidi,
>
> obracím se na vás s prosbou o pomoc či radu. V posledních dnech 
> zaznamenávám celou řadu útoků na mojí VPS a hostované weby. Ve dvou 
> případech mi někdo nebo něco nakladlo několik php souborů odesílající 
> zprávy přes sendmail, na které se rázem začalo ve velkém dotazovat. 
> Rychle jsem změnil hesla, updatoval co se dalo, nasadil jail2ban pro 
> ssh a ftp a updatoval postižené weby.
>
> Nyní se zabývám příčinou a jako stopy se zatím držím zřejmě nějaké 
> obdoby JS injection. Pro představu přikládám menší část logu z obou 
> postižených webů, kde v případě blanketu je JS na řádku 23 a ve druhém 
> případě na řádku 21. Pro představu jeden z řádků těm co to nechtějí 
> otvírat:
>
> 86.89.232.254 - - [26/May/2013:00:44:16 +0200] "GET 
> /scripts/,data:b,complete:function(a,b,e){e=a.responseText,a.isResolved()&&(a.done(function(a){e=a}),h.html(f?d( 
> HTTP/1.1" 404 634 "-" "Java/1.6.0_04"
>
> Nevím však, jak se proti tomu bránit. Oba weby nějakým způsobem 
> používali zastaralé jQuery knihovny a zatím se jen domnívám, že to má 
> souvislost, protože ten skript byl vždy odpálený ve složce se skripty 
> na serveru. Prosím tedy vás, co s tím mají zkušenost, či jsou věci 
> znalejší, či mají dobrý tip, jak to dále analyzovat a řešit?
>
> Díky za pomoc, zdraví
>
> Nikos Timiopulos
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

-- 
Ján Šmatlík

Jabber: support at jabber.me