WN

WN (https://www.wn.se/forum/index.php)
-   Allmänt (https://www.wn.se/forum/forumdisplay.php?f=2)
-   -   Sjukt jobbigt script eller hack (https://www.wn.se/forum/showthread.php?t=1038251)

mp3express 2009-09-29 15:04
Sjukt jobbigt script eller hack
 
Hej! Vet inte om detta är rätt forum att posta i men vi har råkat ut för ett script som återkommer gång på gång. Man ser det inte när man tittar i den vanliga källkoden. Men öppnar du indexfilen så ligger där en liten kodsnutt som liknar google analytics men istället så står det google analytix nånting! Sedan en länk.

Detta kodstycke generera länkar till sajter med Viagra och Cialis, detta är endast synligt för
sökmotorerna och indexeras därför i google.

Den ändrar även utf-kodning så att våra bokstäver inte visas rätt!

När vi tagit bort all skräpkod så dyk genast nånting annat upp där det stod gzinflate base64_decode nånting som verkar kryptera scriptet på ett sådant sätt att vi inte kan se vad som händer.

Vi har jobbat med detta i 10 timmar utan att hitta felet eller vart skiten kommer ifrån! Någon som varit med om något liknade?

Danski 2009-09-29 17:12
Du måste nog hitta hur de kan redigera er sida. Troligen en exploit i ert publiceringsverktyg eller sql-injection.

Tills dess kan du ändra hur mycket du vill och spammet kommer ändå fortsätta.

Netikett 2009-09-29 17:21
Går det inte att skrivskydda filerna så länge tills ni hittar problemet?

mp3express 2009-09-29 20:09
Tack för era svar! Vi kör 755 samt har bytt lösen etc. Kollat loggen, men hittar ingenting. Vi kör inget cms utan allt manuellt. Det finns ju en möjlighet att det dyker upp via partnerscript men då borde deras andra kunder också varit drabbade. Det lämnar liksom inga fotspår efter sig. Det hamnar bara i en enda fil och det verkar inte ha för avsikt att skada servern mer än att sprida sina egna länkar i sökmotorer. Du ser alltså inga länkar som beskare men sökmotorerna gör det.

Nån mer som har någon idé om hur att bli av med detta?

Rvn 2009-09-29 20:57
Citat:
Ursprungligen postat av mp3express (Inlägg 20324179)
Tack för era svar! Vi kör 755 samt har bytt lösen etc. Kollat loggen, men hittar ingenting. Vi kör inget cms utan allt manuellt. Det finns ju en möjlighet att det dyker upp via partnerscript men då borde deras andra kunder också varit drabbade. Det lämnar liksom inga fotspår efter sig. Det hamnar bara i en enda fil och det verkar inte ha för avsikt att skada servern mer än att sprida sina egna länkar i sökmotorer. Du ser alltså inga länkar som beskare men sökmotorerna gör det.

Nån mer som har någon idé om hur att bli av med detta?
Prova ta bort era partners kod och se om det försvinner.

emilv 2009-09-29 21:18
Testa att byta lösenord på FTP-kontot (om ni har FTP-server). Det har dykt upp många attacker på sista tiden där förövarna har FTP-lösnordet (hur de fått tag på det vet jag inte).

Jonas 2009-09-30 10:32
Uppdatera ev. CMS/CMF-mjukvara till senaste version.

Se över ev. XSS/SQL-injections om ni själva byggt det. Gå efter "trust no one", ni skall inte ens lite på er själva, eftersom erat konto kan hackas.


Alla tider är GMT +2. Klockan är nu 07:17.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson