მთავარი  |    ფორუმი  |    FAQ  |    წესები  |    კონკურსები  |    რეკლამა ჩვენთან  |    კონტაქტი

გამარჯობა, სტუმარო ( შესვლა | რეგისტრაცია )

> IPB დაინფიცირდა, უცნაური შემთხვევა
K.C.
პოსტი Apr 19 2008, 02:01 PM
პოსტი #1


წევრი
**

ჯგუფი: რეგისტრირებული
პოსტები: 46
ნიკის ჩასმა
ციტატაში ჩასმა
წევრი №: 2.516
მოგესალმებით ყველას. და მოდერატორთან დიდი ბოდიში წინასწარ , უბრალოდ ვერ მივიფიქრე სად შეიძლებოდა დამეპოსტა ეს ტოპიკი და ვინაიდან ეს ვებ განყოფილება იყო და ვინაიდან ჩემი პრობლემაც სწორედ ვებს ეხება და კერძოდ კი IPB ს. თუ მოდერატორი არ შეწუხდება და ამ ტოპიკს სხვა ადგილი ეკუთვნის ვთხოვ გადაიტანოს შესაბამის განყოფილებაში, ოღონდ ძალიან გთხოვთ წაიკითხოთ ტოპიკი.

საქმის არსი კი აი რაში მდგომარეობს, მაქვს საკუთარი სერვერი და საიტიც IPB ბაზაზე. კერძოდ კი დააპგრეიდებული ვერსია 2.1.7 დან 2.2.x ზე. რამდენიმე დღეა კი ხდება ესეთი რამ, index.php და index.html რომელიც კი მაქვს რუთ დირექტორიაში, ასევე ქვე დირექტორიებში ( როგორც ვიცით ყველა საქაღალდეში არის მოთავსებული index.html რათა ცნობისმოყვარე თვალები მოარიდონ შიგთავსს.) ვირუსდებიან Trojan Clicker_ით. საინტერესო კი ისაა რომ ეს ვირუსი მისით იცერება სკრიპტში ანუ ინდექს ფაილებში ჯდება თავისით რაც ძალიან მიკვირს, რამდენიმე მიზეზის გამო:

1. ამ დირექტორიებთან მარტო მე მაქვს შეხება და იქ ნამდვილად ჩემი ხელით ვირუსს არ ჩავტენი.
2. ეს მეორდება მისით და რაც მთავარია იწერება სკრიპში ისე რომ არ უშლის ზოგადად საიტის ფუნქციონირებას ხელს ანუ არანაირ ერრორს არ ვიღებთ ამ ვირუსის სკრიპტში მოხვედის შემდეგ.
3. ვირუსის სკრიპთი, არის ჯავა ენაზე დაწერილი, და არის კოდირებული ანუ ჩვეულებრივ რეჟიმში ის არის შემდეგი სახით ( echo 5466843.246874316764 ). აქედან გამომდინარე ვერ გავარკვიე რომელი საიტი თუ რა ან რას იძახებს ეს სკრიპთი.
4. შემდეგ იგივე სკრიპთი აღმოვაჩინე page_default.php _ ფაილში. ( თავდაპირველად ვიფიქრე რო მხოლოდ ინდექსებს დაერია. ეგრე არ აღმოჩნდა)

ამავე დროს მინდა აღვნიშნო, რომ სერვერი ფუნქციონირებს ლინუქსზე სადღაც 1 წელია. და ამავე სერვერზე არის ანონიმუს ფტპ, ანუ მომხმარებლები ტვირთავენ და იწერენ ჩემივე სერვერიდან.

რისი ბრალი შეიძლება იყოს ეს ყველაფერი?? ან ვთქვათ შეიძლება იყოს ეს IPB_ს ბრალი?? მე პირადად ძალიან მეეჭვება მაგრამ მეტი ვერაფერი დასკვნა ვერ გამომიტანია. როგორ შეიძლება ფტპ ზე დავირუსდეს რაღაც ფაილები ისე რომ იქ არავინ შევიდეს?? და თუ შევიდნენ რატო არ წაშალეს ვთქვათ მთლიანად საიტი??

რაც შეეხება ანონიმუს ფტპ სა და საიტის რუთ დირექტორიას დძალიან რადიკალურად განსხვავებულ საქაღალდეებში არიან განთავსებულები.
ამავე დროს მინდა აღვნიშნო ის რომ. საიტზე ასევე არსებობს სუბ დომენები რომელთაც არცერთი ფაილს არაფერი მოსვლია ნუ ჯერ ყოველ შემთხვევაში. და რომელთა საქაღალდეები მდებარეობს მომიჯნავე საქაღალდეში რუთთან.


P.S. ადმინისტრაციასთან ისევ დიდი ბოდიში, თუ თემა ძალიან უადგილოდ გავხსენი.
იმედი მაქვს ვინმეს ეცოდინება თუ რა შეიძლება ეშველოს ამ პრობლემას. საიტის მისამართს არ ვწერ რათა რეკლამად არ ჩამომერთვას. წინასწარ დიდი მადლობა.
Go to the top of the page
 
+Quote Post
 
 Start new topic
გამოხმაურებები
ja_ja
პოსტი Apr 24 2008, 11:29 AM
პოსტი #2


Administrator
******

ჯგუფი: ადმინი ძირეული
პოსტები: 903
ნიკის ჩასმა
ციტატაში ჩასმა
წევრი №: 1
მოკელდ ყველას ვურჩევ შემდეგ რაღაცას.

1. იგივე შეტევა ტავის დროზე ჩვენს საიტზეს სინჯეს, მაშინ ვიყავით service.net.ge-ს ჰოსტინგზე.
2. ყველა index-სახელის ფაილში ენმატედობა ხან ტავში ხან ბოლოში არასაჭირო კოდი


სიტუაცია იგივე იყო რასაც აღწერთ, მინიმუმ 5-ჯერ ვსინჯე index-ფაილების საწყისი ვერსიების ატვირთვა, შველა ყოველთვის დროებითი იყო 2-5 დრე, მერე იგიევე მეორდებოდა.

მოძიებული ინფორმაციით მიზეზი აღმოჩნდა 3, თუმცა სხვა შემთხვევაში შეიძლება მეტიც იყოს, ან 1-იც საკმარისი იყოს.

1. ასე თუ ისე ტყდება FTP პაროლი და მერე ახსნა საჭირო აღარაა, გატეხვის იოლი მეთოდია თვითონ ადმინ პანელი.
2. იგივე ადმინ პანელის მეშვეობით თრეულობენ შესაბამისი იუზერის უფლებას და სკრიპტებით ემატება ყველაზე გავრცელებულ ფაილებში (კერძოდ index.php, index.htm და ასე შედმეგ) შემტებვის კოდი.
3. შესაძლოა ამა თი ინ დვიჟოკების გარკვეული შეცდომის გამო თვითონ დვიჟოკს აიძულო ჩაამატოს საჭირო ტექსტი შესაბამის ფაილებში.


გამოსავალი რამდენიმეა.

1. ცვალეთ FTP-ს პაროლები
2. მისდიეთ სკრიპტების აბდეიტებს
ეს ორივე არის სტანდარტული ქაჯობა, ისეთი პონტია რა თავიდან გიცილებს ყველა, აგერ განაახლე და ვსიო.


ყველაზე მოქმედი აღმოჩნდა CHMOD 444 მორჩა რომ გასკდეთ თქვენც ვერ ჩამატებთ მაგ ფაილში ვერაფერს.

სამაგიეროდ წყნარად ხარ, საჭიროა რაიმეს ჩამატება შენს ლოკალურ სერვერზე აკეტეს ცვლილებას, და მერე იმის ატვირთავს ვახდეს, ისევ CHMOD 444 და ასე შემდეგ.

იდეაში index.php-ს არაფერშI არ სჭირდება 777 ან 775 და 644 ერთხელ ატვირთულია და მორჩა ჩაწერით შიგნით არაფერი იწერება.

ზოგიერთს აქვს საქაღალდეებში ჩაყრილი ცარიელი INDEX.HTML ფაილები, ესენიც ასევე საიცავით (გამოიყენება მაგალითად მაშინ როდესაც სერვერზე ჩართულია ბროუსინგი და თქვენ არ გინდათ კლიენტს დაანახოთ შემთხვევით შემოსვლისას საქაღალდის კონტენტი).
Go to the top of the page
 
+Quote Post

პოსტი ამ თემაში
- K.C.   IPB დაინფიცირდა   Apr 19 2008, 02:01 PM
- - domen   K.C. პირველ რიგში - ძა...   Apr 19 2008, 06:51 PM
|- - K.C.   domen მადლობთ რომ გამ...   Apr 20 2008, 12:20 AM
- - student777   მძივე შემთხვევა. პ...   Apr 20 2008, 07:21 AM
- - K.C.   student777 ციტატათუ ვერს...   Apr 20 2008, 07:34 AM
|- - student777   მე IPB ვიგულისხმე და ...   Apr 20 2008, 08:43 AM
- - K.C.   ციტატარაც შეეხება ...   Apr 20 2008, 08:48 AM
- - otosaxel   K.C. სალამი! ცუდი რა...   Apr 20 2008, 11:32 AM
- - otosaxel   6) რამე მოდი ხომ არ დ...   Apr 20 2008, 12:33 PM
- - K.C.   otosaxel მადლობა გამოხმ...   Apr 20 2008, 02:20 PM
- - Power_VANO   K.C. აჰა, გასაგებია შე...   Apr 20 2008, 06:31 PM
- - K.C.   Power_VANO ციტატაეხლა თე...   Apr 20 2008, 06:51 PM
- - Power_VANO   K.C. მთლიანად საქაღა...   Apr 20 2008, 06:56 PM
- - K.C.   Power_VANO ციტატამთლიან...   Apr 20 2008, 08:26 PM
- - Power_VANO   K.C. არაფერს ეჭვი რაზ...   Apr 21 2008, 11:50 AM
- - K.C.   Power_VANO ციტატაარაფერ...   Apr 21 2008, 01:24 PM
- - K.C.   რაოდენ საოცარი და ...   Apr 23 2008, 06:59 AM
- - Power_VANO   მდაა... საინტერესოა ...   Apr 23 2008, 07:31 AM
- - otosaxel   ციტატაგუგლის ანალ...   Apr 23 2008, 06:50 PM
- - K.C.   otosaxel ციტატამდა, კიდ...   Apr 23 2008, 10:09 PM
- - Power_VANO   K.C. შენა და, ინდექსში...   Apr 24 2008, 02:58 AM
- - suckers   ჩემიც ეგრეა არაა თ...   Apr 24 2008, 06:15 AM
- - ja_ja   მოკელდ ყველას ვურჩ...   Apr 24 2008, 11:29 AM
- - K.C.   Power_VANO რატომ და გახს...   Apr 24 2008, 11:30 AM
- - suckers   K.C. default.php - ში ბოლოში ი...   Apr 24 2008, 12:23 PM
- - K.C.   ja_ja სალამი. ციტატა1. ...   Apr 24 2008, 01:26 PM
- - ja_ja   K.C. ციტატაგააჩნია დ...   Apr 25 2008, 08:28 AM
- - K.C.   ja_ja რჩევას რა თქმა უ...   Apr 25 2008, 03:10 PM
- - chiora   IPB-ს ყველა საქაღალდ...   Sep 5 2009, 08:10 PM
- - chiora   ja_ja ციტატა(ja_ja @ 25th April...   Sep 6 2009, 10:42 AM
- - Power_VANO   chiora საერთოდ, სჯობს ყ...   Sep 8 2009, 10:21 AM
- - chiora   Power_VANO ძალიან კარგი ...   Sep 11 2009, 03:43 PM

« შემდეგი ძველი თემა · Web პროგრამირება · შემდეგი ახალი თემა »
 

Reply to this topicStart new topic
ამ თემას კითხულობს 1 მომხმარებელი (მათ შორის 1 სტუმარი და 0 დამალული წევრი)
0 წევრი:

 

ჩვენების რეჟიმი: შეცვლა: სტანდარტული · შეცვლა: ხაზოვანი+ · განტოტვილი

თემის გამოწერა · თემის ელ-ფოსტით გაგზავნა · თემის ამობეჭდვა · ამ განყოფილების გამოწერა

მსუბუქი ვერსია ახლა არის: 6th August 2025 - 10:38 AM