IPB დაინფიცირდა - კომპინფოს ტექნიკური ფორუმი

გამარჯობა, სტუმარო ( შესვლა | რეგისტრაცია )

კომპინფოს ტექნიკური ფორუმი > ინტერნეტი > World Wide Web > Web პროგრამირება

IPB დაინფიცირდა, უცნაური შემთხვევა

K.C. წევრის პროფილის ნახვა	Apr 19 2008, 02:01 PM პოსტი #1
წევრი ჯგუფი: რეგისტრირებული პოსტები: 46 ნიკის ჩასმა ციტატაში ჩასმა წევრი №: 2.516	მოგესალმებით ყველას. და მოდერატორთან დიდი ბოდიში წინასწარ , უბრალოდ ვერ მივიფიქრე სად შეიძლებოდა დამეპოსტა ეს ტოპიკი და ვინაიდან ეს ვებ განყოფილება იყო და ვინაიდან ჩემი პრობლემაც სწორედ ვებს ეხება და კერძოდ კი IPB ს. თუ მოდერატორი არ შეწუხდება და ამ ტოპიკს სხვა ადგილი ეკუთვნის ვთხოვ გადაიტანოს შესაბამის განყოფილებაში, ოღონდ ძალიან გთხოვთ წაიკითხოთ ტოპიკი. საქმის არსი კი აი რაში მდგომარეობს, მაქვს საკუთარი სერვერი და საიტიც IPB ბაზაზე. კერძოდ კი დააპგრეიდებული ვერსია 2.1.7 დან 2.2.x ზე. რამდენიმე დღეა კი ხდება ესეთი რამ, index.php და index.html რომელიც კი მაქვს რუთ დირექტორიაში, ასევე ქვე დირექტორიებში ( როგორც ვიცით ყველა საქაღალდეში არის მოთავსებული index.html რათა ცნობისმოყვარე თვალები მოარიდონ შიგთავსს.) ვირუსდებიან Trojan Clicker_ით. საინტერესო კი ისაა რომ ეს ვირუსი მისით იცერება სკრიპტში ანუ ინდექს ფაილებში ჯდება თავისით რაც ძალიან მიკვირს, რამდენიმე მიზეზის გამო: 1. ამ დირექტორიებთან მარტო მე მაქვს შეხება და იქ ნამდვილად ჩემი ხელით ვირუსს არ ჩავტენი. 2. ეს მეორდება მისით და რაც მთავარია იწერება სკრიპში ისე რომ არ უშლის ზოგადად საიტის ფუნქციონირებას ხელს ანუ არანაირ ერრორს არ ვიღებთ ამ ვირუსის სკრიპტში მოხვედის შემდეგ. 3. ვირუსის სკრიპთი, არის ჯავა ენაზე დაწერილი, და არის კოდირებული ანუ ჩვეულებრივ რეჟიმში ის არის შემდეგი სახით ( echo 5466843.246874316764 ). აქედან გამომდინარე ვერ გავარკვიე რომელი საიტი თუ რა ან რას იძახებს ეს სკრიპთი. 4. შემდეგ იგივე სკრიპთი აღმოვაჩინე page_default.php _ ფაილში. ( თავდაპირველად ვიფიქრე რო მხოლოდ ინდექსებს დაერია. ეგრე არ აღმოჩნდა) ამავე დროს მინდა აღვნიშნო, რომ სერვერი ფუნქციონირებს ლინუქსზე სადღაც 1 წელია. და ამავე სერვერზე არის ანონიმუს ფტპ, ანუ მომხმარებლები ტვირთავენ და იწერენ ჩემივე სერვერიდან. რისი ბრალი შეიძლება იყოს ეს ყველაფერი?? ან ვთქვათ შეიძლება იყოს ეს IPB_ს ბრალი?? მე პირადად ძალიან მეეჭვება მაგრამ მეტი ვერაფერი დასკვნა ვერ გამომიტანია. როგორ შეიძლება ფტპ ზე დავირუსდეს რაღაც ფაილები ისე რომ იქ არავინ შევიდეს?? და თუ შევიდნენ რატო არ წაშალეს ვთქვათ მთლიანად საიტი?? რაც შეეხება ანონიმუს ფტპ სა და საიტის რუთ დირექტორიას დძალიან რადიკალურად განსხვავებულ საქაღალდეებში არიან განთავსებულები. ამავე დროს მინდა აღვნიშნო ის რომ. საიტზე ასევე არსებობს სუბ დომენები რომელთაც არცერთი ფაილს არაფერი მოსვლია ნუ ჯერ ყოველ შემთხვევაში. და რომელთა საქაღალდეები მდებარეობს მომიჯნავე საქაღალდეში რუთთან. P.S. ადმინისტრაციასთან ისევ დიდი ბოდიში, თუ თემა ძალიან უადგილოდ გავხსენი. იმედი მაქვს ვინმეს ეცოდინება თუ რა შეიძლება ეშველოს ამ პრობლემას. საიტის მისამართს არ ვწერ რათა რეკლამად არ ჩამომერთვას. წინასწარ დიდი მადლობა.

გამოხმაურებები

domen წევრის პროფილის ნახვა	Apr 19 2008, 06:51 PM პოსტი #2
ფობოფობი ჯგუფი: გლობალ მოდერი პოსტები: 3.431 ნიკის ჩასმა ციტატაში ჩასმა მდებარეობა: საქართველო: თბილისი კომპი წევრი №: 26	K.C. პირველ რიგში - ძალიან, ძალიან დიდი მადლობა! :-) პირველად ვნახე თემა ასე კარგად ჩამოყალიბებული კითხვით (IMG:style_emoticons/default/biggrin.gif) შენს პრობლემას რაც შეეხება, ძალიან გავრცელებულია - იმ მომხმარებლის კომპზე, რომელიც უკავშირდება FTP-ს, თუ აღმოჩნდა შესაბამისი ვირუსი, როგორღაც (დეტალებში პროცესი ჩემთვის უცნობია) ის იწერება FTP-ზეც და ჯდება ყველა index.* ფაილში (გამიკვირდა page_default-ის ამბავი, ეგეთი ჯერ არ გამიგია). მით უმეტეს, რომ შენს სერვერთან წვდომა ნებისმიერს აქვს, რისკი იზრდება. თუნდაც მოდიფიცირება გაუკეთო ფაილს, ხელახლა გახსნისას მაინც შეცვლის (IMG:style_emoticons/default/smile.gif) პრობლემის გადაწყვეტის გზას ვერ გეტყვი ნამდვილად (IMG:style_emoticons/default/sad.gif) ერთი ვარიანტია, მომხმარებლებს შეუზღუდო უფლებები და ვებ-გარსით აატვირთინო ფაილები, მაგრამ მაქამდე მაგ ვირუსის მოცილება დაგჭირდება, ეგ კი არ ვიცი, როგორ ხდება (შეიძლება რომელიმე Linux ანტივირმა გიშველოს, ასევე არსებობს სპეციალური სერვერული ანტივირუსული პაკეტებიც). -------------------- უფალო, მომეცი ძალა, რომ შევცვალო ის, რისი შეცვლაც შემიძლია; მომეცი მოთმინება, რომ ავიტანო ის, რისი შეცვლაც არ შემიძლია; და მომეცი სიბრძნე, რომ გავარჩიო ერთი მეორისაგან. Wir müssen wissen — wir werden wissen! "და ერთმა ისიც კი თქვა, შაშია რანაირად დაწერდა პიესას, ყელი გადამწვარი აქვს და ხმა კიდევ ჩახლეჩილი და პიესაში ხომ სულ ხმამაღალი ლაპარაკიაო. მოკლედ, ვიკამათეთ ბევრი... აზრთა გაცვლა-გამოცვლა იყო." ... მე ვიცნობდი ერთ ტეხასელ ბიჭს, ის მეთექვსმეტე სართულიდან გადმოხტა. მოფრინავდა და ყველა სართულზე იმეორებდა, ჯერჯერობით ყველაფერი შესანიშნავად მიდისო ...

K.C. წევრის პროფილის ნახვა	Apr 20 2008, 12:20 AM პოსტი #3
წევრი ჯგუფი: რეგისტრირებული პოსტები: 46 ნიკის ჩასმა ციტატაში ჩასმა წევრი №: 2.516	domen მადლობთ რომ გამომეხმაურე, ეხლა რა ხდება, სამწუხაროდ ვებ გარსით ატვირთვა იქნება შეუძლებელი ვინდაიდან ჩემს ფტპ სერვერზე იდება საკმაოდ დიდი ფაილები რომელთა ზომა ხშირ შემთხვევაში აჭარბებს რამდენიმე გიგაბაიტს, თამაშები და ფილმები (1 გიგაბაიტდან დაწყებული 6-7 გიგაბაიტით დამთავრებული, ასევე ფილმები 600მბ დან და ზემოთ ). აქედან გამომდინარე უბრალოდ ვერ გავაკეთებ ამას. რაც შეეხება ვიღაცის კომპიდან ვირუსის სერვერზე მოხვედრას ეგ უკვე ვიფიქრე, მაგრამ ყველაზე საინტერესო ისაა რომ გოგორც ზემოთ აღვნიშნე სერვერზე ასევე არსებობს კიდევ ერთი IPB რომელსაც არაფერი მოსვლია, ასევე მანდვე დაინსტალებულია DLE, AIHS 2.1, VBulletin Torrent Tracker (მართალია ეს უკანასკნელი უბრალოდ აყენია,მაგრამ მაინც) . ამ ჩამოთვლილთაგან არცერთი ფაილი არ დაინფიცირებულა, ანუ არცერთი სხვა ინდექს ფაილი არაა დაზიანებული დაედიტებული ამ ტროიანით, არც მეორე IPB არც DLE და ესაა რო მიკვირს. ვინაიდან ორივეში საკმაოდ არის ინდექსები, რაღა ამ მთავარ (უხეშად რო ვთქვათ) საიტს ეცა??? ერთი და იგივე სერვერში სხვა არ აინტერესებს ამ ვირუსს?? თუ ასეთი ჭკვიანია რო ტრაფიკს ხედავს და რომელსაც მეტი აქვს იმას აინფიცირებს?? ეს ხო ჩემი აზრით ნონსენსია?? (IMG:style_emoticons/default/huh.gif) თუ რაიმე მეშლება?? რაც შეეხება ანტივირუსს, აყენია ანტივირუსი რომელიც ვერ ხედავს ამ ვირუსს რატომრაც, მაგრამ რომც ხედავდეს მე მაქვს ერთი შიში (უხეშად რო გამოვხატო ჩემი აზრი) ვაითუ : ვირუსის აღმოჩენის შემთხვევაში ეს ანტივირუსი მოიქცეს ისევე როგორც ვთქვათ Kaspersky AV ან Kaspersky IS, და უბრალოდ მიაშალოს დაინფიცირებული ფაილი?? მაგ შემთხვევაში მე ვრჩები როგორც მთავარი index.php და index.html გვერდების გარეშე (რაც ავტომატურად მტელი საიტის კვდომას გამოიწვევს ვინაიდან IPB_ის ყველა მიმართვა გადის ინდექსზე : მაგალითად [ http://compinfo.ge/forum/index.php?showtopic=1833 ] ასევე ყველა დირექტორიაში მდებარე ინდექსის კვდომა გამოიწვევს მთელი საიტის ღიად დარჩენას) ამ შემთხვევაში მე სანამ მოვხვდები კომპიუტერთან და ნუ სანამ შევიტყობ ამ ამბავს მთელი საიტი რჩება ღიად ( მიდი მოვდივარ ) და მიხვდებით რაც შეიძლება მოხდეს. დიდი ბოდიში ძალიან ბევრი ვწერე, მაგრამ ძალიან ვარ შეშფოთებული ამ ამბით, + ამას ნამდვილად არ მაქვს სურვილი ჩემი საიტიდან დავირუსდეს რომელიმე მომხმარებელი. მიუხედავად იმისა რომ ტროიან კლიკერზე ჩემთვის ცნობილი ანტივირუსების არქივიდან არაფერი საგანგაშო არაა თქმული (თუმცა შეიძლება ვცდებოდე). თუ ვინმე შეძლებს რაიმენაირად დამეხმაროს ძალიან მადლობელი დავრჩები.

პოსტი ამ თემაში

K.C. IPB დაინფიცირდა Apr 19 2008, 02:01 PM

domen K.C. პირველ რიგში - ძა�... Apr 19 2008, 06:51 PM

K.C. domen მადლობთ რომ გამ�... Apr 20 2008, 12:20 AM

student777 მძივე შემთხვევა. პ�... Apr 20 2008, 07:21 AM

K.C. student777 ციტატათუ ვერს�... Apr 20 2008, 07:34 AM

student777 მე IPB ვიგულისხმე და �... Apr 20 2008, 08:43 AM

K.C. ციტატარაც შეეხება ... Apr 20 2008, 08:48 AM

otosaxel K.C. სალამი! ცუდი რა�... Apr 20 2008, 11:32 AM

otosaxel 6) რამე მოდი ხომ არ დ�... Apr 20 2008, 12:33 PM

K.C. otosaxel მადლობა გამოხმ... Apr 20 2008, 02:20 PM

Power_VANO K.C. აჰა, გასაგებია შე... Apr 20 2008, 06:31 PM

K.C. Power_VANO ციტატაეხლა თე... Apr 20 2008, 06:51 PM

Power_VANO K.C. მთლიანად საქაღა�... Apr 20 2008, 06:56 PM

K.C. Power_VANO ციტატამთლიან�... Apr 20 2008, 08:26 PM

Power_VANO K.C. არაფერს ეჭვი რაზ... Apr 21 2008, 11:50 AM

K.C. Power_VANO ციტატაარაფერ�... Apr 21 2008, 01:24 PM

K.C. რაოდენ საოცარი და �... Apr 23 2008, 06:59 AM

Power_VANO მდაა... საინტერესოა ... Apr 23 2008, 07:31 AM

otosaxel ციტატაგუგლის ანალ�... Apr 23 2008, 06:50 PM

K.C. otosaxel ციტატამდა, კიდ�... Apr 23 2008, 10:09 PM

Power_VANO K.C. შენა და, ინდექსში... Apr 24 2008, 02:58 AM

suckers ჩემიც ეგრეა არაა თ�... Apr 24 2008, 06:15 AM

ja_ja მოკელდ ყველას ვურჩ... Apr 24 2008, 11:29 AM

K.C. Power_VANO რატომ და გახს�... Apr 24 2008, 11:30 AM

suckers K.C. default.php - ში ბოლოში ი�... Apr 24 2008, 12:23 PM

K.C. ja_ja სალამი. ციტატა1. ... Apr 24 2008, 01:26 PM

ja_ja K.C. ციტატაგააჩნია დ�... Apr 25 2008, 08:28 AM

K.C. ja_ja რჩევას რა თქმა უ�... Apr 25 2008, 03:10 PM

chiora IPB-ს ყველა საქაღალდ�... Sep 5 2009, 08:10 PM

chiora ja_ja ციტატა(ja_ja @ 25th April... Sep 6 2009, 10:42 AM

Power_VANO chiora საერთოდ, სჯობს ყ... Sep 8 2009, 10:21 AM

chiora Power_VANO ძალიან კარგი �... Sep 11 2009, 03:43 PM

« შემდეგი ძველი თემა · Web პროგრამირება · შემდეგი ახალი თემა »

ამ თემას კითხულობს 1 მომხმარებელი (მათ შორის 1 სტუმარი და 0 დამალული წევრი)

0 წევრი:

ჩვენების რეჟიმი: შეცვლა: სტანდარტული · შეცვლა: ხაზოვანი+ · განტოტვილი

თემის გამოწერა · თემის ელ-ფოსტით გაგზავნა · თემის ამობეჭდვა · ამ განყოფილების გამოწერა

მსუბუქი ვერსია

ახლა არის: 6th August 2025 - 05:50 AM